Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
Datenschutzrecht

Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung muss die AOK Baden-Württemberg eine Geldbuße von 1.240.000 Euro bezahlen.

Hintergrund des Verfahrens sind verschiedene Gewinnspiele, die die Kasse zwischen den Jahren 2015 und 2019 veranstaltete und bei denen sie personenbezogene Daten der Teilnehmer, darunter auch deren Kontaktdaten und Krankenkassenzugehörigkeit erhob. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, allerdings nur, wenn diese dafür ihre Einwilligung erteilt hatten. Das aber ging gründlich schief und es wurden auch Daten von rund 500 Teilnehmern für Werbezwecke verwendet, die ihre Zustimmung nicht erteilt hatten: Die technischen und organisatorischen Maßnahmen, die das verhindern sollten, genügten den gesetzlichen Vorgaben nicht und erwiesen sich als unzureichend.

Compliance kann Bußgelder deutlich reduzieren

Die Landesdatenschutzbeauftragte von Baden-Württemberg ahndete den Verstoß mit einem Millionenbußgeld. Und die Strafe hätte noch deutlich höher ausfallen können. Zugunsten der AOK wirkte offenbar ihr erkennbarer Wille, an der Aufklärung des Sachverhaltes mitzuwirken – und die Tatsache, dass sie als Krankenkasse eine besonders wichtige Aufgabe zu erfüllen hat.

Nicht nur beendete die Kasse nach Bekanntwerden des Problems alle vertrieblichen Maßnahmen und stellte ihre Abläufe auf den Prüfstand. Sie rief auch eine Task Force für den Datenschutz im Vertrieb ins Leben, passte die Einwilligungserklärungen an und verbesserte ihre internen Prozesse und Kontrollstrukturen.

Krankenkassen kommt eine besondere Rolle zu

Bei der Bemessung des Bußgeldes hat die Datenschutz-Behörde aber nicht nur die Einsicht in den eigenen Fehler berücksichtigt. Eine wichtige Rolle spielte es auch, dass gesetzliche Krankenkassen wie die AOK einen wichtigen Bestandteil des Gesundheitssystems darstellen. Weil auch Bußgelder nach der Datenschutzgrundverordnung „nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen“, habe man bei der Bestimmung der Bußgeldhöhe sichergestellt, dass die Erfüllung dieser gesetzlichen Aufgabe nicht gefährdet werde, heißt es in der Erklärung des Landesdatenschutzbeauftragten.

Tipp: Der Fall der AOK Baden-Württemberg zeigt einmal mehr, dass Datenschutz auch und gerade im Gesundheitswesen höchste Priorität besitzt. Versicherungen und Kassen, aber auch die Leistungserbringer stehen vor der dauernden Aufgabe, ihre technischen und organisatorischen Maßnahmen zum Datenschutz regelmäßig an die tatsächlichen Verhältnisse anzupassen.

Kritische Vorgänge so schnell wie möglich einstellen

Wichtig ist es aber auch, umsichtig zu reagieren, wenn es doch einmal zu einem Datenschutzverstoß kommt. Um drohende Bußgelder zu minimieren, sollten Kliniken, Praxen und MVZ den Vorwürfen schnell und konsequent nachgehen und kritische Vorgänge so schnell wie möglich einstellen. Dabei können und sollten sie mit der zuständigen Datenschutzaufsichtsbehörde zusammenarbeiten.