verh\u00e4ngte ein Bu\u00dfgeld<\/a> von 1,24 Millionen Euro an die AOK Baden-W\u00fcrttemberg. Zwischen 2015 und 2019 hatte die Krankenkasse verschiedene Gewinnspiele ausgelobt. Die dabei erhobenen personenbezogenen Daten jedoch wurden zum Teil rechtswidrig zu Werbezwecken genutzt.<\/p>\nDie AOK habe versucht, die Notwendigkeit einer solchen Einwilligung durch technisch-organisatorische Ma\u00dfnahmen abzufedern. Interne Richtlinien und Datenschutzschulungen fanden entsprechend statt. Jedoch h\u00e4tten diese laut Brink weder den gesetzlichen Anforderungen entsprochen noch die missbr\u00e4uchliche Datenverwendung wiedergutgemacht.<\/p>\n
Als dieser Vorfall bekannt wurde, habe die Krankenkasse laut Brink unmittelbar s\u00e4mtliche vertrieblichen Ma\u00dfnahmen eingestellt. Interne Abl\u00e4ufe wurden auf den Pr\u00fcfstand gestellt und in Zusammenarbeit mit Brink als Landesdatenschutzbeauftragten sei es gelungen, das Datenschutzniveau f\u00fcr Vertriebst\u00e4tigkeiten in der AOK zu erh\u00f6hen.<\/p>\n
DSGVO-Bu\u00dfgeld: Die Details<\/h2>\n
Die AOK erhob bei diesen Gewinnspielen zwischen 2015 und 2019 verschiedene Daten: Informationen zur Krankenkassenzugeh\u00f6rigkeit genauso wie Kontaktdaten. Hatten die Teilnehmer entsprechend eingewilligt, wollte die AOK diese Daten auch zu Werbezwecken nutzen. Brink erkl\u00e4rte als Landesbeauftragter f\u00fcr den Datenschutz und die Informationsfreiheit in Stuttgart jedoch, dass die Daten von 500 Gewinnspielteilnehmerinnen und \u2013teilnehmern ohne eine entsprechende Einwilligung f\u00fcr Werbezwecke genutzt wurden.<\/p>\n
Denn: Vorher sagte die AOK Baden-W\u00fcrttemberg zu, die Daten der Gewinnspielteilnehmer ausschlie\u00dflich dann zu Werbezwecken zu nutzen, wenn diese eingewilligt h\u00e4tten. Letzteres, also die Einwilligung, wurde jedoch missachtet. Damit bekam die AOK Baden-W\u00fcrttemberg mit 1,24 Millionen Euro die bislang h\u00f6chste Strafe im S\u00fcdwesten der Bundesrepublik.<\/p>\n
Brinks Begr\u00fcndung ist eindeutig: Die Krankenkasse zweckentfremdete die Daten, die eigentlich nur f\u00fcrs Gewinnspiel genutzt werden durften. Brink teilte weiter mit, dass Versichertendaten nicht betroffen seien und dass die AOK nach Bekanntwerden des Vorfalls schnell die Weichen f\u00fcr einen optimierten Datenschutz stellte.<\/p>\n
Wie wurde die Datenschutzverletzung bekannt?<\/h2>\n
Tats\u00e4chlich konnte Brink nur aktiv werden, weil diverse Hinweise aus der Bev\u00f6lkerung eingingen. Hier zeigen sich Folgen der DSGVO: Nutzer haben verstanden, dass sie Rechte im Datenschutz besitzen, und wehren sich gegebenenfalls durch entsprechende Beschwerden, die in aller Regel ernstgenommen werden.<\/p>\n
Landesdatenschutzbeauftragter Brink erkl\u00e4rte, dass dieses Bu\u00dfgeld das bislang h\u00f6chste ist, welches in Baden-W\u00fcrttemberg verh\u00e4ngt wurde. Beim Bemessen der DSGVO-Strafe seien Gr\u00f6\u00dfe und Bedeutung der AOK eingeflossen. Ber\u00fccksichtigt wurde aber auch, dass die AOK Baden-W\u00fcrttemberg als gesetzliche Krankenversicherung einen wichtigen Bestandteil des Gesundheitssystems ausmache. \u201eWeil Bu\u00dfgelder nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verh\u00e4ltnism\u00e4\u00dfig sein m\u00fcssen, war bei der Bestimmung der Bu\u00dfgeldh\u00f6he sicherzustellen, dass die Erf\u00fcllung dieser gesetzlichen Aufgabe nicht gef\u00e4hrdet wird\u201c, begr\u00fcndet der Datenschutzbeauftragte.<\/p>\n
Die AOK hat nun zwei Wochen Zeit, gegen den Bu\u00dfgeldbescheid vorzugehen. Ein Sprecher k\u00fcndigte jedoch bereits an, dass die Krankenkasse die Strafe akzeptieren werde. Einsparungen bei den Verwaltungskosten sollen es erm\u00f6glichen, die entsprechenden Mittel aufzubringen. Der AOK-Sprecher gibt zu verstehen: \u201eVersicherungs- und Versorgungsleistungen sind davon in keiner Weise betroffen.\u201c<\/p>\n
Interne Prozesse auf dem Pr\u00fcfstand<\/h2>\n
Die AOK habe laut Brink gut reagiert: Nachdem der Datenschutzvorfall bekannt wurde, stellte sie umgehend den Vertrieb ein. Interne Abl\u00e4ufe wurden einer gr\u00fcndlichen Pr\u00fcfung unterzogen und man setzte eine Task-Force ein. Mit ihrer Hilfe passte die AOK Einwilligungserkl\u00e4rungen an und \u00e4nderte interne Kontrollstrukturen sowie Prozesse.<\/p>\n
AOK-DSGVO-Vorfall: Was lernen wir?<\/h2>\n
Zugegeben: Datenschutz kostet Geld, die personenbezogenen und m\u00f6glicherweise sensiblen Daten von B\u00fcrgerinnen und B\u00fcrgern m\u00fcssen gesch\u00fctzt werden. Viel teurer jedoch wird es, wenn der Datenschutz L\u00fccken aufweist. Geschieht das auch noch im sehr sensiblen Gesundheitsbereich, m\u00fcssen Datenschutzverletzungen („Datenschutzpannen“) umso teurer bezahlt werden. Die Gesundheitsbranche geht mit besonderen Daten um, und dass im vorliegenden Fall beispielsweise die Krankenkassenzugeh\u00f6rigkeit mitverarbeitet wurde, ist ein tiefer Einschnitt in die Privatsph\u00e4re.<\/p>\n
Insgesamt wird im Gesundheitssektor nach wie vor ein gro\u00dfer Nachholbedarf sichtbar. Die DSGVO hilft mit ihren Rechten und Pflichten, diesen Bedarf aufzudecken und den Datenschutz in Europa weiter zu optimieren.<\/p>\n","protected":false},"excerpt":{"rendered":"
Seit Beginn der Datenschutz-Grundverordnung (DSGVO) sind Datenschutz-Pannen richtig teuer. Das bekam nun auch die AOK Baden-W\u00fcrttemberg zu sp\u00fcren: Aufgrund eines Datenschutzversto\u00dfes muss sie ein Bu\u00dfgeld von 1,24 Millionen Euro zahlen. Nicht zweckm\u00e4\u00dfige Verwendung von Gewinnspieldaten Baden-W\u00fcrttembergs Landesdatenschutzbeauftragter Stefan Brink verh\u00e4ngte ein Bu\u00dfgeld von 1,24 Millionen Euro an die AOK Baden-W\u00fcrttemberg. Zwischen 2015 und 2019 hatte … <\/p>\n
Mehr Lesen Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":6,"featured_media":5646,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[111,46],"tags":[3,139,6],"class_list":["post-5640","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-rechtliches","tag-datenschutz","tag-eu-dsgvo","tag-personenbezogene-daten"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/5640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=5640"}],"version-history":[{"count":4,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/5640\/revisions"}],"predecessor-version":[{"id":5647,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/5640\/revisions\/5647"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/5646"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=5640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=5640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=5640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}