Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenver­arbeitung hat der Landesda­ten­schutz­be­auftragte für Baden-Württemberg am 25.06.2020 eine Geldbuße von 1.240.000,- Euro gegen die AOK Baden-Württemberg verhängt. Damit einher gehen soll – in konstruktiver Zusammenarbeit mit der AOK – die Verbesserung der technischen und organisa­torischen Maßnahmen zum Schutz persönlicher Daten.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkas­sen­zu­ge­hörigkeit. Dabei wollte die AOK die Daten der Gewinnspiel­teilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisa­torischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutz­schulungen sollte abgesichert werden, dass nur Daten zu Werbezwecken verwendet werden, wenn eine entsprechende Einwilligung vorliegt. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen, sodass die personen­bezogenen Daten von mehr als 500 Gewinnspiel­teilnehmern ohne deren Einwilligung zu Werbezwecken verwendet wurden. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen und gründete eine ​"Task Force für Datenschutz im Vertrieb". Die betroffenen Einwilli­gungs­er­klärungen, insbesondere auch interne Prozesse und Kontroll­strukturen, wurden angepasst. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens des Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisa­torischen Maßnahmen, sowie die konstruktive Kooperation mit dem LfDI für die AOK. 

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg auch berücksichtigt, dass sie als gesetzliche Krankenver­sicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederher­zustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe. Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen. Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“

Der Landesbe­auftragte für den Datenschutz und die Informati­onsfreiheit, Dr. Stefan Brink.

Zu dieser Pressemitteilung des LfDI BW hier.