Suchformular öffnen Menü öffnen
Anwaltssuche
Suche
Datenschutz und Cybersecurity
  • 30 Jun 2020
  • 2 Minuten Lesezeit

Baden-württembergische Aufsicht verhängt Millionenbußgeld wegen fehlender Einwilligung

Verfasst von

Dr. Jan-Peter Ohrtmann

Aufgrund eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung nach Art. 32 der Datenschutz-Grundverordnung (DSGVO) hat die baden-württembergische Datenschutzaufsichtsbehörde, der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI BW) gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000 Euro verhängt. Dies verkündete der LfDI BW am heutigen 30. Juni 2020.

Hintergrund

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor eingewilligt hatten. Die Maßnahmen genügten jedoch nicht. In der Folge wurden personenbezogene Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.

Kriterien der Bußgeldbemessung

Bei der Bemessung der Geldbuße berücksichtigte der LfDI BW auch, dass die AOK als gesetzliche Krankenversicherung wichtiger Bestandteil des Gesundheitssystems ist. Nach Ansicht der Behörde war durch Festsetzung eines niedrigen Bußgelds sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Dies habe die Behörde bei der Bußgeldbemessung im Rahmen der Verhältnismäßigkeit (vgl. Art. 83 Abs. 1 DSGVO) einbezogen. Zudem habe die Behörde die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt. Diese beiden Kriterien werfen Fragen auf – und lassen erahnen, dass das Bußgeld unter „normalen Umständen“, d.h. gegenüber einem nicht-systemrelevanten Unternehmen weitaus höher ausgefallen wäre.

Bußgeld bewusst niedrig gehalten?

Außerdem überrascht, dass der LfDI BW das Bußgeld wegen Verstoßes gegen die Datensicherheit (Art. 32 DSGVO) verhängte, obwohl ein Verstoß gegen die Vorschriften zur Zweckbindung bzw. Rechtmäßigkeit der Verarbeitung (Art. 5 bzw. Art. 6 DSGVO) näher gelegen hätte. So ließe sich mutmaßen, dass der LfDI BW nur deshalb den Verstoß gegen Art. 32 DSGVO als Anknüpfungspunkt für die Verhängung des Bußgelds auswählte, weil die Behörde auf diese Weise das Bußgeld noch relativ niedrig halten konnte. Ein Bußgeld wegen Verstoßes gegen Art. 5 oder Art. 6 DSGVO hätte – so ordnen es Art. 83 Abs. 4 und 5 DSGVO an – doppelt so hoch ausfallen müssen.

Kontaktieren Sie uns

Dr. Jan-Peter Ohrtmann

Partner Düsseldorf
IP/IT Commercial Datenschutz und Cybersecurity

Tel.  +49 211 981-2572

Mail  E-Mail

Profil anzeigen

Weitere Fachbeiträge und Blogs

Financial Services
Taking stock of ESMA’s first review of EU securities financing transactions markets
  • 23 Apr 2024
  • 14 Minuten Lesezeit
Financial Services
Taking stock of the Single Resolution Board’s new Single Resolution Mechanism Vision 2028 Strategy
  • 12 Apr 2024
  • 13 Minuten Lesezeit
Financial Services
EIOPA sets supervisory expectations on reinsurance concluded with third-country (re)insurance undertakings
  • 09 Apr 2024
  • 10 Minuten Lesezeit
Alle Fachbeiträge und Blogs