Schlagwort: LfDI BaWü

Bußgeld in Höhe von 1,24 Millionen Euro gegen die AOK Baden-Württemberg verhängt

1. Juli 2020

Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg mit einer Pressemitteilung vom 30.06.2020 mitteilte, wurde gegen die AOK Baden-Württemberg wegen Datenschutzverstößen ein Bußgeld in Höhe von 1.240.000 Euro verhängt. Grund für das verhängte Bußgeld sei ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DS-GVO.

Der Sachverhalt

Die AOK Baden-Württemberg hatte im Zeitraum von 2015 bis 2019 verschiedene Gewinnspiele durchgeführt, und die dabei erhobenen personenbezogenen Daten auch zu Werbezwecken verwendet. Diese Weiterverarbeitung sollte jedoch nur dann erfolgen, wenn die Teilnehmer in diese ausdrücklich eingewilligt haben. Die AOK Baden-Württemberg versuchte mittels technischer und organisatorischer Maßnahmen (sog. TOMs) nach Maßgabe des Art. 32 DS-GVO sicherzustellen, dass nur die Daten derjenigen Teilnehmer zu Werbezwecken verwendet werden, die tatsächlich eine entsprechende Einwilligung abgegeben hatten. Zu diesen Maßnahmen gehörten u.a. Datenschutzschulungen und interne Richtlinien. Diese TOMs seien jedoch nicht ausreichend gewesen, sodass mehr als 500 Gewinnspielteilnehmer Werbung erhielten, obwohl sie keine Einwilligung abgegeben hatten.

Begründung der Bußgeldhöhe

Die Höhe des Bußgeldes sei insbesondere durch die Größe und Bedeutung der AOK Baden-Württemberg gerechtfertigt. Positiv sei jedoch zu berücksichtigen gewesen, dass die TOMs intern überprüft worden seien, wodurch der Datenschutzverstoß überhaupt erst aufgefallen sei. Bei Bekanntwerden des Vorganges habe die AOK Baden-Württemberg alle vertrieblichen Maßnahmen eingestellt, eine Task Force für Datenschutz im Vertrieb gegründet, interne Prozesse und Kontrollstrukturen angepasst und erweitert sowie umfassend und konstruktiv mit dem LfDI zusammengerarbeitet. Dadurch sei kurzfristig eine Steigerung des Schutzniveaus für die Daten der Betroffenen ermöglicht worden.

Weiterhin sei bei der Bemessung der Bußgeldhöhe der gesetzliche Auftrag der AOK Baden-Württemberg innerhalb des Gesundheitssystems zu berücksichtigen gewesen. Um dieser Aufgabe – Sicherstellung der Gesundheitsversorgung – weiterhin effektiv nachkommen zu können, müsse das Bußgeld verhältnismäßig ausfallen. Zudem seien die Auswirkugen der Corona-Pandemie, welche auch die gesetzlichen Krankenkassen treffen, mit in die Erwägungen mit einzubeziehen gewesen.

Fazit

Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betonte noch einmal die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Dieses könne jedoch nur dann erreicht werden, wenn alle implementierten TOMs regelmäßig überprüft und ggf. angepasst werden. Datensicherheit sei eine „Daueraufgabe“, und nicht mit der einmaligen Implementierung der TOMs erledigt.

Neben diesem Punkt macht der vorliegende Fall aber auch noch einmal deutlich, dass durch interne Kontrollen, einer zügigen Reaktion auf Datenschutzverstöße und vertrauensvoller Zusammenarbeit mit den zuständigen Aufsichtsbehörden die Höhe eines fälligen Bußgeldes erheblich reduziert werden kann. Das Bußgeld für die AOK Baden-Württemberg wäre sicherlich auch trotz Corona-Pandemie erheblich höher ausgefallen, wäre nicht angemessen auf den aufgedeckten Datenschutzverstoß reagiert worden.

Polizei sammelt Covid-19 Patientenlisten

15. April 2020

In verschiedenen Bundesländern wurden Covid-19 Patientenlisten von den Gesundheitsämtern an die Polizeibehörden weitergeleitet. Derzeit bekannt ist eine Weitergabe in Niedersachsen, Bremen, Mecklenburg-Vorpommern und Baden-Württemberg. In Bayern erhielt der Landesbeauftragte für Datenschutz mehrere Anfragen, die er ablehnte. Die Covid-19 Patientenlisten enthalten personenbezogene Daten über die Personen, die sich in Quarantäne befinden. Dazu zählen sowohl sensible Gesundheitsdaten, als auch Informationen zu Quarantänebestimmungen und Kontaktpersonen.

Kritik:

Die Datenschutzbeauftragten sprechen sich überwiegend gegen eine Datenweitergabe an die Polizei aus. Der Datenschutzbeauftragte des Landes Baden-Württemberg Stefan Brink kritisierte, dass den Polizeibehörden die Rechtsgrundlage für das Handeln fehle und die Weitergabe rechtswidrig sei. Das Gesetz über den Gesundheitsdienst käme als Rechtsgrundlage nicht in Betracht, da es eine konkrete Gefahr voraussetze. Vor einem polizeilichen Einsatz bestünde für die Beamten lediglich eine potentielle Gefahr, die nicht ausreiche. Zusätzlich warnte er davor, dass auf der Grundlage weitere Behörden die Listen anfordern könnten und so eine klare Grenzziehung erschwert werden könnte. Der Präsident der Ärztekammer Mecklenburg-Vorpommern, Andreas Crusius, stellte die Erforderlichkeit der Listenweitergabe in Frage. Bei Bedarf könnte sich die Polizei alternativ jederzeit an die Amtsärzte wenden, die im Einzelfall eine Auskunft zum Gesundheitszustand der Person erteilen könnten. Außerdem bezweifelte er, dass die Listen zum Zeitpunkt der Ankunft überhaupt noch aktuell sind. Die niedersächsische Datenschutzbehörde äußerte sich ebenfalls kritisch und untersagte die Datenweitergabe. Der Datentransfer verstoße gegen den Datenschutz, die ärztliche Schweigepflicht und die Verhältnismäßigkeit. Die Polizei hatte die Datenverarbeitung auf die Gefahrenabwehr gemäß § 41 NPOG, auf das Infektionsschutzgesetz sowie den rechtfertigenden Notstand nach§ 34 StGB gestützt. Dem widersprach die niedersächsische Datenschutzbeauftrage Barbara Thiel, da der rechtfertigende Notstand gemäß § 34 StGB nicht pauschal für alle Personen gelten könne, die auf der Liste stehen.

Der Datenschutzbeauftragte von Mecklenburg-Vorpommern Heinz Müller stuft die Weitergabe der Covid-19 Liste als vertretbar ein. Die Polizei könnte ihr Vorgehen auf ihr berechtigtes Interesse, dem Infektionsschutz von Polizeibeamten, stützen. Beispielsweise müssten die Beamten vor dem Einsatz in einer häuslichen Umgebung wissen, ob in der Wohnung Covid-19 Infizierte leben. Diesbezüglich könnte jedoch erneut die fehlende Erforderlichkeit der Maßnahme und die Pauschalität kritisiert werden.

Lösungsansatz:

Das Innenministerium von Baden-Württemberg liefert einen möglichen Lösungsvorschlag für die Problematik. Es wurde eine Rechtsverordnung erarbeitet, die der Polizei, nur in Einzelfällen, den Zugriff auf eine passwortgeschützte Datenbank mit den Covid-19 Infizierten erlaubt. Die kursierenden Patientenlisten sollen vernichtet und die Betroffenen darüber informiert werden.