Millionen-Bußgeld für AOK

Die Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BW) hat mit Bescheid vom 25. Juni 2020 gegen die AOK Baden-Württemberg (AOK BW) eine Geldbuße in Höhe von 1,24 Mio. Euro verhängt. Die Krankenkasse hatte Daten von ca. 500 Gewinnspielteilnehmern zu Werbezwecken verwendet, ohne dass eine Einwilligung hierfür vorlag.

Sachverhalt

Die AOK BW veranstaltete Gewinnspiele und erhob hierzu personenbezogene Daten der Teilnehmer wie deren Kontaktdaten und Krankenkassenzugehörigkeit. Im Nachgang der Aktion sollten diese Daten sodann auch zu Werbezwecken genutzt werden, soweit die betroffenen Personen zu dieser Nutzung eingewilligt hatten. Die AOK BW hatte technisch und organisatorische Maßnahmen ergriffen, um sicherzustellen, dass eine Verarbeitung der Daten zu Werbezwecken ohne erteilte Einwilligung nicht erfolgt. Nach Aussage des LfDI BW genügten die ergriffenen Maßnahmen jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern zu Werbezwecken von der AOK BW verwendet, ohne dass die hierfür erforderliche Einwilligung vorlag. Versichertendaten waren jedoch nicht betroffen.

Begründung der Höhe

Das LfDI BW verhängt das Bußgeld wegen eines Verstoßes gegen die Pflichten zur sicheren Datenverarbeitung gemäß Art. 32 DSGVO. Dabei fiel die Höhe des Bußgeldes nach Aussage des LfDI BW für die AOK BW noch gering aus. Zu Gunsten der AOK BW wirkte es sich aus, dass unmittelbar nach Bekanntwerden der Vorwürfe die Werbemaßnahmen eingestellt und sämtliche datenschutzrechtlich relevanten Abläufe einer Überprüfung unterzogen wurden. Weiterhin zeigte sich die AOK BW kooperationsbereit und passte ihre technisch organisatorischen Maßnahmen derart an, dass ein höheres Schutzniveau im Rahmen von Verarbeitungen personenbezogener Daten erzielt werden konnte.

Das LfDI BW betonte, dass die Bußgelder nach der DSGVO nicht nur verhältnismäßig, sondern auch wirksam und abschreckend sein müssen.

Hintergrund für Sanktionen

Das LfDI BW hat sich bei der grundsätzlichen Bemessung des Bußgeldes an die Vorgaben der DSGVO sowie den neuen Bußgeldkatalog der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) gehalten.

Die DSGVO sieht gemäß Art. 83 Abs. 4 DSGVO

Bußgelder bis zu 10 Mio. Euro oder bis 2 % des weltweiten Jahresumsatzes,
bei schwerwiegenden Verstößen sogar bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes
vor.

Die Höhe des Bußgeldes kann nach dem Bußgeldkatalog der DSK in fünf Schritten festgestellt werden:

Einordnung des Unternehmens in Größenklasse nach Jahresumsatz
Ermittlung des mittleren Jahresumsatzes der Untergruppe der Größenklasse
Bestimmung des wirtschaftlichen Grundwertes (mittlerer Jahresumsatz des Unternehmens geteilt durch 360 Tage)
Multiplikation des Grundwertes mit Faktor, der sich nach Schweregrad der Tat richtet (so kann beispielsweise für einen schweren materiellen Verstoß der Faktor 12 gelten)
Anpassung des Grundwertes anhand von Einzelfallumständen

So gilt beispielsweise für ein Unternehmen mit einem weltweiten Jahresumsatz zwischen 20 und 25 Mio. Euro ein Grundwert von 62.500 Euro. Bei einem mittleren Verstoß gemäß Art. 83 Abs. 5, 6 DSGVO würde dieser Grundwert mit einem Faktor zwischen 4 und 8 multipliziert werden, sodass sich daraus ein mögliches Bußgeld zwischen 250.000 und 500.000 Euro ergibt.

Fazit

Mit dem neuen Millionen-Bußgeld wird der von vielen Aufsichtsbehörden bereits mehrfach angekündigte Ablauf der Bußgeld-Schonfrist für Datenschutzverstöße bestätigt. Unternehmen sollten dies zum Anlass nehmen, ihre internen Abläufe in Bezug auf die Verarbeitung von personenbezogenen Daten auf den Prüfstand zu stellen und Maßnahmen zur Sicherung des von der DSGVO geforderten Datenschutzniveaus zu ergreifen.