Die Datenschutzbehörden verhängen zunehmend empfindliche Bußgelder bei Datenschutzverstößen. Nun verhängte der Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg ein empfindliches Bußgeld gegen die AOK Baden-Württemberg.
Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, z.B. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten.
Beanstandung durch den Landesdatenschutzbeauftragten
Die von der AOK festgelegten Maßnahmen genügten nach Auffassung des Baden-Württembergischen Landesdatenschutzbeauftragten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden mutmaßlich die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.
Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem Landesdatenschutzbeauftragten erfolgen.
Bußgeld gegen AOK Baden-Württemberg
Der Landesdatenschutzbeauftragte verhängte deswegen laut Mitteilung ein Bußgeld gegen die AOK Baden-Württemberg in Höhe von 1,24 Mio. EUR. Dabei wurde zu Gunsten der AOK berücksichtigt, dass diese umfassenden interne Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen vorgenommen hatte und mit dem Landesdatenschutzbeauftragten kooperiert hatte.
Laut Landesdatenschutzbeauftragten wurde bei der Bemessung der Geldbuße neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil des Gesundheitssystems ist. Schließlich obliege der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzlichen Aufgabe nicht gefährdet wird, so der Landesdatenschutzbeauftragte. Dabei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink betont in dem Zusammenhang, dass „Datensicherheit eine Daueraufgabe ist“ und „technische und organisatorische Maßnahmen regelmäßig den tatsächlichen Verhältnissen anzupassen sind, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“
Fazit
Unternehmen, Behörden und andere Einrichtungen tun gut daran, ihre technischen und organisatorischen Maßnahmen regelmäßig zu überprüfen und ggfs. auf den aktuellen Stand zu bringen. Die Anforderungen hieran können sich mit der Zeit ändern und bei Nichtaktualisierung zu hohen Bußgeldern führen. Zudem sollte bei der Sammlung von Daten zu Werbezwecken stets auf die Beachtung datenschutzrechtlicher Vorgaben geachtet werden.
Artikel als PDF speichern
