Bußgeld in Millionenhöhe für die AOK Baden-Württemberg
Die Bußgeldstelle des LfDI (Landesbeauftragte für Datenschutz und Informationsfreiheit) Baden-Württemberg hat mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von 1.240.000 Euro verhängt, aufgrund eines Verstoßes gegen Art. 32 EU-DSGVO.
Was ist passiert?
Anlass für das verhängte Bußgeld war, dass die AOK Baden-Württemberg in den Jahren 2015 bis 2019 bei verschiedenen Gelegenheiten Gewinnspiele durchführte und zu diesem Zweck personenbezogen Daten, darunter die Kontaktdaten und die Kassenzugehörigkeit der Gewinnspielteilnehmer erhob, unter der Voraussetzung, dass die Teilnehmer vorweg auch einer Teilnahme zugestimmt hatten.
Durch die Gestaltung der technisch-organisatorischen Maßnahmen (kurz TOMs) nach Art. 32 EU-DSGVO sollte sichergestellt werden, dass nur Personen mit vorheriger schriftlicher Einwilligung auch tatsächlich an den Gewinnspielen teilnehmen konnten. Soweit die Theorie.
In der Praxis stellte sich nämlich heraus, dass die technisch-organisatorischen Maßnahmen, u.a. interne Richtlinien und Datenschutzschulungen der Mitarbeiter, der AOK Baden-Württemberg nicht den gesetzlichen Anforderungen genügten und es dadurch dazu kam, dass mehr als 500 Betroffene an Gewinnspielen teilnahmen, obwohl diese vorher nicht schriftlich eingewilligt hatten.
Wie hat die AOK Baden-Württemberg reagiert?
Nach Bekanntwerden des Vorfalls wurden alle vertrieblichen Maßnahmen seitens der AOK Baden-Württemberg eingestellt und sowie der Vorfall an sich, als auch die zusammenhängenden Prozesse von einer eigens gegründeten Task Force Datenschutz im Vertrieb durchleuchtet und überprüft wurden. Eine Wiederholung des Vorfalls soll dadurch unter allen Umständen verhindert werden.
Für die Bemessung des Bußgeldes gemäß Art. 83 Abs. 4 EU-DSGVO führte die Behörde aus, dass die Größe und die Bedeutung der AOK Baden-Württemberg ausschlaggebend war. Allerdings wurde auch bußgeldmindernd berücksichtigt, dass sich die AOK Baden-Württemberg sehr kooperativ gegenüber dem LfDI Baden-Württemberg verhalten hatte, sowie die gegenwärtige Situation, bedingt durch die Corona-Pandemie.
Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, stellte im Wege dieses Bußgeldverfahrens klar, dass die „Datensicherheit eine Daueraufgabe sei“ und die „technisch-organisatorischen Maßnahmen regelmäßig an die tatsächlichen Verhältnisse anzupassen seien, um auf Dauer ein angemessenes Schutzniveau sicherzustellen“.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!