Der Lan­des­be­auf­trag­te für den Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) hat gegen eine Kran­ken­kas­se (AOK Baden-Würt­tem­berg) eine Bus­se von EUR 1,24 Mio. ver­hängt (vgl. Medi­en­mit­tei­lung).

Eine Ver­let­zung der DSGVO erkann­te der LfDI dar­in, dass die AOK in den Jah­ren 2015 bis 2019 im Rah­men von Gewinn­spie­len Per­so­nen­da­ten der Teil­neh­mer erho­ben hat­te, u.a. Kon­takt­da­ten und Kran­ken­kas­sen­zu­ge­hö­rig­keit. Die­se Daten soll­ten zu Wer­be­zwecken genutzt wer­den. Die AOK woll­te dabei durch tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men (u. a. inter­ne Richt­li­ni­en und Daten­schutz­schu­lun­gen) sicher­stel­len, dass nur Daten von Teil­neh­mern ver­wen­det wer­den, die ein­ge­wil­ligt hat­ten. Den­noch wur­den Per­so­nen­da­ten von mehr als 500 Teil­neh­mern ohne Ein­wil­li­gung zu Wer­be­zwecken ver­wen­det (nicht aber Ver­si­cher­ten­da­ten). Damit stand für den LfDI fest, dass die AOK unzu­rei­chen­de Sicher­heits­mass­nah­men getrof­fen hat­te, was gegen Art. 32 DSGVO verstiess.

Bei der Bemes­sung der Bus­se fiel der Medi­en­mit­tei­lung zufol­ge ins Gewicht:

  • die Grö­sse und Bedeu­tung der AOK Baden-Würt­tem­berg, ins­be­son­de­re der Umstand, dass die Aok eine gesetz­li­che Kran­ken­ver­si­che­rung und damit “ein wich­ti­ger Bestand­teil unse­res Gesund­heits­sy­stems” ist,
  • dass umfas­sen­de inter­nen Über­prü­fun­gen und Anpas­sun­gen der tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men erfolgt sind,
  • die “kon­struk­ti­ve Koope­ra­ti­on” mit dem LfDI,
  • dass kei­ne Ver­si­cher­ten­da­ten betrof­fen waren,
  • dass durch die Bus­se die Erfül­lung der gesetz­li­chen Auf­ga­be der AOK nicht gefähr­det wer­den darf, wobei die Her­aus­for­de­run­gen infol­ge der Coro­na-Pan­de­mie beson­ders berück­sich­tigt wurde.

Mit ande­rem Wor­ten hät­te die Bus­se ohne die­se Umstän­de auch erheb­lich höher aus­fal­len kön­nen. – Wie berich­tet wird, wird die AOK die Bus­se nicht anfechten.

Offen ist der­zeit, ob die Höhe der Bus­se auf die Anwen­dung des umstrit­te­nen Sank­ti­ons­mo­dells der DSK zurück­zu­füh­ren ist und wes­halb der LfDI den Ver­stoss bei Art. 32 DSGVO und nicht z.B. Art. 5 (Grund­sät­ze), Art. 6 (Rechts­grund­la­ge), Art. 24 (Grund­satz der Pflicht, die Ein­hal­tung der DSGVO sicher­zu­stel­len) oder Art. 25 DSGVO (Pri­va­cy by Design) ange­sie­delt hat.

Dem Ent­scheid darf man ent­neh­men, dass die Behör­den zwi­schen Papier­com­pli­ance und geleb­ter Com­pli­ance zu unter­schei­den wis­sen und die Schon­frist bei Bus­sen (auch die infor­mel­le Schon­frist auf­grund der Coro­na-Pan­de­mie) wohl abge­lau­fen ist.

AI-generierte Takeaways können falsch sein.