Datenpanne bei der AOK Baden-Württemberg – wie kann man so etwas vermeiden?

Kaum eine Gazette der IT-Welt hat nicht mehr oder weniger sensationslüstern über das Bußgeld berichtet, welches der baden-württembergische Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI BW) gegenüber der Krankenkasse ausgesprochen hat. Jetzt, da diese Kakophonie verstummt ist, wollen wir einen Blick darauf werfen, was bei der AOK gut gelaufen ist und was Unternehmen aus dem Vorfall lernen können.

Was ist geschehen?

Laut einer Pressemeldung des Landesbeauftragten veranstaltete die Krankenkasse in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Was hätte besser laufen können?

Entscheidend für die Datenschutzverletzung war der Umstand, dass Daten über den Zweck hinaus verarbeitet wurden, für den sie ursprünglich erhoben wurden. Der Zweck war hier die Teilnahme am Gewinnspiel. Demzufolge hätten die Daten mit Abschluss des Gewinnspiels gelöscht werden können, ja sogar müssen.
Nun ist jedem durchschnittlich verständigen Menschen bewusst, dass Gewinnspiele von Unternehmen weder zum Selbstzweck veranstaltet werden, noch Ausdruck einer altruistischen Unternehmensführung sind. Sie sind vielmehr Teil der Vertriebs- und Marketingstrategie und dienen dem Zweck, auf das Unternehmen aufmerksam zu machen und an Namen und Kontaktdaten potentieller neuer Kunden zu gelangen. Hier hat die AOK schon sehr gut gehandelt, indem sie die Teilnahme am Gewinnspiel von der Einwilligung, zu Zwecken der Direktwerbung kontaktiert zu werden, zu trennen. Leider wurde die nicht erteilte Einwilligung in ca. 500 Fällen dann aber nicht beachtet – d.h. es wurden Personen kontaktiert, die nicht eingewilligt hatten. Hier hätte es womöglich geholfen, die Herkunft der Daten im CRM-System zu kennzeichnen, sie mit einem Löschdatum zu versehen und insbesondere die Einwilligung zu Marketingzwecken zu speichern und diese bei der Durchführung der Mailing-Kampagnen auch entsprechend auszuwerten.

Was hat die AOK gut gemacht?

Das erste Zauberwort lautet „Kooperation“. Der Pressemeldung des LfDI BW zufolge stellte die AOK Baden-Württemberg unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen. Dies hat sich im Rahmen des möglichen Bußgeldrahmens zugunsten der AOK ausgewirkt, d.h. es hat das Bußgeld signifikant reduziert.

Das zweite Zauberwort lautet „Transparenz“. Sie ist ein wesentliches Gebot des Datenschutzes und sehr eng mit der Kooperation verknüpft. Denn: Wer nicht mit der Behörde kooperiert, tut dies in aller Regel nicht, weil er es nicht will, sondern weil er es nicht kann. Ein Unternehmen, das mehr als zwei Jahre nach Inkrafttreten der DSGVO noch immer nicht in der Lage ist, der Aufsichtsbehörde die erforderlichen Dokumentationen vorzulegen, wird nicht in der Lage sein, mit ihr zu kooperieren, ohne weitere Schwachstellen zu offenbaren, die dann ihrerseits bußgeldbewehrt sind – ein Teufelskreis. Offenbar hat die AOK ihre Hausaufgaben diesbezüglich gemacht und war entsprechend gut aufgestellt.

Fazit

Die Datenschutzexperten von scienITec können Sie vor diesem Hintergrund nur ermutigen, folgende Punkte konsequent umzusetzen.

  1. Erstellen und pflegen Sie ein Verzeichnis von Verarbeitungstätigkeiten. Es ist die Grundlage für Transparenz nach innen und nach außen, also gegenüber den betroffenen Personen und der Behörde.
  2. Führen Sie erforderlichenfalls Datenschutzfolgenabschätzungen durch. Sie reflektieren, dass Sie sich Ihrer Verantwortung aus der Verarbeitung personenbezogener Daten stellen und die Grundrechte betroffener Personen achten.
  3. Betreiben Sie, idealerweise in Ihr CRM-System integriert, ein Einwilligungs-Management, das Ihnen erlaubt, den Wünschen Ihrer Kunden und Interessenten im Hinblick auf Direktwerbung gerecht zu werden. Sie werden es Ihnen danken.
  4. Im Fall der Fälle machen Sie eine aussagekräftige und fristgerechte Meldung bei der für Sie zuständigen Datenschutzaufsichtsbehörde. Wo gehobelt wird, da fallen Späne. Das weiß auch die Aufsichtsbehörde. Wenn Ihnen aber die Behörde nachweisen kann, dass sie eine Datenpanne hatten, welche sie verschwiegen haben, dann wird es höchstwahrscheinlich unangenehm. Wenn Sie die Punkte 1 bis 3 umgesetzt haben, sollte Ihnen eine aussagekräftige Meldung nicht schwerfallen.

Wir wünschen Ihnen hierbei viel Erfolg. Wenn Sie Fragen haben, unterstützen wir Sie gerne, damit Datenschutz in Ihrem Unternehmen nicht zum Glücksspiel wird.

Link zur Pressemeldung des LfDI BW: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/06/PM_Bußgeld-gegen-AOK.pdf