Bußgeld gegen Krankenkasse wegen mangelhafter TOM

Inhalt

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württembergs (LFDI) verhängte am 30. Juni 2020 eine Geldbuße in Höhe von 1,24 Mio. Euro gegen die AOK Baden-Württemberg. Der Vorwurf: Die Krankenkasse hatte keine angemessenen technischen und organisatorischen Maßnahmen (TOM) gemäß (Artikel 32 DSGVO) getroffen (siehe auch die Pressemitteilung des LFDI).

Hintergrund der DSGVO-Geldbuße

Die AOK Baden-Württemberg führte zu verschiedenen Anlässen Gewinnspiele durch und erhob aus diesem Anlass persönliche Daten der Teilnehmer, einschließlich ihrer Kontaktdaten und Krankenkassenzugehörigkeit. Um diese Daten für Marketingzwecke nutzen zu können, holte sie von den Teilnehmern eine Einwilligung ein.

Mit Hilfe technischer und organisatorischer Maßnahmen (wie z.B. interne Richtlinien und Datenschutzschulungen für die Mitarbeiter) wollte die Organisation sicherstellen, dass nur die Daten der Teilnehmer verwendet werden, die auch tatsächlich ihre Einwilligung gegeben haben.

Die eingesetzten Maßnahmen verhinderten jedoch nicht, dass Daten von 500 Teilnehmern verwendet wurden, die ihre Einwilligung nicht erteilt hatten. Deshalb kam der LFDI zu dem Schluss, dass die von der Organisation ergriffenen Maßnahmen nicht angemessen waren, und demnach ein Verstoß gegen Art. 32 Absatz 1 lit b) GDPR vorliegt.

Im Fokus: technische und organisatorische Maßnahmen

Dieser Fall betont erneut die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Interessant ist, dass das Bußgeld nicht für das Fehlen einer Rechtsgrundlage (hier: Einwilligung gem. Art. 6 Abs. 1 lit a) DSGVO) in 500 Fällen erlassen wurde.

Der LFDI kam zu dem Schluss, dass die AOK Baden-Württemberg ein Verfahren eingeführt hatte, dass grundsätzlich eine rechtmäßige Verarbeitung (d.h. Einholung der Einwilligung) gewährleistet. Allerdings fehlte ein Verfahren zur regelmäßigen Überprüfung und Anpassung der technischen und organisatorischen Maßnahmen, welches die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer (im vorliegenden Fall die Nicht-Verwendung der Daten ohne Einwilligung der Teilnehmer) gewährleistet.

Begründung der Bußgeldhöhe

Auf den ersten Blick erscheint das verhängte Bußgeld eher gering, vor allem wenn man sich das Bußgeld-Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vor Augen führt.

Bei diesem Modell werden die Geldbußen auf der Grundlage des Jahresumsatzes der Unternehmen/Konzerne berechnet, multipliziert mit Faktoren, die je nach Schwere der Verstöße und anderen Umständen variieren. Da der Jahresumsatz die Grundlage für die Berechnung bildet, führt das neue Bußgeld-Konzept bei hohen Umsätzen in der Regel schon bei geringfügigen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu sehr hohen Geldbußen.

Zu Gunsten der AOK Baden-Württemberg sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Zusammenarbeit mit der Aufsichtsbehörde. Bei Bekanntwerden des Vorfalls, stellte die AOK Baden-Württemberg alle vertrieblichen Maßnahmen ein und passte die internen Prozesse und Kontrollstrukturen an.

Mit entscheidend für die Berechnung des Bußgeldes war auch, dass die AOK als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist und somit der gesetzlichen Aufgabe obliegt, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Vor allem wollte der LFDI bei der Festlegung der Höhe des Bußgeldes sicherstellen, dass die Erfüllung des gesetzlichen Auftrags der AOK Baden-Württemberg insbesondere im Hinblick auf die Auswirkungen der Corona-Pandemie nicht gefährdet wird.

Datenschutzrechtliche Einschätzung

Dieser Fall zeigt, dass Datensicherheit und die Einhaltung von Art. 32 DSGVO keine Aufgabe ist, die nur auf dem Papier stattfindet. Die regelmäßige Überprüfung und Anpassung technischer organisatorischer Maßnahmen sollt ernst genommen werden. Unternehmen und Organisationen müssen die Einhaltung der Sicherheitsmaßnahmen dokumentieren und nachweisen können.

Daten- und Informationssicherheit ist zudem eine Daueraufgabe, eine einmalige Implementierung der technischen organisatorischen Maßnahmen reicht nicht aus. Ein Datenschutzmanagementsystem mit den vier Schritten des PDCA-Modells (Planung, Umsetzung, Kontrolle und Optimierung) bietet einen sehr effizienten Weg, um ein angemessenes Datenschutzniveau im Unternehmen zu erreichen. Darüber hinaus können Datenschutzmaßnahmen so stetig verbessert und schnell an sich ändernde Bedingungen angepasst werden.

Neben diesem Punkt wird aber auch erneut deutlich, dass durch eine zügige Aufarbeitung eines Datenschutzverstoßes und eine Zusammenarbeit mit der Aufsichtsbehörde die Höhe eines fälligen Bußgeldes reduziert werden kann.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.