Die AOK Baden-Württemberg kassierte jüngst dieses beachtliche Bußgeld , da sie 500 Gewinnspiel-Teilnehmer zu Werbezwecken kontaktierte, ohne, dass hierfür eine Einwilligung der Teilnehmer vorlag. Die AOK plant offenbar nicht, gegen dieses Bußgeld vorzugehen.

Als Grund für das Bußgeld führte die Aufsichtsbehörde an, dass es an wirksamen technischen und organisatorischen Maßnahmen gefehlt habe und deshalb ein Verstoß gegen Art. 32 DSGVO vorliege. Das ist durchaus vertretbar, da hier vor dem Aussenden der Werbe-E-Mails offensichtlich keine technisch wirksame Maßnahme vorgeschaltet war, die sicherstellte, dass der Betroffene auch tatsächlich seine Einwilligung gegeben hat. Eine solche Maßnahme könnte etwa sein, dass es technisch nicht möglich ist, die E-Mail-Adresse des Betroffenen in eine Liste aufzunehmen, die für Werbe-E-Mails verwendet werden kann, wenn der Betroffene z. B. nicht explizit einen Haken auf der Webseite setzt. Das ließe sich technisch recht einfach auf der Webseite umsetzen.

Verstoß gegen Art. 32 oder Art. 6 DSGVO?

Ein wenig konstruiert wirkt der Vorwurf der fehlenden Maßnahmen nach Art. 32 DSGVO auf den ersten Blick dennoch, da hier eher die rechtswidrige Verarbeitung der Daten durch das Aussenden der Werbe-E-Mails im Vordergrund stehen dürfte, als die fehlenden technischen und organisatorischen Maßnahmen. Es liegt hier also die Vermutung nahe, dass nur deshalb auf Artikel 32 DSGVO abgestellt wurde, weil hier der Bußgeldrahmen niedriger als bei einem Verstoß gegen Artikel 6 DSGVO ist. Während Verstöße gegen Artikel 32 DSGVO regelmäßig mit maximal 2 % des jährlichen Jahresumsatzes sanktioniert werden können (Art. 83 Abs. 4 DSGVO), so sind es bei Verstößen gegen Artikel 6 DSGVO bis zu 4% des jährlichen Jahresumsatzes (Art. 83 Abs. 5 DSGVO). Hier darf man auf die Begründung im Bußgeldbescheid gespannt sein. Da normalerweise keine Bußgelder an öffentliche Träger verhängt werden, kann man außerdem davon ausgehen, dass die Aufsichtsbehörde hier davon ausging, dass die AOK als sogenanntes “Wettbewerbsunternehmen” am Wirtschaftsleben teilgenommen hat, sodass ausnahmsweise auch an eine öffentliche Stelle ein Bußgeld verhängt werden kann (§ 2 Abs. 6 LDSG Baden-Württemberg). Im Übrigen wurde darauf verwiesen, dass der gesetzliche Auftrag der AOK nicht gefährdet werden sollte und durch die Mithilfe der AOK das Bußgeld geringer ausfiel.

AOK ist kein Einzelfall

Wenn es um fehlende IT-Sicherheitsmaßnahmen geht, ist die AOK aber bei weitem nicht alleine, sondern in guter Gesellschaft. Insbesondere im Gesundheitsbereich treten hier regelmäßig erhebliche Probleme auf. Zu völlig frei zugänglichen Patientenakten in einer Arztpraxis gesellen sich da Krankenhäuser, bei denen aufgrund fehlender Maßnahmen der komplette IT-Betrieb ausfällt, oder aber die IT-Infrastruktur der Gesundheitsbehörde in Großbritannien fällt komplett aus. Oftmals heißt es hier, man sei einem “Hackerangriff” zum Opfer gefallen, was den Eindruck erwecken könnte, dass die Betroffenen Behörden oder Unternehmen nichts hätten tun können. Gegen “Hackerangriffe” könne man eben genauso wenig tun wie gegen schlechtes Wetter. Dem muss man allerdings entschieden widersprechen. So gut wie alle Datenpannen hätte man mit besseren Informationssicherheitsmaßnahmen wie z. B. einem durchdachten Berechtigungskonzept und/oder Netzsegmentierung und Sensibilisierungen der Mitarbeiter vermeiden können. Bei der Informationssicherheit wird regelmäßig lieber Geld gespart und hinterher die Verantwortung abgegeben. Auch vor diesem Hintergrund ist das Bußgeld gegen die AOK zu begrüßen, da es etwas mehr den Fokus auf technische und organisatorische Maßnahmen zur Informationssicherheit lenkt.

 IT-Sicherheit ist oft auch außerhalb des Gesundheitsbereichs ein Fremdwort

Damit hier nicht der Eindruck entsteht, dass nur im Gesundheitswesen am falschen Ende gespart wird: Der Autovermieter Buchbinder hat es geschafft, sich Daten von 3 Millionen Automietern stehlen zu lassen – ein entsprechendes Bußgeld durch die zuständige Aufsichtsbehörde aus Bayern steht hier noch aus. Die Online-Plattform www.knuddels.de fiel durch die ungeschützte Speicherung von Passwörtern auf, die abhandengekommen sind. Hier wird einmal mehr deutlich, warum für verschiedene Dienste unterschiedliche Kennwörter verwendet werden sollten.

In einem der höchsten Berliner Gerichte (Kammergericht Berlin) wird seit einem dreiviertel Jahr (!) mit Stift, Papier und Fax gearbeitet und ein Ende ist nicht in Sicht. Der Vorfall ereignete sich bereits im Oktober 2019. Der Vollständigkeit halber muss man aber auch erwähnen, dass heise.de (einer der renommiertesten Verlage für IT-Zeitschriften in Deutschland) auch von einem Verschlüsselungstrojaner befallen wurde. Anders als in vielen anderen Fällen wurde dieser Vorfall aber nicht totgeschwiegen oder die Verantwortung abgegeben. Vielmehr wurde mit Überschriften wie “Emotet bei Heise – Lernen aus unseren Fehlern” getitelt. Wie eine vorbildliche Aufarbeitung eines solchen Vorfalls bei heise.de aussieht, finden Sie hier.

Ist der Fachkräftemangel schuld?

Und in aller Regel sind sich die Verantwortlichen, wie im Kammergericht Berlin der Präsident des Kammergerichts, einig: „Es ist für uns sehr schwierig, qualifizierte Mitarbeiter zu finden und zu halten“. Woran das wohl liegen mag? Möglicherweise an der Bezahlung (E14, 4340 € brutto)? Oder vielleicht daran, dass man Bewerbungen nur in Papierform annimmt und auch nur dann gewillt ist, die Unterlagen zurückzuschicken, wenn ein ausreichend frankierter Rückumschlag mitgeschickt wird. Da weiß man gleich schon, was einen bei der Stelle erwartet. Die Stellenbeschreibung ist hier noch einmal archiviert, falls Sie doch Lust haben sich zu bewerben.

Fazit

Die Zunahme der Bußgelder, insbesondere für technische und organisatorische Maßnahmen nach Art. 32 DSGVO, lenkt den Fokus von Unternehmensverantwortlichen neben dem Umsatz- und Image-Schaden zunehmend auf die möglichen Bußgelder. Für 1,24 Millionen Euro lassen sich sicherlich ein paar (qualifizierte) Mitarbeiter einstellen und Mitarbeiter schulen und sensibilisieren, um in Zukunft solche Pannen zu verhindern.