LfDI BaWü: Millionenbußgeld gegen die AOK Baden-Württemberg

Der Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI) des Landes Baden-Württemberg, Stefan Brink, hat ein Bußgeld in Höhe von 1,24 Millionen Euro gegen die AOK Baden-Württemberg ausgesprochen. Nach den Bußgeldern gegen die Deutsche Wohnen SE (14,5 Mio. Euro) und die 1&1 Telecom GmbH (9,55 Mio. Euro) handelt es sich im AOK-Fall um das dritthöchste bisher in Deutschland verhängte DSGVO-Bußgeld.

Warum wurde das Bußgeld verhängt?

Die AOK Baden-Württemberg hatte in den vergangenen Jahren diverse Gewinnspiele durchgeführt, bei denen unter anderem private Kontaktdaten sowie Informationen zur Krankenkassenzugehörigkeit der Gewinnspielteilnehmer erhoben und gespeichert wurden. Die Teilnehmer hatten darüber hinaus die Möglichkeit, der Verarbeitung ihrer personenbezogenen Daten zu Werbezwecken zuzustimmen.

Doch es kam, wie es kommen musste: Circa 500 betroffene Personen, die der AOK keine Einwilligung in die Verwendung ihrer Daten zu Werbezwecken erteilt hatten, wurden trotz der fehlenden Zustimmung von der AOK beworben. Es fand demnach eine Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage statt.

Die AOK hatte zur Vermeidung genau dieses Falls technische und organisatorische Maßnahmen getroffen, beispielsweise interne Datenschutzschulungen und Richtlinien, die jedoch augenscheinlich nicht wirksam genug waren, um dem Vorfall vorzubeugen.

Warum ist das Bußgeld so hoch ausgefallen?

Die Höhe des Bußgeldes hat vor allem mit der Größe der AOK Baden-Württemberg zu tun. Bemessen wird ein Bußgeld gemäß Art. 83 DSGVO in der Regel unter Hinzunahme des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. So können Bußgelder in Höhe von zwei bzw. vier Prozent dieses Jahresumsatzes oder zehn bzw. 20 Millionen Euro verhängt werden – je nachdem, welcher der Beiträge höher ist.

Die nationalen Aufsichtsbehörden haben bei der Festlegung von Bußgeldern allerdings gewisse Spielräume. Diese wurden laut Aussage des LfDI auch im AOK.-Fall genutzt. So habe man insbesondere die Belastung durch die aktuelle Corona-Pandemie sowie die schnellen Gegenmaßnahmen und die hohe Kooperationsbereitschaft der AOK bußgeldmindernd berücksichtigt. Die AOK habe sofort nach Bekanntwerden des Vorfalls sämtliche vertriebliche Maßnahmen eingestellt sowie eine interne „Task Force“ für den Bereich Vertrieb ins Leben gerufen, die daraufhin entsprechende Prozesse und Dokumente angepasst habe.

Fazit

Der AOK-Fall zeigt, dass auch vermeintlich „kleine“ Verstöße gegen die DSGVO mit Millionen-Bußgeldern sanktioniert werden können. Unternehmen mit aktiven Marketing- und Vertriebsabteilungen sollten spätestens jetzt aufwachen und genau solche Prozesse wie im vorliegenden Fall evaluieren.

Der Fall zeigt aber wiederum auch, dass Aufsichtsbehörden weiterhin den Weg gehen, Kooperationsbereitschaft der Unternehmen zu berücksichtigen. Nehmen Sie Anfragen der Behörde daher in jedem Fall ernst und beziehen Sie die Behörde im Fall von Verstößen unbedingt mit ein! (llu)

Quelle:
Pressemitteilung des LfDI Baden-Württemberg vom 30.06.2020: LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg – Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung