1,24 Mio. € DSGVO-Bußgeld wegen Verwendung von Daten für Werbezwecke ohne Einwilligung

Die AOK Baden-Württemberg hat die Daten von 500 Gewinnspielteilnehmern für Werbezwecke ohne deren Einwilligung verwendet. Wegen eines Verstoßes gegen Art. 32 DSGVO – die Sicherheit der Datenverarbeitung – hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg gegen die AOK nun ein Bußgeld in Höhe von 1,24 Mio. € verhängt.

Unzulässige Verarbeitung von Daten bei Gewinnspielen

Nach der Pressemitteilung des LfDI veranstaltete die AOK Baden-Württemberg in den Jahren 2015 bis 2019 Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer wie Kontaktdaten und Krankenkassenzugehörigkeit. Sofern die Teilnehmer hierzu eingewilligt hatten, wollte die AOK die Daten der Teilnehmer auch zu Werbezwecken nutzen. Hierfür wollte die AOK mithilfe technischer und organisatorischer Maßnahmen sicherstellen, dass auch nur die Daten solcher Teilnehmer zu Werbezwecken verwendet werden, die auch wirksam eingewilligt hatten. Dabei kam es wohl zu Fehlern und zu einem Verstoß gegen Art. 32 DSGVO.

Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Umfassende Kooperation der AOK

Der LfDI hob hervor, dass die AOK unmittelbar alle Vertriebsmaßnahmen eingestellt habe, nachdem der Vorwurf bekannt wurde, um sämtliche Abläufe zu überprüfen. Interne Prozesse und Kontrollstrukturen wurden angepasst und weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Bemessung des Bußgelds

Bei der Festlegung des Bußgelds gem. Art. 83 DSGVO wurden die internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen und die Kooperation der AOK zu ihren Gunsten berücksichtigt.

Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Insbesondere sei auch bei der Bemessung berücksichtigt worden, dass die AOK als gesetzliche Krankenkasse ein Teil des Gesundheitssystems ist.

Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

Fazit

Das Bußgeld gegen die AOK Baden-Württemberg ist eine der höchsten bisher verhängten Strafen. Die Befürchtung, dass das neue Bußgeld-Konzept der DSK zu einer Anhebung der Bußgelder führt, scheint sich nun zu bewahrheiten.

Unser Tipp: Im Rahmen unseres Datenschutz 360 stehen Ihnen umfangreiche Checklisten sowohl zur Umsetzung der Datenschutzanforderungen als auch im Falle einer Datenpanne bereit.