Wegen eines Ver­sto­ßes gegen die Pflich­ten zu siche­rer Daten­ver­ar­bei­tung (Art. 32 der Euro­päi­schen Daten­schutz-Grund­ver­ord­nung DS-GVO) hat die Buß­geld­stel­le des LfDI Baden-Würt­tem­berg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Würt­tem­berg  eine  Geld­bu­ße  von  1.240.000,- Euro  ver­hängt   und – in kon­struk­ti­ver Zusam­men­ar­beit mit der AOK – zugleich die Wei­chen für eine Ver­bes­se­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz per­sön­li­cher Daten bei der AOK Baden-Würt­tem­berg gestellt.

Die AOK Baden-Würt­tem­berg ver­an­stal­te­te in den Jah­ren 2015 bis 2019 zu unter­schied­li­chen Gele­gen­hei­ten Gewinn­spie­le und erhob hier­bei per­so­nen­be­zo­ge­ne Daten der Teil­neh­mer, dar­un­ter deren Kon­takt­da­ten und Kran­ken­kas­sen­zu­ge­hö­rig­keit. Dabei woll­te die AOK die Daten der Gewinn­spiel­teil­neh­mer auch zu Wer­be­zwecken nut­zen, sofern die Teil­neh­mer hier­zu ein­ge­wil­ligt hat­ten. Mit­hil­fe tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, u. a. durch inter­ne Richt­li­ni­en und Daten­schutz­schu­lun­gen, woll­te die AOK hier­bei sicher­stel­len, dass nur Daten sol­cher Gewinn­spiel­teil­neh­mer zu Wer­be­zwecken ver­wen­det wer­den, die zuvor wirk­sam hier­in ein­ge­wil­ligt hat­ten. Die von der AOK fest­ge­leg­ten Maß­nah­men genüg­ten jedoch nicht den gesetz­li­chen Anfor­de­run­gen. In der Fol­ge wur­den die per­so­nen­be­zo­ge­nen Daten von mehr als 500 Gewinn­spiel­teil­neh­mern ohne deren Ein­wil­li­gung zu Wer­be­zwecken ver­wen­det. Ver­si­cher­ten­da­ten waren hier­von nicht betrof­fen.

Die AOK Baden-Würt­tem­berg stell­te unmit­tel­bar nach Bekannt­wer­den des Vor­wurfs alle ver­trieb­li­chen Maß­nah­men ein, um sämt­li­che Abläu­fe grund­le­gend auf den Prüf­stand zu stel­len. Zudem grün­de­te die AOK eine Task For­ce für Daten­schutz im Ver­trieb und pass­te neben den Ein­wil­li­gungs­er­klä­run­gen ins­be­son­de­re auch inter­ne Pro­zes­se und Kon­troll­struk­tu­ren an. Wei­te­re Maß­nah­men sol­len in enger Abstim­mung mit dem LfDI erfol­gen.

Inner­halb des Buß­geld­rah­mens gemäß Art. 83 Abs. 4 DS-GVO spra­chen die umfas­sen­den inter­nen Über­prü­fun­gen und Anpas­sun­gen der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sowie die kon­struk­ti­ve Koope­ra­ti­on mit dem LfDI zu Gun­sten der AOK. Auf die­se Wei­se konn­te in kur­zer Zeit eine Stei­ge­rung des Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten bei Ver­triebs­tä­tig­kei­ten der AOK erreicht wer­den. Die­se Ver­bes­se­run­gen und zusätz­li­chen Kon­troll­me­cha­nis­men wird die AOK zukünf­tig ent­spre­chend den Vor­ga­ben und Emp­feh­lun­gen des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit fort­füh­ren und ggf. anpas­sen.

Bei der Bemes­sung der Geld­bu­ße wur­de neben Umstän­den wie der Grö­ße und Bedeu­tung der AOK Baden-Würt­tem­berg ins­be­son­de­re auch berück­sich­tigt, dass sie als eine gesetz­li­che Kran­ken­ver­si­che­rung wich­ti­ger Bestand­teil unse­res Gesund­heits­sy­stems ist. Schließ­lich obliegt der AOK die gesetz­li­che Auf­ga­be, die Gesund­heit der Ver­si­cher­ten zu erhal­ten, wie­der­her­zu­stel­len oder zu ver­bes­sern. Weil Buß­gel­der nach der DS-GVO nicht nur wirk­sam und abschreckend, son­dern auch ver­hält­nis­mä­ßig sein müs­sen, war bei der Bestim­mung der Buß­geld­hö­he sicher­zu­stel­len, dass die Erfül­lung die­ser gesetz­li­che Auf­ga­be nicht gefähr­det wird. Hier­bei wur­den die gegen­wär­ti­gen Her­aus­for­de­run­gen für die AOK infol­ge der aktu­el­len Coro­na-Pan­de­mie in beson­de­rem Maße berück­sich­tigt.

Daten­si­cher­heit ist eine Dau­er­auf­ga­be“, betont der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Dr. Ste­fan Brink. „Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men sind regel­mä­ßig den tat­säch­li­chen Ver­hält­nis­sen anzu­pas­sen, um auf Dau­er ein ange­mes­se­nes Schutz­ni­veau sicher­zu­stel­len.“ Der Sicher­stel­lung daten­schutz­kon­for­mer Zustän­de und der guten Zusam­men­ar­beit von ver­ant­wort­li­chen Stel­len mit dem LfDI als Auf­sichts­be­hör­de wird dabei regel­mä­ßig gro­ße Bedeu­tung bei­gemes­sen. „Wir stre­ben kei­ne beson­ders hohen Buß­gel­der, son­dern ein beson­ders gutes und ange­mes­se­nes Daten­schutz­ni­veau an“, so Brink abschlie­ßend.

Die­se Pres­se­mit­tei­lung als PDF-Doku­ment auf­ru­fen.