Weihnachtsgrüße datenschutzkonform verschicken: So vermeiden Sie böse Überraschungen unter dem Weihnachtsbaum 

Die Weihnachtszeit ist traditionell die Zeit, in der Unternehmen ihre Wertschätzung gegenüber Kunden, Partnern und Mitarbeitern ausdrücken. Ein festlicher Gruß festigt Beziehungen und ist ein wichtiger Bestandteil der Kundenpflege. Doch wo Freude und Besinnlichkeit herrschen sollen, lauern allerdings auch datenschutzrechtliche Fallstricke. Denn Adressen, Namen und E-Mail-Kontaktdaten sind personenbezogene Daten, deren Verarbeitung zudem strengen Regeln unterliegt, insbesondere der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG). 

1. Die rechtlichen Grundlagen: Zwischen Tradition und Transparenz 

Der Versand von Weihnachtsgrüßen, ob analog oder digital, stellt eine Verarbeitung personenbezogener Daten dar. Wie bei jeder Datenverarbeitung benötigen Sie eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO. Die Wahl der richtigen Grundlage hängt maßgeblich davon ab, ob Sie einen Brief verschicken oder eine E-Mail versenden. 

1.1 Die postalische Weihnachtskarte 

Der Versand einer klassischen Weihnachtskarte per Post ist datenschutzrechtlich in der Regel der unkomplizierteste Weg. 

Die Rechtsgrundlage: Hier greift zumeist das berechtigte Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO). 

• Das berechtigte Interesse des Unternehmens: Die Aufrechterhaltung und Pflege bestehender Geschäftsbeziehungen, die Kundenbindung und die allgemeine Imagepflege sind anerkannte berechtigte Interessen. 

• Die Interessenabwägung: Im Rahmen der gesetzlich vorgeschriebenen Interessenabwägung ist zu prüfen, ob die Interessen der betroffenen Person (Schutz ihrer Daten) überwiegen. Da eine einmalige, saisonale postalische Sendung allgemein erwartet wird und der Eingriff in die Privatsphäre als gering gilt, wird die Abwägung in den meisten Fällen zugunsten des Unternehmens ausfallen, vorausgesetzt, die Empfänger sind tatsächlich (ehemalige) Geschäfts- oder Vertragspartner. 

Wichtig: Auch beim postalischen Versand gilt das Widerspruchsrecht nach Art. 21 DSGVO. Die betroffene Person muss jederzeit die Möglichkeit haben, der Verarbeitung ihrer Daten für diesen Zweck zu widersprechen. Dies muss einfach und kostenlos möglich sein. 

1.2 Der digitale Gruß: E-Mail-Marketing im Weihnachtsmodus 

Der Versand von Weihnachtsgrüßen per E-Mail ist aufgrund der zusätzlichen Anforderungen des UWG (speziell § 7 Abs. 2 Nr. 3 und Abs. 3 UWG) deutlich komplexer als der postalische Versand. 

Das doppelte Problem: UWG und DSGVO 

1. UWG (Unlauterer Wettbewerb): Elektronische Post, die zu Werbezwecken verschickt wird, erfordert grundsätzlich eine ausdrückliche, vorherige Einwilligung des Empfängers (Opt-in). Das UWG sieht jedoch eine Ausnahme vor: das Bestandskundenprivileg (§ 7 Abs. 3 UWG). 

• Voraussetzungen des Bestandskundenprivilegs: 

• Die E-Mail-Adresse wurde im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten. 

• Die E-Mail dient der Direktwerbung für eigene, ähnliche Waren oder Dienstleistungen. 

• Der Kunde hat der Verwendung nicht widersprochen. 

• Der Kunde wurde bei der Erhebung der Adresse klar und deutlich auf sein Widerspruchsrecht hingewiesen. 

• Die Knackpunkte beim Weihnachtsgruß: Ist ein allgemeiner Weihnachtsgruß Direktwerbung und ist er auf eigene, ähnliche Waren bezogen? Die Rechtsprechung ist hier nicht immer eindeutig. Ein rein dekorativer, unkommerzieller Gruß wird oft nicht als Direktwerbung gewertet. Sobald jedoch Logos, Produktabbildungen oder gar Rabattcodes enthalten sind, wird die E-Mail als Werbung eingestuft, und die strengen UWG-Vorschriften müssen erfüllt sein. Die sicherste Lösung ist daher immer die explizite, separate und dokumentierte Einwilligung des Empfängers. 

2. DSGVO (Datenschutz-Grundverordnung): Selbst wenn das UWG durch das Bestandskundenprivileg erfüllt ist, benötigen Sie zusätzlich eine Rechtsgrundlage nach Art. 6 DSGVO, wobei in diesen Fällen meist ebenfalls das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) herangezogen wird. 

Beim E-Mail-Versand ist zudem die Vertraulichkeit und Integrität der Daten (Art. 5 Abs. 1 lit. f DSGVO) zu gewährleisten. Massenversendungen dürfen niemals die E-Mail-Adressen aller Empfänger offenlegen. Es ist zwingend erforderlich, alle Adressen in das BCC-Feld zu setzen. Zur IT-Sicherheit gehören auch das Vorhalten und Dokumentieren von technischen und organisatorischen Maßnahmen (TOM). Ein Beispiel für eine wichtige technische Maßnahme im Kontext vom E-Mail-Versand ist der Einsatz einer Transportverschlüsselung (TLS). 

Alles, was Sie zum Thema TOM wissen müssen, können Sie hier nachlesen: Technische & organisatorische Maßnahmen (TOM) einfach erklärt 

2. Pflicht zur Transparenz und das verbriefte Widerspruchsrecht 

Unabhängig von der gewählten Rechtsgrundlage und dem Kommunikationsweg besteht eine umfassende Informationspflicht (Art. 13 und 14 DSGVO) gegenüber der betroffenen Person. 

2.1 Die Pflichtinhalte der Information 

Der Empfänger muss wissen: 

• Wer ist der Verantwortliche? 

• Zu welchem Zweck werden die Daten verarbeitet (z. B. „Versand von saisonalen Geschäftspost an Bestandskunden zur Pflege der Kundenbeziehung“)? 

• Welche Rechtsgrundlage dient der Verarbeitung? 

• Wie lauten die Kontaktdaten des Datenschutzbeauftragten? 

• Welche Rechte hat die Person (insbesondere das Widerspruchsrecht)? 

2.2 Das Widerspruchsmanagement 

Das Recht auf Widerspruch gegen Direktwerbung ist in Art. 21 Abs. 3 DSGVO festgeschrieben und muss jederzeit und unentgeltlich ermöglicht werden. 

• Bei E-Mail-Grüßen: Ein leicht auffindbarer Abmeldelink („Unsubscribe-Link“) im Footer der E-Mail ist Pflicht. 

• Die DSK-Anforderung: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) weist in ihren Orientierungshilfen darauf hin, dass Werbewidersprüche unverzüglich zu beachten sind. Das bedeutet: Auch bei postalischen Aussendungen müssen technische und organisatorische Maßnahmen (Art. 24 DSGVO) vorhanden sein, um einen Widerspruch sofort in den Adressdatenbanken zu vermerken und neue Verarbeitungen (wie z.B. einen neuen Druckauftrag) zu unterbinden. Es darf keine unnötige Verzögerung entstehen, da der Widerspruch sofort wirksam wird. 

Eine professionelle und automatisierte Verarbeitung von Widersprüchen ist nicht nur eine gesetzliche Pflicht, sondern schützt Ihr Unternehmen auch vor Beschwerden und Bußgeldern. 

Grundsätzlich gilt: Die betroffenen Personen haben umfangreiche Rechte aus der DSGVO (Art 15-22). Diese Rechte müssen Sie für jede Verarbeitung gewährleisten. Eine Übersicht über Betroffenenrechte finden Sie hier: Was sind Betroffenenrechte? Bedeutung & Überblick

Mit PLANIT // PRIMA können Sie Betroffenenanfragen auf Knopfdruck beantworten. Lassen Sie sich kostenfrei beraten!

3. Auftragsverarbeitung und Datenminimierung 

3.1 Externe Dienstleister (Auftragsverarbeitung) 

Viele Unternehmen nutzen für ihre Weihnachtsgrüße externe Dienstleister (Druckereien, Lettershops, E-Mail-Marketing-Anbieter). Sobald ein solcher Dienstleister im Auftrag und nach Weisung des Unternehmens personenbezogene Daten verarbeitet, liegt eine Auftragsverarbeitung (AV) nach Art. 28 DSGVO vor. 

• Pflicht: Vor der Übermittlung der Daten muss ein schriftlicher AV-Vertrag abgeschlossen werden. Dieser Vertrag regelt die Pflichten des Auftragsverarbeiters und stellt sicher, dass das Datenschutzniveau beim Dienstleister den Anforderungen der DSGVO entspricht. 

• Wahl des Dienstleisters: Wählen Sie Ihre Partner sorgfältig aus und stellen Sie sicher, dass deren TOMs ausreichend sind. 

Mehr zum Auftragsverarbeitungsvertrag haben wir hier zusammengestellt: Auftragsverarbeitungsvertrag (AVV) – PLANIT // PRIMA 

3.2 Datenminimierung, Zweckbindung und Löschkonzept 

Die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) gelten auch für die Weihnachtsaktion. Verarbeiten Sie nur Daten von Personen, mit denen Sie tatsächlich Geschäftsbeziehungen unterhalten (haben). Zudem müssen die Daten gelöscht werden, sobald der Zweck der Verarbeitung entfällt, also wenn die Geschäftsbeziehung endet und keine gesetzlichen Aufbewahrungspflichten mehr bestehen. Denken Sie hier auch an die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO). Wenn Sie die Daten nur aufgrund von gesetzlichen Aufbewahrungsfristen speichern dürfen, scheiden darüber hinausgehende Verarbeitungen zumeist aus. 

Ihre Checkliste für datenschutzkonforme Weihnachtsgrüße 

Die festliche Kommunikation muss kein juristisches Minenfeld sein, wenn Sie die folgenden Punkte beachten: 

1. Rechtsgrundlage klären: Postalisch meist berechtigtes Interesse. Digital fast immer explizite Einwilligung (Opt-in) oder die strikten Voraussetzungen des Bestandskundenprivilegs prüfen. 

2. Transparenz sicherstellen: Informieren Sie Empfänger (Art. 13/14 DSGVO) über den Zweck, Rechtsgrundlage und ihre Rechte. 

3. Widerspruchsrecht gewährleisten: Ermöglichen Sie einen einfachen und kostenlosen Widerspruch. Bei E-Mails ist ein Abmeldelink zwingend. Stellen Sie sicher, dass Widersprüche unverzüglich in Ihren Systemen umgesetzt werden. 

4. Sicherheit und BCC: Versenden Sie E-Mails an eine Vielzahl von Empfängern immer nur im BCC-Feld. 

5. AV-Verträge prüfen: Nutzen Sie einen externen Dienstleister (Lettershop, Newsletter-Tool)? Dann muss ein aktueller Auftragsverarbeitungsvertrag vorliegen. 

Wer diese Regeln beachtet, kann sich entspannt auf die Feiertage vorbereiten und muss keine Angst vor Bußgeldern an Weihnachten haben. Damit Ihnen das Datenschutzmanagement auch über den Rest des Jahres gelingt, sollten Sie schon jetzt PLANIT // PRIMA testen.