Das Ordnungswidrigkeitsverfahren gegen den Debeka-Krankenversicherungsverein a.G. (Debeka) und seine Vorstandsmitglieder ist nunmehr durch eine Verständigung abgeschlossen worden. Die Debeka wird danach verpflichtet, eine Geldbuße von insgesamt 1,3 Millionen Euro zu zahlen.
Der Inhalt im Überblick
Datenschutzverletzungen der Debeka
Anlass der Untersuchungen waren laut einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) einige Fälle sogenannter Listenkäufe, deren Existenz das Unternehmen eingeräumt hatte.
Dabei hatten einzelne Mitarbeiter entgegen den Weisungen Datensätze von Anwärtern im öffentlichen Dienst erworben und genutzt. Bei der Untersuchung der Fälle wurde u.a. festgestellt, dass einige Debeka-Mitarbeiter Listen oder Kontaktdaten potentieller Kunden teilweise entgeltlich erworben hatten, ohne dass diese zuvor eingewilligt hätten.
Aufarbeitung der Vorgänge durch die Debeka
Im Rahmen des Verfahrens wurde die Zusammenarbeit der Debeka mit Tippgebern durch den LfDI einer umfassenden Überprüfung unterzogen, die zu dem Ergebnis kommt, dass der Einsatz von Tippgebern datenschutzrechtlich grundsätzlich legitim ist, sofern er entsprechend ausgestaltet ist. Dementsprechend wurde der Vertrieb mit Tippgebern unter Beratung des LfDI für die Zukunft so ausgestaltet, dass
„die Arbeit der Tippgeber zukünftig die gesetzlichen Standards für den Datenschutz auch nach Einschätzung des LfDI sogar übertreffen wird. So ist etwa eine Weitergabe von Adressen über Tippgeber zukünftig nur noch bei Vorliegen einer förmlichen Einwilligungserklärung jedes einzelnen Betroffenen möglich.“
Insgesamt sei die Zusammenarbeit mit der Debeka sehr konstruktiv und kooperativ gewesen.
Neben der Zahlung des Bußgeldes wird das Unternehmen 600.000 Euro für eine Stiftungsprofessur an der Johannes Gutenberg-Universität, Mainz bereitstellen, mit der die Grundlagenforschung für einen effektiven Datenschutz und dessen Implementierung in der Praxis nachhaltig gefördert werden soll.
Fazit
Der vorliegende Fall zeigt wieder einmal, wie wichtig es ist, datenschutzrechtliche Bestimmungen ernst zu nehmen und umzusetzen – und zwar möglichst bevor es zu Sanktionen wie bspw. der Festsetzung eines Bußgeldes kommt. Denn im Zweifel lässt sich dadurch eine Menge an Geld, Zeit und Nerven sparen. Daher ziehen Sie bei der Behandlung datenschutzrelevanter Thematiken immer zuerst Ihren Datenschutzbeauftragten zu Rate, bevor sie tätig werden.
Wer hat denn das Bußgeld bezahlt, bzw. aus welcher Kasse wurde das Bußgeld bezahlt?
– die verantwortliche Stelle mit ihrem Privatvermögen oder
– aus dem Topf der Mitgliedereinzahlungen, also alle Versicherten?
Es haben so viele Firmen den Datenschutz noch nicht richtig verstanden. Ihnen ist nicht bekannt, dass alleine der Imageschaden höher zu bewerten ist als das Bussgeld. Aber wie immer, der Fisch stinkt vom Kopf und in diese Köpfe muss Datenschutz erst einmal Platz finden!
Ich kann Ihrem Fazit nicht im Ansatz folgen, habe ein ganz Anderes:
„Der vorliegende Fall zeigt wieder einmal, wie unwichtig es ist, datenschutzrechtliche Bestimmungen ernst zu nehmen und umzusetzen – weil Bussgelder in (vergleichsweise) lächerlicher Höhe bei Weitem von den Gewinnen überwogen werden. Denn im Zweifel lässt sich durch die Missachtung eine Menge Geld machen, gegen einen kleinen Ablass (falls man denn erwischt wird).“