DSGVO: Krankenkasse zahlt Bußgeld in Millionenhöhe

Seit Beginn der Datenschutz-Grundverordnung (DSGVO) sind Datenschutz-Pannen richtig teuer. Das bekam nun auch die AOK Baden-Württemberg zu spüren: Aufgrund eines Datenschutzverstoßes muss sie ein Bußgeld von 1,24 Millionen Euro zahlen.

Nicht zweckmäßige Verwendung von Gewinnspieldaten

Baden-Württembergs Landesdatenschutzbeauftragter Stefan Brink verhängte ein Bußgeld von 1,24 Millionen Euro an die AOK Baden-Württemberg. Zwischen 2015 und 2019 hatte die Krankenkasse verschiedene Gewinnspiele ausgelobt. Die dabei erhobenen personenbezogenen Daten jedoch wurden zum Teil rechtswidrig zu Werbezwecken genutzt.

Die AOK habe versucht, die Notwendigkeit einer solchen Einwilligung durch technisch-organisatorische Maßnahmen abzufedern. Interne Richtlinien und Datenschutzschulungen fanden entsprechend statt. Jedoch hätten diese laut Brink weder den gesetzlichen Anforderungen entsprochen noch die missbräuchliche Datenverwendung wiedergutgemacht.

Als dieser Vorfall bekannt wurde, habe die Krankenkasse laut Brink unmittelbar sämtliche vertrieblichen Maßnahmen eingestellt. Interne Abläufe wurden auf den Prüfstand gestellt und in Zusammenarbeit mit Brink als Landesdatenschutzbeauftragten sei es gelungen, das Datenschutzniveau für Vertriebstätigkeiten in der AOK zu erhöhen.

DSGVO-Bußgeld: Die Details

Die AOK erhob bei diesen Gewinnspielen zwischen 2015 und 2019 verschiedene Daten: Informationen zur Krankenkassenzugehörigkeit genauso wie Kontaktdaten. Hatten die Teilnehmer entsprechend eingewilligt, wollte die AOK diese Daten auch zu Werbezwecken nutzen. Brink erklärte als Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Stuttgart jedoch, dass die Daten von 500 Gewinnspielteilnehmerinnen und –teilnehmern ohne eine entsprechende Einwilligung für Werbezwecke genutzt wurden.

Denn: Vorher sagte die AOK Baden-Württemberg zu, die Daten der Gewinnspielteilnehmer ausschließlich dann zu Werbezwecken zu nutzen, wenn diese eingewilligt hätten. Letzteres, also die Einwilligung, wurde jedoch missachtet. Damit bekam die AOK Baden-Württemberg mit 1,24 Millionen Euro die bislang höchste Strafe im Südwesten der Bundesrepublik.

Brinks Begründung ist eindeutig: Die Krankenkasse zweckentfremdete die Daten, die eigentlich nur fürs Gewinnspiel genutzt werden durften. Brink teilte weiter mit, dass Versichertendaten nicht betroffen seien und dass die AOK nach Bekanntwerden des Vorfalls schnell die Weichen für einen optimierten Datenschutz stellte.

Wie wurde die Datenschutzverletzung bekannt?

Tatsächlich konnte Brink nur aktiv werden, weil diverse Hinweise aus der Bevölkerung eingingen. Hier zeigen sich Folgen der DSGVO: Nutzer haben verstanden, dass sie Rechte im Datenschutz besitzen, und wehren sich gegebenenfalls durch entsprechende Beschwerden, die in aller Regel ernstgenommen werden.

Landesdatenschutzbeauftragter Brink erklärte, dass dieses Bußgeld das bislang höchste ist, welches in Baden-Württemberg verhängt wurde. Beim Bemessen der DSGVO-Strafe seien Größe und Bedeutung der AOK eingeflossen. Berücksichtigt wurde aber auch, dass die AOK Baden-Württemberg als gesetzliche Krankenversicherung einen wichtigen Bestandteil des Gesundheitssystems ausmache. „Weil Bußgelder nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzlichen Aufgabe nicht gefährdet wird“, begründet der Datenschutzbeauftragte.

Die AOK hat nun zwei Wochen Zeit, gegen den Bußgeldbescheid vorzugehen. Ein Sprecher kündigte jedoch bereits an, dass die Krankenkasse die Strafe akzeptieren werde. Einsparungen bei den Verwaltungskosten sollen es ermöglichen, die entsprechenden Mittel aufzubringen. Der AOK-Sprecher gibt zu verstehen: „Versicherungs- und Versorgungsleistungen sind davon in keiner Weise betroffen.“

Interne Prozesse auf dem Prüfstand

Die AOK habe laut Brink gut reagiert: Nachdem der Datenschutzvorfall bekannt wurde, stellte sie umgehend den Vertrieb ein. Interne Abläufe wurden einer gründlichen Prüfung unterzogen und man setzte eine Task-Force ein. Mit ihrer Hilfe passte die AOK Einwilligungserklärungen an und änderte interne Kontrollstrukturen sowie Prozesse.

AOK-DSGVO-Vorfall: Was lernen wir?

Zugegeben: Datenschutz kostet Geld, die personenbezogenen und möglicherweise sensiblen Daten von Bürgerinnen und Bürgern müssen geschützt werden. Viel teurer jedoch wird es, wenn der Datenschutz Lücken aufweist. Geschieht das auch noch im sehr sensiblen Gesundheitsbereich, müssen Datenschutzverletzungen („Datenschutzpannen“) umso teurer bezahlt werden. Die Gesundheitsbranche geht mit besonderen Daten um, und dass im vorliegenden Fall beispielsweise die Krankenkassenzugehörigkeit mitverarbeitet wurde, ist ein tiefer Einschnitt in die Privatsphäre.

Insgesamt wird im Gesundheitssektor nach wie vor ein großer Nachholbedarf sichtbar. Die DSGVO hilft mit ihren Rechten und Pflichten, diesen Bedarf aufzudecken und den Datenschutz in Europa weiter zu optimieren.