Update Datenschutz Nr. 81
Fehler bei der Datenverarbeitung im Rahmen von Gewinnspielen kostet die AOK Baden-Württemberg ein Bußgeld in Millionenhöhe
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württembergs (LfDI) hat gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von 1.240.000 € verhängt. Grund dafür waren Fehler bei der Datenverarbeitung im Rahmen von Gewinnspielen. Das Krankenversicherungsunternehmen hatte in 500 Fällen keine wirksame Einwilligung der Gewinnspielteilnehmer eingeholt. Auf den Verstoß aufmerksam wurde das LfDI auf Grund eines Hinweises eines internen Whistleblowers.
Sachverhalt
Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 Gewinnspiele, bei denen unter anderem die Kontaktdaten der Teilnehmer und die Krankenkassenmitgliedschaft erfasst wurden. Teilnehmer an dem Gewinnspiel sollten vorab ein Formular ausfüllen, um ihre Einwilligung in die Datenverarbeitung zu weiteren Werbemaßnahmen mittels Unterschrift und Ankreuzen eines Kästchens abzugeben. In 500 Fällen ist diese Einwilligung jedoch nach Ansicht der Datenschutzbehörde nicht wirksam erteilt worden.
Die AOK stellte unmittelbar nach Bekanntwerden des Vorwurfs alle Vertriebsmaßnahmen ein, um sämtliche Abläufe zu prüfen und kooperierte mit der Behörde. Diese verhängte gleichwohl ein Bußgeld in Millionenhöhe. Bei der Bemessung des Bußgeldes wurde zu Gunsten der AOK berücksichtigt, dass sie als gesetzliche Krankenversicherung wichtiger Bestandteil des Gesundheitssystems ist und die Erfüllung dieser gesetzlichen Aufgabe insbesondere angesichts der Corona-Pandemie nicht gefährdet werden darf. Die AOK Baden-Württemberg wird das Bußgeld akzeptieren.
Keine wirksame Einwilligung
Voraussetzung für die Nutzung der persönlichen Daten aus dem Gewinnspiel für weitere Werbezwecke ist eine wirksame Einwilligung, die der Verantwortliche für die Datenverarbeitung nachweisen können muss (Art. 7 Abs. 1 DSGVO). Eine freiwillige Einwilligung als Bedingung zur Teilnahme am Gewinnspiel ist laut einem aktuellen Urteil des OLG Frankfurt (27.06.2019 – 6 U 6/19) prinzipiell möglich und verstößt nicht gegen das so genannte Kopplungsverbot (diese Frage ist jedoch umstritten). Im vorliegenden Fall waren auf den Formularen zwar die entsprechenden Unterschriften vorhanden, jedoch nicht das erforderliche Kästchen angekreuzt. Aus diesem Grund lag nach Ansicht der Baden-Württembergischen Datenschützer keine wirksame Einwilligung vor und die Daten hätten nicht für Werbezwecke verarbeitet werden dürfen. Dies ist, insbesondere weil auch eine Unterschrift alleine eine Einwilligung darstellen kann, fraglich. Mangels näheren Informationen zu der Begründung des Bescheides ist uns eine ausführlichere Auseinandersetzung mit der Thematik an dieser Stelle jedoch nicht möglich.
Technische und organisatorische Maßnahmen zur Vermeidung von Datenschutzverstößen
Durch den Einsatz wirksamer technischer und organisatorischer Maßnahmen wäre der Verstoß nach Ansicht der Behörde vermeidbar gewesen. In diesem Zusammenhang ist leider wiederum unklar, warum die Behörde, wie anscheinend geschehen, einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) und nicht etwa gegen Art. 6 DSGVO (mangelnde Rechtsgrundlage) geahndet hat, so dass die Vorgehenswiese des LDFI auch diesbezüglich zu hinterfragen ist. Zu den technischen Maßnahmen gehören neben der allgemeinen Daten- und Systemsicherheit auch die DSGVO-konforme kontinuierliche Prüfung und Aktualisierung der internen Datenbanken. Diese müssen in regelmäßigen Abständen kontrolliert und gegebenenfalls bereinigt werden. Dies geht Hand in Hand mit der Umsetzung eines zweckgebundenen Konzeptes zur Sperrung und Löschung solcher Datensätze, für deren Speicherung und Verarbeitung es keine Rechtsgrundlage gibt oder diese weggefallen ist (z. B. durch Widerruf einer wirksam erteilten Einwilligung mit Wirkung für die Zukunft). Aus organisatorischer Sicht müssen die entsprechenden Maßnahmen u. a. auch dazu geeignet sein, die mit der Datenverarbeitung betrauten Personen zu befähigen datenschutzkonform zu arbeiten. Hierbei sind konkrete Arbeitsanweisungen, z. B. in Form von Richtlinien und Schulungen im Rahmen einer DSGVO-konformen Compliancestruktur empfehlenswert. Diese sollten idealerweise wiederum durch technische Tools flankiert werden, damit es nicht zu unerlaubten Datenverarbeitungen kommt. Alle Maßnahmen sind penibel zu dokumentieren. Wenn doch einmal eine Panne passieren sollte, kann so dargelegt werden, dass das für die Datenverarbeitung verantwortliche Unternehmen eigentlich alles Erforderliche getan hat, um Verstöße zu vermeiden.
Folgen für die Praxis
Fehler bei der Umsetzung technischer und organisatorischer Datenschutz- und Datensicherheitsmaßnahmen können Unternehmen teuer zu stehen kommen. In der Sache erinnert der Sachverhalt an den Fall der Deutsche Wohnen SE aus dem Jahr 2019. Der Immobilienkonzern speicherte jahrelang persönliche Daten seiner Mieter ohne zu prüfen, ob dies rechtmäßig und erforderlich war. Tatsächlich hatte wohl die Datenbank des Unternehmens überhaupt keine Möglichkeit vorgesehen, Daten zu löschen, die nicht mehr benötigt wurden. Dafür kassierte die Deutsche Wohnen SE ein Bußgeld in Höhe von 14,5 Millionen Euro.
Die Entscheidung hat aber auch gravierende Folgen für die Werbewirtschaft. Während die rechtswidrige Datenverarbeitung im Zusammenhang mit Werbemaßnahmen vor In-Krafttreten der DSGVO in der Regel nur privatrechtlich im Wege von Abmahnungen und Unterlassungsverfahren geahndet wurde, drohen unter Geltung der DSGVO nun zusätzlich empfindliche Bußgelder. Spätestens jetzt sollten sich Werbetreibende also darüber Gedanken machen, wie eine DSGVO-konforme Direktwerbung betrieben werden kann. Der Blick in § 7 UWG reicht insoweit nicht aus.
Für die Praxis ist es somit wichtiger denn je, die eigenen technischen und organisatorischen Datenschutzmaßnahmen auf den Prüfstand zu stellen, ggf. nachzubessern und ein Konzept zu entwickeln und zu dokumentieren, um sich so gegen mögliche Datenschutzverstöße abzusichern. Merken sollte man sich in jedem Fall, was Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des Landes Baden-Württemberg sagte: „Datensicherheit ist eine Daueraufgabe“.