Datenmissbrauch bei Gewinnspielen – hohes Bußgeld gegen AOK verhängt

Ein Fehler beim Umgang mit Kundendaten hat der AOK Baden-Württemberg nun ein Bußgeld in beträchtlicher Höhe beschert. Was war passiert?

Seit über zwei Jahren haben Unternehmen nun Gelegenheit gehabt, Ihre Strukturen auf die Bestimmungen der DSGVO hin umzustellen. Datenschutzbeauftragte hatten in dieser Zeit alle Hände voll zu tun, neue Grundlagen zu schaffen und Prozesse zu verändern. Rechtlich wie praktisch ist dabei noch vieles im Unklaren, aber in den wesentlichen Grundlagen, wie etwa dem Umgang mit Kundendaten, sind die meisten Unternehmen inzwischen versiert. Dennoch passieren Fehler. Für einen solchen Fehler, der normalerweise eher ein Fall für den Werberat oder den Verbraucherschutz wäre als ein Missbrauch sensibler Daten, wurde aktuell die AOK Baden-Württemberg mit einem Bußgeld in Millionenhöhe belegt.

Gewinnspiele mit fatalen Folgen

Um neue Kunden zu werben, veranstaltete die Krankenversicherung immer wieder Gewinnspiele, um so an Adressdaten zu Werbezwecken zu gelangen. Allerdings hätten die Daten der Teilnehmer ohne eine Einwilligung in Werbung nur für den Zweck der Gewinnspielabwicklung gespeichert werden dürfen etwa, um Gewinner über ihren Gewinn informieren zu können. In mehr als 500 Fällen wurden die Adressdaten allerdings – offenbar aus Versehen – darüber hinaus genutzt, um die Adressaten mit Werbung für einen Wechsel der Krankenkasse zu beschicken, obwohl die abgefragte Einwilligung der Betroffenen zur werblichen Nutzung nicht vorlag. Aus Sicht der Datenschutzaufsichtsbehörde ein erheblicher Verstoß gegen die DSGVO und die darin enthaltenen Grundsätze der Datensicherheit.

Baden-Württembergs Landesdatenschutzbeauftragter Stefan Brink rechtfertigt in einer Pressemitteilung die Höhe des Bußgelds damit, dass „neben Umständen wie der Größe und Bedeutung der AOK“ insbesondere auch berücksichtigt worden wäre, „dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist“ und „Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen“, was „bei der Bestimmung der Bußgeldhöhe“ der Fall gewesen wäre und die „Erfüllung dieser gesetzliche[n] Aufgabe nicht gefährdet wird“ und hierbei „die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt“ worden sei.

Von der AOK, die Brink für ihre konstruktive Zusammenarbeit lobte, war zu hören, dass man gegen den Bußgeldbescheid keinen Einspruch in Erwägung ziehe. Vielmehr seien inzwischen alle Vorkehrungen dafür getroffen, dass es künftig nicht mehr zu solchen Fehlern kommen sollte.

Bußgeldbescheid mit Abschreckungswirkung

Generell darf das hohe Bußgeld, das gegen die AOK Baden-Württemberg verhängt wurde, einschließlich der öffentlichen Begründung, die verdeutlichen soll, dass eigentlich auch ein noch höheres Bußgeld hätte verhängt werden können, durchaus als Präzedenzfall gewertet werden. Denn auch viele andere Unternehmen, die nicht so im Rampenlicht stehen, können aus dem Fall wichtige Schlüsse ziehen. Denn die AOK hatte in dem Fall eigentlich durch „technische und organisatorische Maßnahmen“ (sogenannte TOMs) dafür Sorge tragen wollen, dass tatsächlich nur diejenigen Gewinnspielteilnehmer auf den Adresslisten für Werbemaßnahmen landen sollten, die dem ausdrücklich zugestimmt hatten. Dabei sei dann aber eben eine Panne passiert. Die von der AOK bei dem Gewinnspiel verwendeten TOMs genügten nach Ansicht der Aufsichtsbehörde nicht den gesetzlichen Anforderungen an die Datensicherheit, sodass – obwohl keine sensiblen Daten betroffen waren und es lediglich um unverlangte Werbezusendungen ging – ein so erhebliches Bußgeld angemessen wäre.

Artikel 32 DSGVO regelt unter Absatz 1 lit. d) zu den diesbezüglichen Pflichten eines Verantwortlichen jedoch nur, dass: „[…] ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ vorhanden sein muss. Nach Ansicht der Aufsichtsbehörde hätten Unternehmen durch permanente interne Kontrollen selbst bezüglich solcher „Trivialdaten“, wie Adressdaten, und selbst dann, wenn diese aus der Zeit vor der DSGVO stammen, heute sicherzustellen, dass personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen dauerhaft sicher verwahrt und vor einer unerlaubten Zweckentfremdung – selbst wenn dieses nur im Rahmen einer Panne passiert – geschützt werden.

Fazit

Das Bußgeld von über 1,2 Millionen Euro für eine gesetzliche Krankenkasse sollte auch kleineren Unternehmen Anlass geben, den bisherigen Umgang mit den eigenen Daten, die für Werbung und Akquise-Aktionen genutzt werden, auf einen DSGVO-konformen Umgang und die Qualität ihrer TOMs hin zu überprüfen.

Autor: Jan Mönikes, Rechtsanwalt