Der Landesbeaufragte für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg (kurz LfDI) hat gegenüber der AOK ein Bußgeld in Höhe von insgesamt 1.240.000 Euro verhängt. Grund war ein Verstoß gegen Artikel 32 der Datenschutzgrundverordnung (DSGVO), welcher bestimmte Pflichten hinsichtlich der sicheren Datenverarbeitung enthält. Die Versicherung hatte zuvor im Rahmen von diversen Gewinnspielangeboten persönliche Informationen von Kunden erworben, und diese dann zu Werbezwecken verwendet.
DSGVO: Datenschutz, Strafen, Geldbußen, Verordnungen und: Ordnung muss sein!
Die Datenschutzgrundverordnung (DSGVO) ist seit nunmehr über zwei Jahren in Kraft. Gegen die zahlreichen Neuerungen auf dem Gebiet des Datenschutzes wurde selbstredend schon an einigen Stellen verstoßen, und damit einhergehende Bußgeldstrafen verhängt. Die bis dato höchste Summe musste die Suchmaschine Google in Frankreich “abdrücken”: Stolze 50 Millionen Euro waren 2019 zu entrichten. Eine nicht weniger beeindruckende Strafe in Höhe von 1,24 Millionen Euro wurde nun der AOK in Deutschland seitens des Landesbeauftragen für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg (LfDI) auferlegt.
Die Versicherung hatte in den Jahren 2015 bis 2019 diverse Gewinnspiele für potentielle und existente Kunden veranstaltet. Im Zuge dessen wurden verschiedene persönliche Daten der Interessenten gesammelt, darunter Kontaktinformationen und Angaben zur aktuellen Krankenkassenzugehörigkeit. Diese Daten sollten im Anschluss zu Werbezwecken genutzt werden. Nach Angaben der AOK sollte dies aber nur geschehen, wenn die Betroffenen vorher eine entsprechende Einwilligung abgegeben hatten.
Technische Makel und ungewollte Reklame
Die technischen Maßnahmen die hierzu getroffen wurden, entsprachen allerdings nach Ansicht des Datenschutzbeauftragten in Baden-Württemberg nicht den Ansprüchen der DSGVO. Im Einzelnen sei gegen Artikel 32 verstoßen worde. Hier heißt es:
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Letztlich wurden tatsächlich aufgrund unzureichender Vorkehrungen die persönlichen Daten von rund 500 Gewinnspielteilnehmern zu Werbezwecken verwendet, obwohl diese dem gerade nicht zugestimmt hatten. Der LfDI verhängte daraufhin gegen die AOK die genannte Geldstrafe in Höhe von 1.240.000 Euro. Zur Begründung dieser stolzen Summe hieß es in einer entsprechenden Pressemitteilung:
Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.
Im Zuge der Mitteilung wurde allerdings auch die hohe Kooperationsbereitschaft der Krankenkasse betont, angesichts welcher von einer sogar noch höheren Geldstrafe abgesehen wurde:
Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an.
Fazit
Mit erhobenen Daten ist angesichts der Datenschutzgrundverordnung stets mit äußerster Vorsicht umzugehen. Auch wenn der AOK kein Vorsatz unterstellt werden kann, haben die nur unzureichend installierten technischen Maßnahmen letztlich zu einem Missbrauch der persönlichen Informationen geführt. Dass auch dies zu empfindlichen Strafen führen kann, zeigt der dargestellte Fall. Die DSGVO verleiht Aufsichtsbehörden wie dem LfDI die Befugnis, Bußgelder von bis zu vier Prozent der weltweiten Einnahmen oder maximal pauschal 20 Millionen Euro durchzusetzen. Allerdings ist es auch Aufgabe jener Behörden, innerhalb dieses Rahmens eine angemessene Strafe festzulegen, die den Interessen aller Beteiligten gerecht wird. Hierzu hieß es abschließend in der Pressemitteilung:
Weil Bußgelder nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzlichen Aufgabe (hier der AOK als einer der größten gesetzlichen Krankenkassen in Deutschland) nicht gefährdet wird.