Baden-württembergische Aufsicht verhängt Millionenbußgeld wegen fehlender Einwilligung
Aufgrund eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung nach Art. 32 der Datenschutz-Grundverordnung (DSGVO) hat die baden-württembergische Datenschutzaufsichtsbehörde, der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI BW) gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000 Euro verhängt. Dies verkündete der LfDI BW am heutigen 30. Juni 2020.
Hintergrund
Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor eingewilligt hatten. Die Maßnahmen genügten jedoch nicht. In der Folge wurden personenbezogene Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.
Kriterien der Bußgeldbemessung
Bei der Bemessung der Geldbuße berücksichtigte der LfDI BW auch, dass die AOK als gesetzliche Krankenversicherung wichtiger Bestandteil des Gesundheitssystems ist. Nach Ansicht der Behörde war durch Festsetzung eines niedrigen Bußgelds sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Dies habe die Behörde bei der Bußgeldbemessung im Rahmen der Verhältnismäßigkeit (vgl. Art. 83 Abs. 1 DSGVO) einbezogen. Zudem habe die Behörde die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt. Diese beiden Kriterien werfen Fragen auf – und lassen erahnen, dass das Bußgeld unter „normalen Umständen“, d.h. gegenüber einem nicht-systemrelevanten Unternehmen weitaus höher ausgefallen wäre.
Bußgeld bewusst niedrig gehalten?
Außerdem überrascht, dass der LfDI BW das Bußgeld wegen Verstoßes gegen die Datensicherheit (Art. 32 DSGVO) verhängte, obwohl ein Verstoß gegen die Vorschriften zur Zweckbindung bzw. Rechtmäßigkeit der Verarbeitung (Art. 5 bzw. Art. 6 DSGVO) näher gelegen hätte. So ließe sich mutmaßen, dass der LfDI BW nur deshalb den Verstoß gegen Art. 32 DSGVO als Anknüpfungspunkt für die Verhängung des Bußgelds auswählte, weil die Behörde auf diese Weise das Bußgeld noch relativ niedrig halten konnte. Ein Bußgeld wegen Verstoßes gegen Art. 5 oder Art. 6 DSGVO hätte – so ordnen es Art. 83 Abs. 4 und 5 DSGVO an – doppelt so hoch ausfallen müssen.