- +49 681 94005430
- kanzlei@dury.de
- Montag - Freitag 08:00 - 17:00
Achtung bei der Verwendung von Gewinnspieldaten - LfDI Baden-Württemberg verhängt Bußgeld in Höhe von 1.240.000 € gegen Krankenversicherung AOK Baden-Württemberg wegen Datenschutzverstößen
Datenschutzverstöße können schnell teuer werden, insbesondere dann, wenn man ein öffentliches Unternehmen (wie z.B. eine Krankenkasse) ist. Dass Bußgelder jeden treffen können zeigt das neuste Beispiel aus Baden-Württemberg. Obwohl die AOK Baden-Württemberg sich laut Aussage des Landesdatenschutzbeauftragen „konstruktiv“ verhalten hat, wurde gegen diese ein Bußgeld in Höhe von 1,24 Millionen Euro verhängt, da sie unberechtigterweise Daten aus älteren Gewinnspielen zu Werbezwecken genutzt hat.
Was ist vorgefallen?
Die AOK Baden-Württemberg veranstaltete von 2015 bis 2019 Gewinnspiele, in dessen Rahmen sie auch personenbezogene Daten der Gewinnspielteilnehmer zu Werbezwecken gespeichert hat (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/).
Bei den erhobenen Daten handelte sich um Kontaktdaten der Gewinnspielteilnehmer und Daten über deren (zu diesem Zeitpunkt) aktuelle Krankenkassenzugehörigkeit. Die Erhebung und Verarbeitung der Gewinnspieldaten wurde auf die Rechtsgrundlage einer Einwilligung der betroffenen Personen gestützt.
Das richtige Datenhandling sollte mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen sichergestellt werden. Durch die Maßnahmen beabsichtigte die AOK sicherzustellen, dass die erhobenen Daten nur dann zu Werbezecken verwendet werden, wenn eine rechtskonforme Einwilligung vorliegt.
Die von der AOK getroffenen Maßnahmen waren jedoch nach Ansicht des Landesdatenschutzbeauftragten rechtlich nicht ausreichend. Insgesamt wurden schätzungsweise Daten von über 500 Gewinnspielteilnehmern - ohne ausreichende Einwilligung - zu Werbezwecken verwendet. Die AOK ist damit ihrer Pflicht aus Art. 32 DSGVO nicht ausreichend nachgekommen.
Versichertendaten von bereits aktiven Mitgliedern der Krankenkasse sind von diesem Fall nicht betroffen.
Was ist generell zu beachten?
Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink in der Stellungnahme der Behörde ausführt ist:
„„Datensicherheit […] eine Daueraufgabe. [...] Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen“.
Dies bedeutet, dass man neben einer rechtskonformen Einwilligung auch durch eine regelmäßige Kontrolle der technischen und organisatorischen Maßnahmen sicherstellen muss, dass tatsächlich nur die Daten verarbeitet werden, für die auch tatsächlich eine Einwilligung besteht.
Was gibt es bei Gewinnspielen zu beachten?
Gewinnspielbedingungen und damit zusammenhängende Einwilligungserklärungen sollten im regelmäßigen Abstand auf die aktuelle Rechtslage hin angepasst werden.
Werbeagenturen sollten die Finger davon lassen, ihren Kunden irgendwelche Muster für "Einwilligungen" und "Teilnahmebedingungen" zur Verfügungs zu stellen. Wenn es zu einem Bußgeld gegen den Kunden kommt, wird die (hoffentlich vorhandene) Vermögensschadenshaftpflichtversicherung wahrscheinlich keine Deckung erteilen und sich mit dem Argument, es läge eine verbotene "Rechtsberatung" vor, "aus dem Staub machen". Sicherer ist es, eine auf die Erstellung von Gewinnspielbedingungen spezialisierte Kanzlei einzuschalten.
Die über das Gewinnspiel erhobenen Daten dürfen generell nur zur Durchführung des Gewinnspiels verarbeitet werden. Eine weitergehende Verwendung ist jedoch mit einer Einwilligung möglich. Hat der Gewinnspielteilnehmer seine Einwilligung in eine darüberhinausgehende Verarbeitung gestattet, muss diese Einwilligung auch rechtskonform ausgestaltet sein.
Der Teilnehmer ist zudem ausreichend über die geplante Verarbeitung aufzuklären. Diese Aufklärungspflicht betrifft zum einen die wettbewerbsrechtlichen Aspekte einer Einwilligung, zum anderen die datenschutzrechtlichen Aspekte der Einwilligung.
Aus technischer Sicht ist sicherzustellen, dass die im Rahmen des Gewinnspiels erhobenen personenbezogenen Daten nach Ablauf des Gewinnspiels (z.B. Auskehrung des Gewinns) oder nach Ablauf gesetzlicher Aufbewahrungspflichten (z.B. steuerrechtliche Aufbewahrungspflicht) gelöscht werden, sofern keine Rechtsgrundlage für die weitere Speicherung besteht.
Eine Rechtsgrundlage für die weitere Speicherung kann hier die oben genannte Einwilligung darstellen. Auch hier ist wichtig, dass die im Rahmen der Einwilligung erteilte Werbeeinwilligung nur in dem Rahmen genutzt wird, wie es durch die Einwilligung rechtlich zulässig ist. Ob und wie lange eine (unbegrenzte) Einwilligung in Werbung Gültigkeit besitzt ist rechtlich umstritten.
Liegt eine Besonderheit vor bei der Verarbeitung von besonderen Kategorien personenbezogener Daten?
Werden bei Gewinnspielen besondere Kategorien personenbezogener Daten erhoben, so dürfen die Daten in der Regel nicht ohne eine ausdrückliche Einwilligung erhoben gespeichert und verarbeitet werden.
Die Anforderungen an eine Einwilligung in besondere Kategorien personenbezogener Daten ist höher, als die Anforderungen an eine „normale“ Einwilligung.
Besondere Kategorien von personenbezogenen Daten liegen immer dann vor, wenn sich auf Basis der Angaben Rückschlüsse auf die Gesundheit, die sexuellen Interessen, politische Ansichten etc. schließen lassen.
Fazit
- Sofern Sie die bei einem Gewinnspiel erhobenen personenbezogenen Daten auch für Werbezwecke nutzen möchten, ist eine rechtskonforme Einwilligung der Gewinnspielteilnehmer in diese Werbung notwendig.
- Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass keine Vermischung von Daten vorgenommen wird.
- Insbesondere sollten Daten mit erfolgter Einwilligung und Daten ohne Einwilligung getrennt behandelt werden, um Daten ohne Einwilligung vorab löschen zu können.
- Personenbezogene Daten dürfen nämlich immer nur in dem Umfang verarbeitet werden, für den eine Rechtsgrundlage existiert.
- Daten für die keine Rechtsgrundlage mehr besteht müssen aus den Systemen entfernt werden.
- Die erteilte Einwilligung sollten Sie zudem dokumentieren.
- Von irgendwelchen zusammenkopierten Mustern oder Templates und Vorlagen von Werbeagenturen, sollte man die Finger lassen. Angesichts des Bußgeldrahmens ist die Verwendung solcher Rechtstexte ein Spiel mit dem Feuer.
