Nachdem das LfDI Baden-Württemberg am 25.06.2020 gegen die AOK Baden-Württemberg ein stattliches Bußgeld i.H.v. 1.240.000,00 Euro für einen Datenschutzvorfall verhängt hatte, weil diese Daten für Mitgliederwerbung verwendete, ohne zuvor die erforderliche Einwilligung der betroffenen Person eingeholt zu haben, soll dieser Artikel erläutern, was konkret vorgefallen war und welche möglichen Konsequenzen aus dieser Entscheidung gezogen werden müssen.
Die zuständige Aufsichtsbehörde hatte folgenden Sachverhalt zu prüfen:
Im Rahmen von Gewinnspielen aus den Jahren zwischen 2015 und 2019 erhob die AOK BW mehr als 500 Kontaktdaten der Gewinnspielteilnehmer, um diese für eine spätere Mitgliederwerbung zu verwenden, was grundsätzlich nicht unzulässig ist. Doch entgegen Art. 6 DSGVO hatte die AOK eine wirksame und erforderliche Einwilligung der Teilnehmer nicht eingeholt.
Denn die für die Einwilligungserklärung vorgesehene Checkbox war nicht angekreuzt, sodass eine wirksame Einwilligungserklärung (Opt-In) nicht abgegeben worden war. Einer solchen Erklärung bedarf es zum einen, da jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage erfordert, wozu beispielsweise die Einwilligung gehört. Das Vorhandensein einer die Verarbeitung legitimierenden Rechtsgrundlage, hier die Einwilligung, muss auf Nachfrage oder Überprüfung einer zuständigen Aufsichtsbehörde nachgewiesen werden.
Aber nicht nur das Vorliegen einer Einwilligung muss gegeben sein, sondern auch gewisse inhaltliche Anforderungen an die Einwilligungen müssen gewahrt werden. Zum einen muss für die betroffenen Personen die Einwilligungserklärung als solche einfach zu erkennen und nachvollziehbar sein. Zeitlich gesehen muss die Einwilligung vor der geplanten Datenverarbeitung eingeholt werden, denn zuvor dürfen nur solche Verarbeitungsschritte durchgeführt werden, die für den Betrieb bspw. der Website essentiell sind.
Zudem muss der Betroffene seine Einwilligungserklärung freiwillig abgeben und über den bereits festgelegten Verarbeitungszweck informiert werden.
Ferner ist bereits höchstrichterlich geklärt worden, dass Einwilligungen nicht durch bloße Opt-Out-Option, sondern aktiv durch den Betroffenen durch anklicken erteilt werden müssen (Opt-In-Option).
Gerade in diesem Bereich war der AOK BW allerdings ein Fehler unterlaufen, denn sie hatte zwar Einwilligungen eingeholt, allerdings keine wirksamen, denn die Betroffenen hatten die Erklärungen zwar unterschrieben, aber die darüber befindlichen auszuwählenden Checkboxen wurden nicht angekreuzt. Damit wurden wirksame Einwilligungserklärungen nicht richtig erteilt, denn es war unklar, ob und genau in welche Verarbeitungsvorgänge und Verarbeitungszwecke die Betroffenen nun eingewilligt hatten.
Wirksame Einwilligungserklärungen werden aber nur dann abgegeben, wenn diese unmissverständlich sind und erkennbar ist, für welchen Zweck sie erfolgten.
So fehlte bei der weiteren Datenverarbeitung in Form der Verwendung für Mitgliederwerbung die Rechtsgrundlage für diesen Verarbeitungsschritt und die Werbung hätte nicht erfolgen dürfen.
Der AOK Baden-Württemberg ist dabei jedoch nicht nur der Fehler unterlaufen, dass sie bereits keine wirksame Rechtsgrundlage für die vorgenommene Datenverarbeitung geschaffen hatte, sondern ihr bzw. den für die Verarbeitung verantwortlichen Personen, welche die Einwilligungserklärungen verarbeiteten, waren die fehlenden Kreuzchen an den entsprechenden Kästchen nicht aufgefallen.
Damit wurde auch gegen Art.32 DSGVO verstoßen wonach Verantwortliche, die personenbezogene Daten verarbeiten, technische als auch organisatorische Maßnahmen ergreifen müssen, um die Sicherheit der Datenverarbeitung zu gewährleisten. Solche Maßnahmen müssen zum einen geeignet sein, um ein Sicherheitsrisiko zu vermeiden, und verhältnismäßig u.a. hinsichtlich der dadurch entstehenden Kosten. Für die zu treffenden Maßnahmen muss neben der Eintrittswahrscheinlichkeit des Risikos, auch Art, Umfang und der konkrete Verarbeitungszweck berücksichtigt werden.
Im Bereich der organisatorischen Maßnahmen, welche gewährleisten sollen, dass Personen die mit der Datenverarbeitung beauftragt oder zu dessen Aufgabenbereich die Verarbeitung personenbezogener Daten gehört, die technischen Maßnahmen einhalten und durchführen müssen, sind neben bestimmten Arbeitsanweisungen an die jeweiligen Mitarbeiter, auch Informations- und Supportmöglichkeiten einzurichten, an denen die Mitarbeiter datenschutzrechtliche oder datenschutztechnische Hilfe bekommen können.
Ferner müssen die Mitarbeiter, die personenbezogene Daten verarbeiten durch entsprechende Schulungen regelmäßig auf den neuesten Stand in Sachen Datenschutz gebracht werden, u.a. um im Falle eines Datenschutzvorfalles der zuständigen Aufsichtsbehörde, die Ergreifung dieser organisatorischen Maßnahme nachzuweisen.
Um den jeweiligen Mitarbeitern auch ein eigenes Verantwortungsgefühl in Sachen Datenschutz zu vermitteln, empfiehlt es sich, diesen die Möglichkeiten und rechtlichen Folgen ihrer eigenen Haftung für eine Verletzung datenschutzrechtlicher Pflichten aufzuzeigen.
Woran genau es bei der AOK BW mangelte, also, ob entsprechende Schulungen fehlten oder sich die AOK hier einen schlichten (Aufmerksamkeits-)Fehler ihrer Mitarbeiter zurechnen lassen musste, ist nicht ganz klar. Allerdings wäre er vermeidbar gewesen, denn ein Genie musste man nicht sein, um die offensichtlich fehlenden Kreuzchen auf der Einwilligungserklärung erkennen zu können. Dies setzt natürlich voraus, dass die jeweiligen Mitarbeiter Kenntnis und Wissen darüber hatten, wie die Einwilligungen nach den Anforderungen der DSGVO und der bisherigen Rechtsprechung hierzu auszusehen haben. Denn nur eine vollständig ausgefüllte und unterschriebene Einwilligungserklärung kann Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein (sofern im konkreten Einzelfall keine andere Tatbestandsvariante des Art.6 DSGVO gegeben ist).
Fest steht jedenfalls, dass der Hinweis des vorliegenden DSGVO-Verstoßes bei der AOK BW aus den eigenen Reihen kam und das erlassene Bußgeld in Anbetracht der Tragweite des Datenschutzvorfalles hätte deutlich höher ausfallen können. Das dies nicht der Fall war und es bei einem Bußgeld von 1.240.00,00 Euro blieb hat die AOK BW ihrer anschließenden guten Zusammenarbeit mit der ermittelnden Aufsichtsbehörde und damit sich selbst zu verdanken. Dies zeigt, dass ergriffene technische und organisatorische Maßnahmen, selbst wenn es zu einer Datenschutzverletzung kam und diese nicht verhindert werden konnte, zumindest auf der Rechtsfolgenseite eine große Rolle spielen können. Denn dieser Fall zeigt, dass die Aufsichtsbehörden diese Aspekte bei der Frage des ob und wie einer Bestrafung ihrer Ermessensentscheidung berücksichtigt und entsprechend gewichtet.