Hohes DSGVO-Bußgeld für die AOK

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat mit Bescheid vom 25.06.2020 ein Bußgeld in Höhe von EUR 1,24 Mio. gegen die Allgemeine Ortskrankenkasse (AOK) verhängt. Anlass war die unzureichende Umsetzung von technischen und organisatorischen Maßnahmen. Bei der Bemessung des Bußgelds wurde insbesondere die Kooperationsbereitschaft der AOK sowie ihre gesetzliche Aufgabe als Krankenversicherer zugunsten der AOK berücksichtigt.

1. Was ist passiert?

Ausweislich der Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg („LfDI Baden-Württemberg“) veranstaltete die AOK Baden-Württemberg („AOK“) in den Jahren 2015 bis 2019 diverse Gewinnspiele. Mit ausdrücklicher Einwilligung der Gewinnspielteilnehmer sollten die dabei erhobenen Daten von der AOK auch zu Werbezwecken genutzt werden dürfen. Mithilfe von technischen und organisatorischen Maßnahmen („TOMs“) sollte sichergestellt werden, dass nur solche Gewinnspielteilnehmer zu Werbezwecken kontaktiert werden, die wirksam in die Datenverarbeitung eingewilligt haben. Tatsächlich wurden jedoch mehr als 500 Gewinnspielteilnehmer kontaktiert, die ihre Einwilligung nicht erteilt hatten.

2. TOMs der AOK nicht ausreichend

Gemäß Art. 32 der Datenschutz-Grundverordnung („DSGVO“) müssen geeignete technische und organisatorische Maßnahmen vom Verantwortlichen getroffen werden, um ein dem Risiko der Datenverarbeitung entsprechendes Datenschutzniveau zu gewährleisten. Die von der AOK ergriffenen Maßnahmen zum Datenschutz, wie zum Beispiel interne Richtlinien und Datenschutzschulungen, wurden nach Ansicht des LfDI Baden-Württemberg jedoch nur unzureichend umgesetzt.

Nach Bekanntwerden des Vorwurfs stellte die AOK sofort alle Werbemaßnahmen ein und untersuchte sämtliche Abläufe zu Werbezwecken aus datenschutzrechtlicher Sicht. Neben der Gründung einer Datenschutz-Task-Force für den Vertrieb wurden u.a. interne Prozesse und Kontrollstrukturen neu angepasst.

3. Bemessung der Bußgeldhöhe bleibt Einzelfallfrage

Das vom LfDI Baden-Württemberg verhängte Bußgeld in Höhe von EUR 1,24 Mio. bewegt sich im unteren Bereich der Möglichkeiten zur Bemessung von Bußgeldern. Gemäß Art. 83 Abs. 4 DSGVO können wegen unzureichender TOMs Bußgelder von bis zu EUR 10. Mio. bzw. 2% des weltweiten Jahresumsatzes verhängt werden. So wurde im Dezember 2019 zum Beispiel gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH ein Bußgeld in Höhe von EUR 9,55 Mio. wegen unzureichender TOMs verhängt.

Bei der vom LfDI Baden-Württemberg vorgenommenen Bemessung des Bußgeldes gegen die AOK wurde insbesondere positiv berücksichtigt, dass nach Bekanntwerden der Vorfälle sofort sämtliche internen Abläufe überprüft und neu angepasst wurden. Zudem spielte die konstruktive Kooperation mit der Datenschutzbehörde eine wichtige Rolle. Ausdrücklich betont wurde außerdem, dass durch die Verhängung des Bußgelds die gesetzlichen Aufgaben der AOK als Krankenversicherer nicht gefährdet werden dürfen. Auch die gegenwärtigen Herausforderungen der Corona-Pandemie wurden bei der Bemessung des Bußgeldes berücksichtigt.   

4. Ausblick

Das gegen die AOK verhängte Bußgeld verdeutlicht erneut, dass die Datenschutzbehörden in Deutschland nicht davor zurückschrecken, Datenschutzverstöße durch empfindliche und abschreckende Geldbußen zu ahnden. Als Orientierungshilfe zur Bemessung von Bußgeldern dient auch weiterhin das von der nationalen Datenschutzkonferenz (DSK) entwickelte Konzept zur Bußgeldzumessung. Besonderes Augenmerk verdient zudem der Umstand, dass die Datenschutzbehörden offenkundig der Reaktion des Verantwortlichen, sei es das sofortige Einstellen der beanstandeten Vorgänge oder eine transparente und umfassende Kooperation mit den Datenschutzbehörden, einen nicht zu unterschätzenden Stellenwert beimessen.