DSGVO: 3. Bußgeld in Millionenhöhe verhängt

Mit Bescheid vom 25. Juni 2020 verhängte die zuständige Behörde gegenüber der AOK Baden-Württemberg eine Geldbuße von 1,24 Mio. Euro wegen unzureichender technischer und organisatorischer Sicherungsmaßnahmen.

Die AOK Baden-Württemberg sammelte in den Jahren 2015 bis 2019 Kontaktdaten und die Krankenkassenzugehörigkeit von zahlreichen betroffenen Personen AOK Baden-Württemberg, indem sie Gewinnspiele veranstaltete. Im Rahmen dieser Gewinnspiele konnten die betroffenen Personen darin einwilligen, in Zukunft zu Werbezwecken kontaktiert zu werden.

Auch wenn u.a. über eine interne Richtlinie und Schulung der Mitarbeiter sichergestellt werden sollte, dass nur solche Teilnehmer Werbung erhalten, die darin ausdrücklich eingewilligt hatten, verwendete die AOK Baden-Württemberg die Daten von mehr als 500 Teilnehmern zu Werbezwecken, wenngleich diese ihre Einwilligung nicht abgaben. Versichertendaten waren von diesem Vorfall nicht betroffen.

Unmittelbar nach Bekanntwerden des Verstoßes passte die AOK Baden-Württemberg ihre internen Prozesse an und will nun weitere Maßnahmen in Abstimmung mit der Datenschutzbehörde umsetzen.

Ausgangslage bei der Berechnung des Bußgeldes ist für die Behörden zunächst immer der Umsatz des Unternehmens und das Prinzip, dass das Bußgeld wirksam sein und eine abschreckende Wirkung entfalten muss. In diesem Fall berücksichtigte die Behörde jedoch zu Gunsten der AOK Baden-Württemberg die besondere Rolle als gesetzliche Krankenversicherung. Sie sei wichtiger Bestandteil des Gesundheitssystems, weshalb die Erfüllung ihrer Aufgaben nicht durch das Bußgeld gefährdet werden solle. Auch die gegenwärtigen Herausforderungen infolge der aktuellen Corona-Pandemie berücksichtigte  die Behörde in „besonderem Maße“.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink selbst beschrieb in seiner Pressemitteilung die Datensicherheit als Daueraufgabe: „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Abschließend betonte er, die Behörde strebe keine besonders hohen Bußgelder an, sondern ein besonders gutes und angemessenes Datenschutzniveau.