Millionen-Bußgeld gegen die AOK Baden-Württemberg
Von Timo Schutt 30. Juni 2020LfDI Baden-Württemberg verhängt Millionen-Bußgeld gegen AOK
Die AOK Baden-Württemberg muss ein Millionen-Bußgeld bezahlen. Genau genommen sind es 1,24 Millionen Euro.
Der Grund? Ein Verstoß gegen die Pflicht zur sicheren Datenverarbeitung nach Artikel 32 DSGVO. Der Artikel ist die zentrale Vorschrift, aus welcher grundsätzlich die Pflicht zur risikobasierten Implementierung von technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten abgeleitet wird.
Hier waren die technischen und organisatorischen Maßnahmen unzureichend. So erhielten Personen Werbung per E-Mail, die nicht darin eingewilligt hatten.
Technische und organisatorische Maßnahmen der AOK unzureichend
Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000 Euro verhängt.
Der Hintergrund: Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 verschiedene Gewinnspiele. Dabei wurden personenbezogene Daten der Teilnehmer erhoben. Darunter auch deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, unter anderem durch interne Richtlinien und Datenschutzschulungen, wollte die AOK sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten aber nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.
Zusammenarbeit verhindert höheres Bußgeld
In der Pressemeldung des LfDI (Link siehe unten) wird darauf hingewiesen, dass die AOK “in konstruktiver Zusammenarbeit” zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt habe. Aus dieser Formulierung kann man – wie schon beim ersten DSGVO-Bußgeld in Sachen knuddels.de – schließen, dass die AOK aufgrund dieser konstruktiven Zusammenarbeit an einem höheren Bußgeld vorbeigeschlittert ist.
Dieses Szenario dürfte realistisch sein, nachdem es in der offiziellen Pressemitteilung weiter heißt:
“Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen”.
Corona und Systemrelevanz als Bußgeldsenker
Bei der Bemessung des Millionen-Bußgeld wurden laut Pressemitteilung Umstände wie der Größe und Bedeutung der AOK Baden-Württemberg berücksichtigt, Insbesondere aber auch, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil des Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe laut LfDI sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden auch die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.
Die Pressemitteilung des LfDI können Sie hier abrufen.
Meine Meinung
Die technischen und organisatorischen Maßnahmen (TOMs) werden nach meiner Erfahrung noch von vielen Unternehmen nicht ausreichend vorgenommen. Dabei ist nicht nur auf die Angemessenheit der Maßnahmen im Hinblick auf das Risiko zu achten. Vielmehr muss die Umsetzung der Maßnahmen begleitet und dabei müssen die Mitarbeiter “mitgenommen” werden. Denn diese müssen schließlich die Maßnahmen beachten und umsetzen.
Schließlich müssen die TOMs dann durch regelmäßige Stichproben überwacht werden. Nur so kann ein hohes Schutzniveau sichergestellt werden.
Das alles ist auch Teil meiner Aufgabe als externer Datenschutzbeauftragter für meine Kunden.
Beruhigend und zugleich auch meine Erfahrung ist das abschließende Statement des LfDI Baden-Württemberg, Dr. Stefan Brink: „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“.
Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen, wird weiter in der Pressemeldung betont. Dem kann man nur zustimmen.
Timo Schutt
Ihr DatenschutzPartner
Fachanwalt für IT-Recht