1,24 Millionen Euro DSGVO-Bußgeld für AOK

Eine rechtswidrige Datenverarbeitung kommt die AOK Baden-Württemberg teuer zu stehen. Mit Bescheid vom 25. Juni wurde ein Bußgeld in Höhe von 1,24 Millionen Euro gegen die Krankenkasse verhängt. Dies stellt das höchste Bußgeld dar, das die baden-württembergische Datenschutzbehörde jemals angeordnet hat. Hintergrund war, dass die AOK im Rahmen von Gewinnspielen erhobene Daten unzulässig für Werbezwecke verwendete. Konkret ging es um Daten von mehr als 500 Personen, die von 2015 bis 2019 an mehreren Gewinnspielen der AOK teilgenommen haben. Im Rahmen dieser Gewinnspiele wurden Kontaktdaten der Gewinnspielteilnehmer und Informationen zu ihrer Krankenkassenzugehörigkeit erhoben. Diese Daten sollten zum Zweck der Durchführung der Gewinnspiele und zu Werbezwecken verwendet werden. Hierfür lag auch eine Einwilligung der Gewinnspielteilnehmer vor. Diese „Koppelungspraxis“ ist nach Auffassung mancher Gerichte und Behörden jedoch frag­würdig, da ein sogenanntes Koppelungsverbot in Artikel 7 DSGVO hineingelesen wird. Nach dem Koppelungsverbot dürfte die Teilnahme an Gewinnspielen nicht von der Einwilligung in die Datenverarbeitung zu Werbezwecken abhängig gemacht werden.

Dies hat die Datenschutzbehörde Baden-Württembergs jedoch, zumindest laut ihrer Pressemitteilung, nicht zur Verhängung des Bußgelds veranlasst. Vielmehr moniert sie, dass die verwendeten Einwilligungsformulare missverständlich konzipiert waren. Zwar hatten die Gewinnspielteilnehmer die Formulare unterschrieben, gleichzeitig war jedoch die Checkbox auf dem Einwilligungsblatt in mehreren Fällen nicht angekreuzt. Die fehlende Eindeutigkeit und Verständlichkeit der Einwilligungen habe deren Unwirksamkeit zur Folge, was den mit der Einhaltung des Datenschutzrechts betrauten Mitarbeitern der AOK hätte auffallen müssen. Infolgedessen hätte die AOK die Daten der Gewinnspielteilnehmer löschen oder zumindest neue Einwilligungen einholen müssen.

Die Höhe des Bußgelds überrascht insofern, als die AOK Baden-Württemberg nach Bekanntwerden der Vorwürfe eng mit der Datenschutzbehörde kooperiert hat. So etwas hat diese in der Vergangenheit oft zu milden Bußgeldern bewogen. Die Datenschutzbehörde begründet die Höhe des Bußgelds insbesondere mit der Größe und der Bedeutung der AOK Baden-Württemberg als gesetzliche Krankenkasse. 

Der Fall zeigt einmal mehr die Wichtigkeit interner Kontrollmaßnahmen. Technische und organisatorische Prozesse sollten stets so gestaltet werden, dass die Rechtmäßigkeit von Datenverarbeitungsprozessen gewährleistet ist und regelmäßig überprüft werden kann. Unterschätzt werden sollte auch nie die Zusammenarbeit mit den Datenschutzbehörden, da davon auszugehen ist, dass das Bußgeld gegen die AOK Baden-Württemberg bei unterbliebener Kooperation noch wesentlich höher ausgefallen wäre.