Achtung bei der Verwendung von Gewinnspieldaten - LfDI Baden-Württemberg verhängt Bußgeld in Höhe von 1.240.000 € gegen Krankenversicherung AOK Baden-Württemberg wegen Datenschutzverstößen

keyboard 1776643 640

Datenschutzverstöße können schnell teuer werden, insbesondere dann, wenn man ein öffentliches Unternehmen (wie z.B. eine Krankenkasse) ist. Dass Bußgelder jeden treffen können zeigt das neuste Beispiel aus Baden-Württemberg. Obwohl die AOK Baden-Württemberg sich laut Aussage des Landesdatenschutzbeauftragen „konstruktiv“ verhalten hat, wurde gegen diese ein Bußgeld in Höhe von 1,24 Millionen Euro verhängt, da sie unberechtigterweise Daten aus älteren Gewinnspielen zu Werbezwecken genutzt hat.

Was ist vorgefallen?


Die AOK Baden-Württemberg veranstaltete von 2015 bis 2019 Gewinnspiele, in dessen Rahmen sie auch personenbezogene Daten der Gewinnspielteilnehmer zu Werbezwecken gespeichert hat (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/).
Bei den erhobenen Daten handelte sich um Kontaktdaten der Gewinnspielteilnehmer und Daten über deren (zu diesem Zeitpunkt) aktuelle Krankenkassenzugehörigkeit. Die Erhebung und Verarbeitung der Gewinnspieldaten wurde auf die Rechtsgrundlage einer Einwilligung der betroffenen Personen gestützt.
Das richtige Datenhandling sollte mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen sichergestellt werden. Durch die Maßnahmen beabsichtigte die AOK sicherzustellen, dass die erhobenen Daten nur dann zu Werbezecken verwendet werden, wenn eine rechtskonforme Einwilligung vorliegt.
Die von der AOK getroffenen Maßnahmen waren jedoch nach Ansicht des Landesdatenschutzbeauftragten rechtlich nicht ausreichend. Insgesamt wurden schätzungsweise Daten von über 500 Gewinnspielteilnehmern - ohne ausreichende Einwilligung - zu Werbezwecken verwendet. Die AOK ist damit ihrer Pflicht aus Art. 32 DSGVO nicht ausreichend nachgekommen.
Versichertendaten von bereits aktiven Mitgliedern der Krankenkasse sind von diesem Fall nicht betroffen.

Was ist generell zu beachten?

Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink in der Stellungnahme der Behörde ausführt ist:

„„Datensicherheit […] eine Daueraufgabe. [...] Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen“.

Dies bedeutet, dass man neben einer rechtskonformen Einwilligung auch durch eine regelmäßige Kontrolle der technischen und organisatorischen Maßnahmen sicherstellen muss, dass tatsächlich nur die Daten verarbeitet werden, für die auch tatsächlich eine Einwilligung besteht.

Was gibt es bei Gewinnspielen zu beachten?

Gewinnspielbedingungen und damit zusammenhängende Einwilligungserklärungen sollten im regelmäßigen Abstand auf die aktuelle Rechtslage hin angepasst werden.

Werbeagenturen sollten die Finger davon lassen, ihren Kunden irgendwelche Muster für "Einwilligungen" und "Teilnahmebedingungen" zur Verfügungs zu stellen. Wenn es zu einem Bußgeld gegen den Kunden kommt, wird die (hoffentlich vorhandene) Vermögensschadenshaftpflichtversicherung wahrscheinlich keine Deckung erteilen und sich mit dem Argument, es läge eine verbotene "Rechtsberatung" vor, "aus dem Staub machen". Sicherer ist es, eine auf die Erstellung von Gewinnspielbedingungen spezialisierte Kanzlei einzuschalten. 

Die über das Gewinnspiel erhobenen Daten dürfen generell nur zur Durchführung des Gewinnspiels verarbeitet werden. Eine weitergehende Verwendung ist jedoch mit einer Einwilligung möglich. Hat der Gewinnspielteilnehmer seine Einwilligung in eine darüberhinausgehende Verarbeitung gestattet, muss diese Einwilligung auch rechtskonform ausgestaltet sein.

Der Teilnehmer ist zudem ausreichend über die geplante Verarbeitung aufzuklären. Diese Aufklärungspflicht betrifft zum einen die wettbewerbsrechtlichen Aspekte einer Einwilligung, zum anderen die datenschutzrechtlichen Aspekte der Einwilligung.

Aus technischer Sicht ist sicherzustellen, dass die im Rahmen des Gewinnspiels erhobenen personenbezogenen Daten nach Ablauf des Gewinnspiels (z.B. Auskehrung des Gewinns) oder nach Ablauf gesetzlicher Aufbewahrungspflichten (z.B. steuerrechtliche Aufbewahrungspflicht) gelöscht werden, sofern keine Rechtsgrundlage für die weitere Speicherung besteht.

Eine Rechtsgrundlage für die weitere Speicherung kann hier die oben genannte Einwilligung darstellen. Auch hier ist wichtig, dass die im Rahmen der Einwilligung erteilte Werbeeinwilligung nur in dem Rahmen genutzt wird, wie es durch die Einwilligung rechtlich zulässig ist. Ob und wie lange eine (unbegrenzte) Einwilligung in Werbung Gültigkeit besitzt ist rechtlich umstritten.

Liegt eine Besonderheit vor bei der Verarbeitung von besonderen Kategorien personenbezogener Daten?

Werden bei Gewinnspielen besondere Kategorien personenbezogener Daten erhoben, so dürfen die Daten in der Regel nicht ohne eine ausdrückliche Einwilligung erhoben gespeichert und verarbeitet werden.

Die Anforderungen an eine Einwilligung in besondere Kategorien personenbezogener Daten ist höher, als die Anforderungen an eine „normale“ Einwilligung.

Besondere Kategorien von personenbezogenen Daten liegen immer dann vor, wenn sich auf Basis der Angaben Rückschlüsse auf die Gesundheit, die sexuellen Interessen, politische Ansichten etc. schließen lassen.

Fazit

  • Sofern Sie die bei einem Gewinnspiel erhobenen personenbezogenen Daten auch für Werbezwecke nutzen möchten, ist eine rechtskonforme Einwilligung der Gewinnspielteilnehmer in diese Werbung notwendig.
  • Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass keine Vermischung von Daten vorgenommen wird.
  • Insbesondere sollten Daten mit erfolgter Einwilligung und Daten ohne Einwilligung getrennt behandelt werden, um Daten ohne Einwilligung vorab löschen zu können.
  • Personenbezogene Daten dürfen nämlich immer nur in dem Umfang verarbeitet werden, für den eine Rechtsgrundlage existiert.
  • Daten für die keine Rechtsgrundlage mehr besteht müssen aus den Systemen entfernt werden.
  • Die erteilte Einwilligung sollten Sie zudem dokumentieren.
  • Von irgendwelchen zusammenkopierten Mustern oder Templates und Vorlagen von Werbeagenturen, sollte man die Finger lassen. Angesichts des Bußgeldrahmens ist die Verwendung solcher Rechtstexte ein Spiel mit dem Feuer.
Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de