AOK: 1,2 Mio. Bußgeld für Werbung ohne wirksame Einwilligung

News

Mit Bescheid vom 25.06.20 hat die Bußgeldstelle das LfDI Baden-Württemberg gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von 1.240.000,00 EUR verhängt und das, obwohl die AOK konstruktiv mit der Aufsichtsbehörde zusammenarbeitete. Dieser Artikel beleuchtet mögliche Gründe hierfür.

Was war geschehen?

Zwischen 2015 und 2019 wurden von der AOK Baden-Württemberg (nachfolgend AOK BW) Gewinnspiele durchgeführt. Von den Gewinnspielteilnehmern erhob die AOK BW Kontaktdaten sowie Daten über deren Krankenkassenzugehörigkeit. Die Daten sollten für die Mitgliederwerbung im weiteren Verlauf genutzt werden.

Letztendlich wurden personenbezogene Daten von mehr als 500 Gewinnspielteilnehmern von der AOK BW verwendet, ohne dass deren wirksame Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO vorgelegen hätte, weil die Checkbox bei der Einwilligungserklärung nicht angekreuzt war.

Wie ist der Sachverhalt zu beurteilen?

Mit den Kontaktdaten aus den Gewinnspielen sollten Mitglieder geworben werden. Dies ist grundsätzlich möglich, wenn die Einwilligung von diesen als Ausfluss der informationellen Selbstbestimmung zuvor wirksam erteilt wurde.

Voraussetzungen für eine wirksame Einwilligung

Die Voraussetzungen für eine rechtswirksame Einwilligung ergeben sich zum einen aus der Notwendigkeit, diese als Verantwortlicher im Falle des Falles gegenüber der Aufsichtsbehörde nachweisen zu können, d.h. sie muss zuvor in irgendeiner Weise dokumentiert worden sein, und zum anderen aus formalen Voraussetzungen, die die Einwilligung inhaltlich erfüllen muss. Die Kriterien für eine wirksame Einwilligung sind:

  1. Nachweisbarkeit der erteilten Einwilligung nach Art. 7 Abs. 1 DSGVO
    Nachdem in der DSGVO die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, es liegt ein Erlaubnistatbestand vor (Verbot mit Erlaubnisvorbehalt), sollte die datenverarbeitende Stelle ein erhebliches Interesse daran haben, die erteilte Einwilligung nachweisen zu können, d.h. für den Verantwortlichen ist es oftmals praktikabel aus Nachweisgründen die Einwilligung in Schriftform einzuholen oder in einer sonstigen, eindeutig bestätigenden Handlung durch den Betroffenen.
  2. Transparenz durch Gestaltung der Einwilligung
    Inhaltlich und gestalterisch für den Betroffenen als Einwilligung erkennbar sein, mit der Folge, dass diese vom übrigen Text oder anderen Sachverhalten hervorgehoben und abgesetzt einzuholen ist und in verständlicher Sprache formuliert sein muss.
  3. Transparenz durch inhaltliche Ausgestaltung der Einwilligung
    Damit eine Einwilligung im Sinne einer Legitimation der Datenverarbeitung nach Art. 6 DSGVO vorliegt, muss diese auch inhaltlich gem. Art. 7 Abs. 2 S. 1 DSGVO gewissen Gesichtspunkten genügen. Zwingend muss diese vor der beabsichtigten Datenverarbeitung von dem Betroffenen in freiwilliger, informierter Weise für einen festgelegten, eindeutigen und legitimen Zweck erfolgen.

Näheres zur Einwilligung finden Sie in unserem Artikel zur aktiven Einwilligung.

Keine wirksame Einwilligung bei Kopplungsverbot

Eine wirksame Einwilligung läge dann nicht vor, wenn die Gewinnspielteilnahme an die Einwilligung zur Datenverarbeitung für Werbezwecke geknüpft gewesen wäre. Generell ist bei Gewinnspielen, zwischen der Einwilligung in die Datenverarbeitung zur Durchführung des Gewinnspiels und die Einwilligung zur Datenverarbeitung für weitere Werbezwecke zu unterscheiden. Bei der Kopplung von Gewinnspielen mit der Datennutzung zu Werbezwecken könnte gegen ein Kopplungsverbot aus dem Lauterkeitsrecht und der DSGVO verstoßen worden sein. Hierfür ergeben sich jedoch aus der Pressemitteilung des LfDI keine Anhaltspunkte, noch ist ein solches Koppelungsverbot generell im Lauterkeitsrecht verankert.

Vor der DSGVO wäre eine Kopplung der Teilnahmemöglichkeit an dem Gewinnspiel mit der Herausgabe der Daten möglich gewesen. Allerdings könnte Art. 7 Abs. 4 DSGVO inkl. EG 42 so ausgelegt werden, dass die Freiwilligkeit der Einwilligung fehlt, wenn die Teilnahmemöglichkeit an dem Gewinnspiel an die Herausgabe der Daten geknüpft ist. Mit dem neuen Urteil des OLG Frankfurt (27.06.2019 – 6 U 6/19) jedoch, erscheint eine derartige Kopplung möglich.

„Einer Freiwilligkeit stehe nicht entgegen, dass die Einwilligungserklärung mit der Teilnahme an einem Gewinnspiel verknüpft sei. Der Verbraucher könne und müsse selbst entscheiden, ob ihm die Teilnahme die Preisgabe seiner Daten wert sei. An der erforderlichen Klarheit kann es nach Ansicht des OLG Frankfurt fehlen, wenn die Anzahl der Unternehmen, zu deren Gunsten eine Werbeeinwilligung erteilt werden solle, so groß sei, dass sich der Verbraucher realistischer Weise nicht mit all diesen Unternehmen und deren Geschäftsfeldern befassen werde. Davon könne jedoch bei acht in der Einwilligungserklärung aufgeführten Unternehmen noch nicht die Rede sein.“

Worin lag das Problem der AOK BW?

Formfehler bei der Einwilligung

Dafür, dass die Teilnahme an dem Gewinnspiel an die Herausgabe bestimmter Daten, außer denen, die für die Durchführung des Gewinnspiels notwendig waren, gekoppelt war, ergeben sich keine Anhaltspunkte aus der Pressemitteilung des LfDI. Ausgelöst wurde die Reaktion des LfDI vielmehr, dadurch dass die AOK BW zwar Einwilligungen eingeholt hat, diese formal aber nicht richtig erteilt worden waren. Im Fall der AOK BW verhielt es sich so, dass in mehreren Fällen eine Unterschrift des Betroffenen auf dem Einwilligungsblatt zwar vorlag, aber das Kreuz bei der Einwilligungserklärung von dem Betroffenen in der Checkbox fehlte, mit der Folge, dass diese Einwilligungserklärung missverständlich und nicht eindeutig bezweckt war.

Eine wirksame Einwilligung liegt aber nur dann vor, wenn diese unmissverständlich, für einen eindeutigen Zweck und freiwillig erteilt wurde. Bei der Datenverarbeitung, genauer bei der Übernahme der Daten in die Datei für Werbezwecke hätte das fehlende Häkchen den für die AOK BW tätigen Personen auffallen müssen. Eine weitere Verarbeitung zu Werbezwecken hätte nicht erfolgen dürfen.

Daten- und Systemsicherheit durch geeignete technische und organisatorische Maßnahmen

DSGVO-konform ist eine Datenverarbeitung immer dann, wenn die Zulässigkeit der Datenverarbeitung aufgrund eines Rechtsgrundes aus Art. 6 DSGVO, u.a. einer Einwilligung, gegeben ist und zugleich bei der Datenverarbeitung die Datensicherheit, also die Daten- und Systemsicherheit durch geeignete technische und organisatorische Maßnahmen gewährleistet ist, um ein angemessenes Schutzniveau zu erreichen.

Die Kriterien anhand derer die technischen und organisatorischen Maßnahmen zu prüfen sind, lauten:

  • Geeignetheit: geeignet ist jede Maßnahme zur Prozess- und Systemgestaltung, die zur Risikovermeidung beiträgt und dem Stand der Technik entspricht
  • Verhältnismäßigkeit: keine unangemessenen Kosten verglichen mit dem drohenden Risiko der Datenverarbeitung
  • Art, Umfang, Umstände und Zwecke der Datenverarbeitung sind ebenfalls zu berücksichtigen
  • Eintrittswahrscheinlichkeit des Risikos

Es werden jedoch nicht nur Maßnahmen in Bezug auf die Technik gefordert, sondern vielmehr stellt Art. 32 Abs. 4 DSGVO klar, dass organisatorische Maßnahmen personeller Natur zu treffen sind, um die Daten- und Systemsicherheit zu gewährleisten.

Technische Maßnahmen
Auf die technischen Maßnahmen soll hier nicht weiter eingegangen werden, zumal sich aus der Pressemitteilung hierzu nichts Weiteres ergibt. Nachdem die Einwilligungsformulare nicht vollständig, d.h. missverständlich ausgefüllt bei der AOK BW vorlagen, hätte dies den mit der Datenverarbeitung betrauten Personen auffallen und entsprechende Reaktionen auslösen müssen, z.B. erneutes Einholen, Löschen der Daten. Dieses Verhalten sicherzustellen ist eine Sache, die mit den organisatorischen Maßnahmen erfolgt.

Organisatorische Maßnahmen
Diese sollen zum einen verhindern, dass mit der Datenverarbeitung betraute Personen, technische Maßnahmen umgehen und sicherstellen, dass die Prozesse u.a. der Datenprüfung auf Richtigkeit und Vollständigkeit bei jeder Datenverarbeitung bis zu Ende erfolgreich durchgeführt werden.

Konkrete Arbeitsanweisungen an die Beschäftigten sind notwendig. Sie müssen so gehalten sein, dass ein Verstoß gegen diese, eine arbeitsrechtliche Konsequenz ermöglicht und der Einzelne bezogen auf seinen Aufgabenbereich bei der Datenverarbeitung genau weiß, wie er zu agieren hat. Nicht nur arbeitsrechtliche Konsequenzen sind aufzuzeigen, sondern auch Hilfestellung in Form von Anlaufstellen, an die sich der Beschäftigte bei aufkommenden Fragen vertrauensvoll wenden kann. Hier bietet sich der Datenschutzbeauftragte oder ein Datenschutzkoordinator an.

Im Fall einer Verarbeitung der Einwilligung muss ein Beschäftigter also wissen, dass er nur vollständig ausgefüllte und unterschriebene Formulare verarbeiten darf und ansonsten keine Datenverarbeitung erfolgen darf. Dies ist mittels Arbeitsanweisungen, Schulungen und stichpunktartigen Kontrollen sowie Anlaufstellen bei Fragen zur Bearbeitung durch den Verantwortlichen sicherzustellen. Die Verantwortlichen tun gut daran, Prozesse nicht nur auf dem Papier entsprechend auszugestalten, sondern diese vor allem auch nachzuhalten und stetig anzupassen sowie zu ahnden. Denn der Stand der Technik der geeigneten technischen und organisatorischen Maßnahmen entwickelt sich fortlaufend weiter, genauso wie sich das Unternehmen organisatorisch verändert.

Whistleblower als wertvoller Informant in den eigenen Reihen

Der kostspielige Hinweis an das LfDI in Bezug auf die unrechtmäßige Datenverarbeitung durch die AOK BW kam von intern. Das Bewusstsein, dass die Datenverarbeitung nicht DSGVO-konform erfolgt, war im Hause der AOK BW vorhanden, nur genutzt wurde es nicht!

Nicht nur die AOK BW, sondern viele andere Unternehmen könnten sich durch eine bewusste Förderung der Whistleblower-Kultur unangenehme kostspielige Überraschungen ersparen. Dies gilt um so mehr, als ohne die aktive Mitarbeit der AOK BW und die schnelle Umsetzung von geeigneten technischen und organisatorischen Maßnahmen, das Bußgeld mit aller Wahrscheinlichkeit noch höher geworden wäre. Bei der AOK BW waren es 500 Einwilligungen, die mit 1.240.000 EUR Bußgeld geahndet wurden. Man tut als Verantwortlicher gut daran, seine organisatorischen Prozesse wirkungsvoll zu gestalten – man spart dadurch viel Geld und Ärger.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. 1,2 Millionen Euro für einen Formfehler, das einzige was so bezweckt wird ist, dass die DSGVO so in ein schlechtes Licht rückt. Eine Beanstandung der Aufsichtsbehörde mit Anweisung dies sofort Richtigzustellen wäre angemessener, falls das Unternehmen sich dann nicht kooperativ zeigt dann gerne solche Strafen aber bei einem so schwammigen Rechtstext in vielen Artikeln bewirken solche Strafen nur Angst bei Verantwortlichen und vielleicht sogar DPOs…

    • … ein Formfehler, der mit geringem Aufwand hätte korrigiert werden können. Dazu hätte die AOK mehrere Jahre Zeit und offenbar auch das Wissen gehabt. Es geht auch nicht nur um den Formfehler, sondern laut LfDI BW: (…) Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen (…). Es also trotz Wissen und Zeit eben nicht korrigiert wurde. Zumal eine einfache Websuche schnell klargemacht hätte, dass sofern die Willenserklärung missverständlich ist, die Einwilligung eben unwirksam ist. Die Thematik ist bei Gewinnspielen ja nicht gerade neu.

  2. Ich gebe Kanton01 recht. Die Bußgelder sind unangemessen hoch, erscheinen willkürlich auferlegt und bezwecken nur das Bedürfnis Fehltritte zu verschweigen anstatt diese offen zu kommunizieren. Die Rechtslagen sind nämlich bei vielen Datenschutzthemen alles andere als klar, einfach nachzuvollziehen oder / und logisch. Beanstandung unter strenger Fristsetzung und Androhung des Bußgeldes reicht meiner Meinung nach in allen Fällen völlig aus. Es entsteht der Eindruck, das diese Bußgelder dazu dienen sollen, an anderen Stellen Lücken in der Kasse aufzufüllen. Ich würde mir die Aufsichtsbehörden gerne als Partner und Unterstützer vorstellen, aber dieses Bild wird hier definitiv nicht vermittelt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.