Hohes Bußgeld für die AOK Baden-Württemberg wegen Datenschutzverstößen

Es ist das höchste Bußgeld, das der baden-württembergische Datenschutz-beauftragte bisher verhängt hat. 1,24 Millionen Euro muss die dortige AOK zahlen, weil sie Daten aus einem Gewinnspiel unzulässiger Weise für Werbung verwendet hat.

Was war passiert?

Eigentlich nichts sonderlich Schlimmes, könnte man meinen. Die AOK in Baden-Württemberg hat zu verschiedenen Anlässen Gewinnspiele veranstaltet. Die Teilnehmer wurden nicht nur nach ihren Kontaktdaten gefragt, sondern auch nach personenbezogenen Informationen wie beispielsweise ihrer Krankenkasse. Sie konnten außerdem ankreuzen, ob diese Angaben auch zu Werbezwecken genutzt werden durften.

Gewinnspielteilnehmer erhalten ungebeten Werbung

Eigentlich wollte die AOK ausschließlich die persönlichen Daten derjenigen Teilnehmer zu Werbezwecken nutzen, die diesem Verwendungszweck explizit zugestimmt hatten, tatsächlich wurden jedoch auch die Daten von rund 500 Teilnehmern für Werbezwecke verwendet, die diese Zustimmung nicht gegeben hatten.

Begründung der Bußgeldhöhe

Diese Nachlässigkeiten wurden jetzt von der Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg mit einer nicht unerheblichen Geldbuße in Höhe von 1,24 Millionen Euro wegen Verstoßes gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DSGVO belegt.

In der  Mitteilung deutet die Behörde zudem an, dass die Strafe durchaus auch noch höher hätte ausfallen können.

Womit die AOK eine noch höhere DSGVO-Sanktion verhinderte

Günstig wirkte es sich wohl aus, dass die AOK Baden-Württemberg unmittelbar nach Bekanntwerden des Verstoßes alle vertrieblichen Maßnahmen einstellte und sämtliche Abläufe auf den Prüfstand stellte. Zudem habe man eine Task Force für den Datenschutz im Vertrieb gegründet und sowohl die Einwilligungserklärungen angepasst sowie interne Prozesse und Kontrollstrukturen nachgebessert.

Abschreckende Wirkung ist von der Datenschutzaufsichtsbehörde ausdrücklich gewünscht

Dass die Datenschutzbehörde trotz der „mildernden Umstände“ eine doch recht heftige Strafe verhängt hat, dürfte ein weiteres Zeichen auch oder gerade an Unternehmen sein, dass die Behörden nun durchaus gewillt sind, die deutlich erhöhten Sanktionsmöglichkeiten auch zu nutzen.

Nachdem sich die Behörden in der ersten Zeit nach Wirksamwerden der DSGVO noch spürbar zurückgehalten hatte, werden jetzt immer öfter Bußgelder in Millionenhöhe verhängt.

Als Obergrenze sind in der DSGVO 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes festgelegt. In Deutschland wurden bislang allerdings erst wenige Millionenstrafen verhängt. Neben dem Immobilienunternehmen Deutsche Wohnen (14,5 Millionen → Teurer Datenfriedhof – Rekordstrafe wegen Verletzung der DSGVO durch Archive) hatte es nur noch das Telekommunikationsunternehmen 1&1 Telecom (rund 9,5 Millionen → DSGVO-Geldbuße gegen Telecom-Tochter wegen unzureichender Sicherheit bei der Authentifizierung am Telefon) getroffen, die AOK Baden-Württemberg liegt derzeit damit auf dem dritten Rang der Bußgeldliste.

Fazit:

Unternehmen und deren Vertriebsabteilungen tun sicher gut daran zukünftig noch genauer zu prüfen welche datenschutzrechtlichen Risiken bei einer geplanten Werbeaktion bestehen. Bei Fragen helfen wir gerne.

Thomas Lang
Rechtsanwalt, Fachanwalt für Arbeitsrecht & zertifizierter Datenschutzbeauftragter
https://www.datenschutzadvokat.de