Warum das Bußgeld des LfDI Baden-Württemberg nicht noch höher ausfiel und was andere Unternehmen daraus lernen können.
In einer Pressemitteilung verkündet der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg ein hohes Bußgeld von EUR 1.240.000 gegen die AOK Baden-Württemberg wegen eines Verstoßes gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 Datenschutzgrundverordnung (DSGVO). Zugleich lobt er die konstruktive Zusammenarbeit mit der AOK.
Verwendung von Daten aus Gewinnspielen zu Werbezwecken
Die Veranstaltung von Gewinnspielen ist für viele Unternehmen ein probates Mittel zur Erhebung von Kontaktdaten möglicher Kunden. Viele Menschen geben bereitwillig ihre Daten an, wenn die Aussicht auf den Gewinn eines Autos oder eine Traumreise auf die Malediven lockt. Möchte ein Unternehmen diese Daten zu Marketingzwecken nutzen, ist allerdings eine wirksame Einwilligung der Gewinnspielteilnehmer erforderlich.
Von 2015 bis 2019 führte die AOK Baden-Württemberg verschiedene Gewinnspiele durch und erhob jeweils unter anderem die Kontaktdaten und Krankenkassenzugehörigkeit der Teilnehmer, also personenbezogene Daten im Sinne der DSGVO. Die AOK beabsichtigte dabei, diese Daten auch zu Werbezwecken zu nutzen, sofern die Gewinnspielteilnehmer hierzu eingewilligt hatten. Durch interne Richtlinien, Datenschutzschulungen und andere technische und organisatorische Maßnahmen wollte die AOK sicherstellen, dass nur Daten solcher Teilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Allerdings waren diese Maßnahmen nicht ausreichend, da die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet wurden.
Mildernde Faktoren bei Bemessung des DSGVO-Bußgelds
Bei der Bemessung einer Geldbuße müssen die Datenschutzaufsichtsbehörden nach Art. 83 DSGVO eine Vielzahl von Umständen des Einzelfalls berücksichtigen, die sich mildernd oder verschärfend auf die Höhe des Bußgelds auswirken können. In diesem Fall hat der LfDI Baden-Württemberg gleich mehrere Faktoren zugunsten der AOK gewertet, ohne welche das Bußgeld noch deutlich höher hätte ausfallen können:
- Umgehende Reaktion auf das Bekanntwerden des Vorwurfs und Einstellung der vertrieblichen Maßnahmen zur Überprüfung sämtlicher Abläufe.
- Gründung einer eigenen Task Force für Datenschutz im Vertrieb.
- Anpassung der Einwilligungserklärungen, internen Prozesse und Kontrollstrukturen.
- Enge Abstimmung mit dem LfDI.
Durch diese umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen konnte die AOK in konstruktiver Zusammenarbeit mit dem LfDI in kurzer Zeit eine deutliche Steigerung des Schutzniveaus für personenbezogene Daten bei ihren Vertriebstätigkeiten erreichen – mit positiven Folgen für die Höhe des DSGVO-Bußgelds.
Ein weiterer mildernder Faktor betrifft speziell die Funktion der AOK Baden-Württemberg als gesetzliche Krankenversicherung. Innerhalb des Gesundheitssystems spielt die AOK eine wichtige Rolle, denn ihr obliegt die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Diese gerade in der aktuellen Corona-Pandemie wichtige gesetzliche Aufgabe durfte der LfDI Baden-Württemberg mit dem Bußgeld nicht gefährden. Es ist aber zu beachten, dass nicht viele Unternehmen bei der Bußgeldbemessung auf einen solchen besonderen Faktor zählen können.
Unverzügliches Handeln und Zusammenarbeit mit Datenschutzbehörden kann sich lohnen
Nach Aussage von Herrn Dr. Stefan Brink, LfDI Baden-Württemberg, wird
der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde […] regelmäßig große Bedeutung beigemessen.
Wer hohe DSGVO-Bußgelder vermeiden möchte, sollte natürlich am besten gar nicht erst gegen die datenschutzrechtlichen Vorgaben verstoßen. Auch Dr. Brink betont, Datensicherheit sei eine Daueraufgabe und die technischen und organisatorischen Maßnahmen seien regelmäßig an die tatsächlichen Verhältnisse anzupassen.
Kommt es dennoch zu Vorwürfen, ist es wichtig, diesen umgehend nachzugehen, kritische Vorgänge gegebenenfalls einzustellen und die entsprechenden Konzepte und Abläufe genau zu überprüfen. Hierbei kann ein Unternehmen mit der jeweiligen Datenschutzaufsichtsbehörde zusammenarbeiten, um das Datenschutzniveau der betreffenden Prozesse und Tätigkeiten gezielt zu verbessern. Art. 83 (2) f) DSGVO sieht denn auch explizit den „Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern″ als Faktor für die Bußgeldbemessung vor. Kooperation mit den Aufsichtsbehörden bei der Aufarbeitung eines DSGVO-Verstoßes kann sich also durchaus lohnen.
Auf der Seite www.enforcementtracker.com können Sie sich zu weiteren bereits veröffentlichten Fällen informieren, in denen Datenschutzaufsichtsbehörden Geldbußen verhängt haben.