Vorsicht bei der Zweckentfremdung von personenbezogenen Daten

 

Vor wenigen Tagen wurde bekannt, dass die Landesdatenschutzaufsicht in Baden-Württemberg ein Bußgeld in Höhe von 1,2 Millionen Euro gegen die Krankenversicherung AOK verhängt hat.

 

Hintergrund – Versand von Werbung ohne Einwilligung

Das Unternehmen hatte Kontaktdaten (Gesundheitsdaten waren nicht betroffen) aus Gewinnspielen der Jahren 2015-2019 zweckentfremdet. Mit den Gewinnspielen sollten neue Kund*innen akquiriert werden. Die Angaben der Gewinnspielteilnehmer*innen wollte die AOK aber nur dann für Werbezwecke verwenden, wenn eine entsprechende Einwilligung hierfür vorlag. Diese wurde nicht von allen Gewinnspielteilnehmer*innen abgegeben.

Später wurde offenbar, dass die AOK dennoch die Daten von über fünfhundert Gewinnspielteilnehmer*innen ohne Einwilligung verwendete und die Teilnehmer*innen werblich anschrieb. Aufgrund von Hinweisen aus der Bevölkerung wurden sowohl die AOK als auch die Landesdatenschutzaufsicht auf die Werbeaktion aufmerksam.

Aus der Pressemitteilung des Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) geht hervor, dass die AOK nach Bekanntwerden der Vorwürfe eine Task Force für den Datenschutz im Vertrieb einsetzte, Einwilligungserklärungen anpasste und mit dem LfDI kooperierte.

 

Bußgeld 

Bußgelder, die von den Aufsichtsbehörden aufgrund von Datenschutzvorfällen verhängt werden dürfen, müssen nach Art. 83 Abs. 1 DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Für die fehlerhafte Verwendung von ca. 500 E-Mail-Adressen scheint ein Bußgeld in Höhe von 1,2 Mio. Euro recht hoch. Andererseits hat die AOK Baden-Württemberg ein Haushaltsvolumen von ca. 18 Milliarden Euro.

Laut LfDI wurden bei der Bußgeldbemessung folgende Umstände berücksichtigt:

  • Gesetzliche Krankenversicherungen sind ein wichtiger Bestandteil unseres Gesundheitssystems, deren gesetzliche Aufgaben nicht gefährdet werden dürfen
  • Die gegenwärtigen Herausforderungen in Zeiten der Corona-Pandemie
  • Kooperation mit dem LfDI
  • Treffen von Maßnahmen, damit der Verstoß in Zukunft nicht wieder geschieht

Der Landesdatenschutzbeauftragte Dr. Stefan Brink sprach in einem Interview mit dem SWR von einem „Bußgeld mit Augenmaß“.

 

Rechtliche Einschätzung  

Das LfDI hat in seiner Pressemitteilung nicht konkret benannt, welche Vorschrift der DSGVO seiner Ansicht nach verletzt wurde. Einiges deutet darauf hin, dass das LfDI einen Verstoß gegen Art. 32 DSGVO angenommen hat. In der Mitteilung heißt es, die technischen und organisatorischen Maßnahmen seien nicht ausreichend gewesen, um eine Zweckentfremdung der Kontaktdaten zu verhindern. Nach Art. 32 DSGVO müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau gewährleisten zu können. In die Beurteilung, welche Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, des Umfangs und der Zwecke der Verarbeitung geeignet sind, sind auch Beurteilung der Risiken, die mit der Verarbeitung der Daten verbunden sind, einzubeziehen.

Die Krankenkasse hat es im hiesigen Fall wohl versäumt, die Kontaktdaten ausreichend davor zu schützen, in Werbeverteiler aufgenommen zu werden.

Naheliegen könnte aber auch ein Verstoß gegen Art. 6 DSGVO, wenn für die Zweckänderung der Datenverarbeitung und Verwendung der Daten zu werblichen Zwecken keine Rechtsgrundlage einschlägig war. Möglich ist, dass sich das Unternehmen ggf. auf berechtigte Interessen nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO berufen konnte (Erwägungsgrund 47 der DSGVO nennt „Direktwerbung“ als berechtigtes Interesse eines Verantwortlichen). Argumentieren ließe sich auch, es liege eine erlaubte Zweckänderung nach Art. 6 Abs. 4 DSGVO vor, wobei Anwendungsbereich und Bedeutung dieser Norm umstritten sind und bislang keine Urteile dazu bekannt sind.

Ferner lag womöglich ein Verstoß gegen die Informationspflichten nach Art. 13 DSGVO vor, denn über die Zwecke und Rechtsgrundlagen, auf denen die Datenverarbeitung beruht, muss zum Zeitpunkt der Erhebung der Daten informiert werden. Als die Teilnehmer*innen sich für das Gewinnspiel anmeldeten, willigten sie gerade nicht in werbliche Zwecke ein und wurden – so ist zu vermuten – auch nicht über eine etwaige Zweckänderung informiert.

Gleichzeitig kann ein Verstoß gegen den Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO vorgelegen haben, da ein Gewinnspiel in der Regel innerhalb weniger Wochen oder Monate abgeschlossen ist und sodann, wenn keine weitere Erforderlichkeit für die Datenverarbeitung oder -speicherung besteht. Dies wird ergänzt durch Art. 17 Abs. 1 Satz 1 lit. a DSGVO, wonach personenbezogene Daten unverzüglich zu löschen sind, wenn sie für die Zwecke, für die sie erhoben oder verarbeitet wurden nicht mehr notwendig sind.

Nachdem die betroffenen Personen keine Einwilligung in die Nutzung für Werbezwecke erteilt hatten, ist zu bezweifeln, dass ein Erfordernis bestand, diese Daten über Jahre hinweg aufzubewahren.

 

Bedeutung und Tragweite der Bußgeldentscheidung

Auf den ersten Blick wirkt das Bußgeld sehr hoch – und es ist zwei Jahre seit Anwendbarkeit der DSGVO das höchste in Baden-Württemberg. Die AOK scheint dennoch mit dem Bußgeld glimpflich davongekommen zu sein und aktuell sieht es auch nicht so aus, als wolle sie dagegen vorgehen.

Bei einem Verstoß gegen Art. 32 DSGVO kommt der niedrige Bußgeldrahmen von bis zu 10 Mio. Euro bzw. bis zu 2 % des weltweiten Jahresumsatzes zur Anwendung; hätte das LfDI einen Verstoß gegen Art. 6 oder Art. 5 der DSGVO angenommen, wäre der hohe Bußgeldrahmen von bis zu 20 Mio. Euro bzw. bis zu 4 % des weltweiten Jahresumsatzes einschlägig.

Dennoch zeigt das Bußgeld, dass die Einhaltung des Datenschutzes sehr wichtig ist und regelmäßig überprüft werden muss, ob die Prozesse, die im Unternehmen für die Datenverarbeitung aufgesetzt wurden, den Risiken für die Rechte und Freiheiten betroffener Personen bei der Datenverarbeitung entsprechen.

 

Gefahr von Schadensersatz- und Schmerzensgeldansprüchen

Nicht zu unterschätzen ist auch das Risiko, dass betroffene Personen bei Verstößen gegen die DSGVO Schadensersatz- und Schmerzensgeldansprüche geltend machen. Bei über 500 fehlerhaft versendenden E-Mails besteht zumindest das Risiko, dass einige der betroffenen Personen auch direkt auf die AOK zugehen oder zugegangen sind, um etwaige materielle oder immaterielle Schäden geltend zu machen.

 

Übersicht Vor