Autor

Dr. Tim Jonathan Schwarz

Senior Associate

Read More
Autor

Dr. Tim Jonathan Schwarz

Senior Associate

Read More

24. Juli 2020

Hohes DSGVO-Bußgeld für die AOK

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat mit Bescheid vom 25.06.2020 ein Bußgeld in Höhe von EUR 1,24 Mio. gegen die Allgemeine Ortskrankenkasse (AOK) verhängt. Anlass war die unzureichende Umsetzung von technischen und organisatorischen Maßnahmen. Bei der Bemessung des Bußgelds wurde insbesondere die Kooperationsbereitschaft der AOK sowie ihre gesetzliche Aufgabe als Krankenversicherer zugunsten der AOK berücksichtigt.

1. Was ist passiert?

Ausweislich der Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg („LfDI Baden-Württemberg“) veranstaltete die AOK Baden-Württemberg („AOK“) in den Jahren 2015 bis 2019 diverse Gewinnspiele. Mit ausdrücklicher Einwilligung der Gewinnspielteilnehmer sollten die dabei erhobenen Daten von der AOK auch zu Werbezwecken genutzt werden dürfen. Mithilfe von technischen und organisatorischen Maßnahmen („TOMs“) sollte sichergestellt werden, dass nur solche Gewinnspielteilnehmer zu Werbezwecken kontaktiert werden, die wirksam in die Datenverarbeitung eingewilligt haben. Tatsächlich wurden jedoch mehr als 500 Gewinnspielteilnehmer kontaktiert, die ihre Einwilligung nicht erteilt hatten.

2. TOMs der AOK nicht ausreichend

Gemäß Art. 32 der Datenschutz-Grundverordnung („DSGVO“) müssen geeignete technische und organisatorische Maßnahmen vom Verantwortlichen getroffen werden, um ein dem Risiko der Datenverarbeitung entsprechendes Datenschutzniveau zu gewährleisten. Die von der AOK ergriffenen Maßnahmen zum Datenschutz, wie zum Beispiel interne Richtlinien und Datenschutzschulungen, wurden nach Ansicht des LfDI Baden-Württemberg jedoch nur unzureichend umgesetzt.

Nach Bekanntwerden des Vorwurfs stellte die AOK sofort alle Werbemaßnahmen ein und untersuchte sämtliche Abläufe zu Werbezwecken aus datenschutzrechtlicher Sicht. Neben der Gründung einer Datenschutz-Task-Force für den Vertrieb wurden u.a. interne Prozesse und Kontrollstrukturen neu angepasst.

3. Bemessung der Bußgeldhöhe bleibt Einzelfallfrage

Das vom LfDI Baden-Württemberg verhängte Bußgeld in Höhe von EUR 1,24 Mio. bewegt sich im unteren Bereich der Möglichkeiten zur Bemessung von Bußgeldern. Gemäß Art. 83 Abs. 4 DSGVO können wegen unzureichender TOMs Bußgelder von bis zu EUR 10. Mio. bzw. 2% des weltweiten Jahresumsatzes verhängt werden. So wurde im Dezember 2019 zum Beispiel gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH ein Bußgeld in Höhe von EUR 9,55 Mio. wegen unzureichender TOMs verhängt.

Bei der vom LfDI Baden-Württemberg vorgenommenen Bemessung des Bußgeldes gegen die AOK wurde insbesondere positiv berücksichtigt, dass nach Bekanntwerden der Vorfälle sofort sämtliche internen Abläufe überprüft und neu angepasst wurden. Zudem spielte die konstruktive Kooperation mit der Datenschutzbehörde eine wichtige Rolle. Ausdrücklich betont wurde außerdem, dass durch die Verhängung des Bußgelds die gesetzlichen Aufgaben der AOK als Krankenversicherer nicht gefährdet werden dürfen. Auch die gegenwärtigen Herausforderungen der Corona-Pandemie wurden bei der Bemessung des Bußgeldes berücksichtigt.   

4. Ausblick

Das gegen die AOK verhängte Bußgeld verdeutlicht erneut, dass die Datenschutzbehörden in Deutschland nicht davor zurückschrecken, Datenschutzverstöße durch empfindliche und abschreckende Geldbußen zu ahnden. Als Orientierungshilfe zur Bemessung von Bußgeldern dient auch weiterhin das von der nationalen Datenschutzkonferenz (DSK) entwickelte Konzept zur Bußgeldzumessung. Besonderes Augenmerk verdient zudem der Umstand, dass die Datenschutzbehörden offenkundig der Reaktion des Verantwortlichen, sei es das sofortige Einstellen der beanstandeten Vorgänge oder eine transparente und umfassende Kooperation mit den Datenschutzbehörden, einen nicht zu unterschätzenden Stellenwert beimessen.

 

Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren

Related Insights

Datenschutz & Cyber-Sicherheit

EDSA veröffentlicht Empfehlungen zu Drittstaatentransfers

EU Kommission veröffentlicht Entwürfe für neue Standardvertragsklauseln

19. November 2020

von Dr. Tim Jonathan Schwarz

Klicken Sie hier für Details
DSGVO

35 Mio. EUR DSGVO-Bußgeld gegen H&M

15. Oktober 2020
Briefing

von Dr. Tim Jonathan Schwarz

Klicken Sie hier für Details
Datenschutz & Cyber-Sicherheit

Aktuelle Entwicklungen zu Schrems II

17. September 2020

von Dr. Tim Jonathan Schwarz

Klicken Sie hier für Details