Die Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BW) hat mit Bescheid vom 25. Juni 2020 gegen die AOK Baden-Württemberg (AOK BW) eine Geldbuße in Höhe von 1,24 Mio. Euro verhängt. Die Krankenkasse hatte Daten von ca. 500 Gewinnspielteilnehmern zu Werbezwecken verwendet, ohne dass eine Einwilligung hierfür vorlag.
Sachverhalt
Die AOK BW veranstaltete Gewinnspiele und erhob hierzu personenbezogene Daten der Teilnehmer wie deren Kontaktdaten und Krankenkassenzugehörigkeit. Im Nachgang der Aktion sollten diese Daten sodann auch zu Werbezwecken genutzt werden, soweit die betroffenen Personen zu dieser Nutzung eingewilligt hatten. Die AOK BW hatte technisch und organisatorische Maßnahmen ergriffen, um sicherzustellen, dass eine Verarbeitung der Daten zu Werbezwecken ohne erteilte Einwilligung nicht erfolgt. Nach Aussage des LfDI BW genügten die ergriffenen Maßnahmen jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern zu Werbezwecken von der AOK BW verwendet, ohne dass die hierfür erforderliche Einwilligung vorlag. Versichertendaten waren jedoch nicht betroffen.
Begründung der Höhe
Das LfDI BW verhängt das Bußgeld wegen eines Verstoßes gegen die Pflichten zur sicheren Datenverarbeitung gemäß Art. 32 DSGVO. Dabei fiel die Höhe des Bußgeldes nach Aussage des LfDI BW für die AOK BW noch gering aus. Zu Gunsten der AOK BW wirkte es sich aus, dass unmittelbar nach Bekanntwerden der Vorwürfe die Werbemaßnahmen eingestellt und sämtliche datenschutzrechtlich relevanten Abläufe einer Überprüfung unterzogen wurden. Weiterhin zeigte sich die AOK BW kooperationsbereit und passte ihre technisch organisatorischen Maßnahmen derart an, dass ein höheres Schutzniveau im Rahmen von Verarbeitungen personenbezogener Daten erzielt werden konnte.
Das LfDI BW betonte, dass die Bußgelder nach der DSGVO nicht nur verhältnismäßig, sondern auch wirksam und abschreckend sein müssen.
Hintergrund für Sanktionen
Das LfDI BW hat sich bei der grundsätzlichen Bemessung des Bußgeldes an die Vorgaben der DSGVO sowie den neuen Bußgeldkatalog der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) gehalten.
Die DSGVO sieht gemäß Art. 83 Abs. 4 DSGVO
Bußgelder bis zu 10 Mio. Euro oder bis 2 % des weltweiten Jahresumsatzes,
bei schwerwiegenden Verstößen sogar bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes
vor.
Die Höhe des Bußgeldes kann nach dem Bußgeldkatalog der DSK in fünf Schritten festgestellt werden:
Einordnung des Unternehmens in Größenklasse nach Jahresumsatz
Ermittlung des mittleren Jahresumsatzes der Untergruppe der Größenklasse
Bestimmung des wirtschaftlichen Grundwertes (mittlerer Jahresumsatz des Unternehmens geteilt durch 360 Tage)
Multiplikation des Grundwertes mit Faktor, der sich nach Schweregrad der Tat richtet (so kann beispielsweise für einen schweren materiellen Verstoß der Faktor 12 gelten)
Anpassung des Grundwertes anhand von Einzelfallumständen
So gilt beispielsweise für ein Unternehmen mit einem weltweiten Jahresumsatz zwischen 20 und 25 Mio. Euro ein Grundwert von 62.500 Euro. Bei einem mittleren Verstoß gemäß Art. 83 Abs. 5, 6 DSGVO würde dieser Grundwert mit einem Faktor zwischen 4 und 8 multipliziert werden, sodass sich daraus ein mögliches Bußgeld zwischen 250.000 und 500.000 Euro ergibt.
Fazit
Mit dem neuen Millionen-Bußgeld wird der von vielen Aufsichtsbehörden bereits mehrfach angekündigte Ablauf der Bußgeld-Schonfrist für Datenschutzverstöße bestätigt. Unternehmen sollten dies zum Anlass nehmen, ihre internen Abläufe in Bezug auf die Verarbeitung von personenbezogenen Daten auf den Prüfstand zu stellen und Maßnahmen zur Sicherung des von der DSGVO geforderten Datenschutzniveaus zu ergreifen.
Kontakt
Goltsteinstraße 14 | 40211 Düsseldorf
Tel: +49 2 11 5 18 82-0 | Fax: +49 2 11 5 18 82-100
E-Mail: duesseldorf@hoffmannliebs.de
Partnerschaften
Informationen
© 2024 Hoffmann Liebs Partnerschaft von Rechtsanwälten mbB
Wir benötigen Ihre Zustimmung, bevor Sie unsere Website weiter besuchen können. Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.