1,24 Millionen Euro an Bußgeld musste die Krankenkasse AOK Baden-Württemberg aufgrund Verstoßes gegen die DSGVO, namentlich für die Verwendung zu Werbezwecken, bezahlen. Verhängt wurde die Strafe von dem dafür eingerichteten Landesbeauftragten für Datenschutz und Informationsfreiheit, kurz „LfDI“. Diese stattliche Summe für einen doch eher kleinen Verstoß zeigt, dass sich Unternehmen in Zukunft auf hohe Geldstrafen einstellen müssen, sollten sie den Datenschutz nicht ernst genug nehmen.

Was wurde der Krankenkasse vorgeworfen?

Der Vorwurf für die AOK lautet, dass sie personenbezogene Daten von mehr als 500 Personen ohne deren Einwilligung zu Werbezwecken verwendete. Dazu kam es im Rahmen eines durch die Krankenkasse organisierten Gewinnspieles in den Jahren 2015 bis 2019. Es wurde dabei personenbezogene Daten, wie Kontaktinformationen und Krankenkassenzugehörigkeit, erhoben und nach Einwilligung der Teilnehmer zu Werbezwecken genutzt. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.  Die Krankenkasse begründete diesen Fehler mit technischen Unzulänglichkeiten, wodurch ersichtlich wurde, dass die ergriffenen technisch-organisatorischen Maßnahmen wohl nicht ausreichend waren. Die LfDI sah darin einen Verstoß gegen Art. 32 DSGVO und forderte der Vorschrift nach die Ergreifung angemessener „geeignete technische und organisatorische Maßnahmen“.

Rechtsgrundlage für die Verhängung des Bußgelds in Höhe der 1,24 Mio. Euro ist Art. 83 Abs. 4 lit. a DSGVO, wonach das Bußgeld sogar bis zu einer Höhe von 10 Mio. betragen kann, oder bis zu 2% des Jahresumsatzes. Auch seine Stellung als Körperschaft des öffentlichen Rechts, konnte der Krankenkasse nicht weiterhelfen, da sie als öffentlich-rechtliches Unternehmen am Wettbewerb teilnimmt und so eine Bevorzugung entstünde.

Krankenkasse reagiert umgehend nach Bekanntwerden des Vorwurfs

Die AOK Baden-Württemberg stoppte unmittelbar nach Bekanntwerden des Vorwurfs das Gewinnspiel und überprüfte interne Prozesse zur Fehlerbehebung. Das reichte jedoch nicht, um sich der Sache straffrei zu entledigen. Es führte aber dazu, dass eine vergleichbar geringe Strafe verhängt wurde, auch wenn das tatsächlich verhängte Bußgeld sehr hoch anmutet. Tatsächlich aber entspricht es knapp über zehn Prozent der für leichte Verstöße vorgesehenen Höchststrafe, womit die AOK letztlich noch ganz gut weggekommen ist. Die Rechtsabteilung der Krankenkasse muss das ähnlich gesehen haben, weshalb keine Rechtsmittel gegen das Bußgeld eingelegt wurden und die Zahlung akzeptiert und veranlasst wurde.

Bei schweren Verstößen drohen drakonische Strafen

Hätte die LfDI hierin einen schweren Verstoß gesehen, welcher sich nach Art. 83 Abs. 5 richtet, wäre ein Bußgeld bis zu 20 Mio. Euro, oder bis zu 4% des Jahresumsatzes möglich gewesen. Dies wäre angesichts der geringen Zahl von nur 500 Personen, sowie den zugrunde liegenden technischen Unzulänglichkeiten wohl aber überzogen gewesen. Auch hat die Krankenkasse umgehend nach Bekanntwerden dagegen eingewirkt und sich kooperativ mit den Behörden verhalten. Das dem Strafrahmen nach niedrig angesetzte Bußgeld, ist letztlich daher wohl so gerechtfertigt.

Dieser Fall zeigt, dass mit der Einhaltung datenschutzrechtlicher Vorschriften nicht lapidar umgegangen werden sollte. Denn bereits „kleinere Verstöße“ können durch die Landesdatenschutzbehörde auch mit einem Bußgeld geahndet werden. Auch ist hier ein Trend hin zu hohen Bußgeldern ist zu erkennen. Daher sollten Unternehmen der Daueraufgabe „Datensicherheit“ auch die notwendige Aufmerksamkeit entgegenbringen, um „technische Unzulänglichkeiten“ selbst auszuschließen im Umgang mit personenbezogenen Daten. 

LEGAL SMART berät viele Unternehmen in datenschutzrechtlichen Angelegenheiten, von der Umsetzung der DSGVO auf der eigenen Website bis hin zur rechtlichen Beratung bei Datenschutzpannen. Sprechen Sie uns gerne jederzeit hierzu an.