AOK Baden-Württemberg erhält millionenschwere DSGVO-Strafen

Die AOK Baden-Württemberg muss nach einem DSGVO-Verstoß eine Geldbuße in Höhe von 1,24 Millionen Euro zahlen. Die zuständige Landesbehörde verhängte die Buße, weil die Krankenkasse Daten von Gewinnspielteilnehmern auch ohne deren Zustimmung zu Werbezwecken verwendete. Ohne AOK-Schadensbegrenzung wäre die Strafe noch höher ausgefallen.

Ärger mit der Landesdatenschutzbehörde Baden-Württemberg bekam jetzt die Allgemeine Ortskrankenkasse (AOK) des Bundeslandes. Stein des Anstoßes war eine nicht datenschutzkonforme Verwendung personenbezogener Daten, die die Krankenkasse bei der Durchführung von Gewinnspielen unter den Teilnehmern gesammelt hatten.

Verwendung von Daten von Gewinnspielteilnehmern, die dem nicht zugestimmt hatten

Eigentlich wollte die AOK ausschließlich die persönlichen Daten derjenigen Teilnehmer zu Werbezwecken nutzen, die diesem Verwendungszweck explizit zugestimmt hatten, tatsächlich wurden jedoch auch die Daten von rund 500 Teilnehmern für Werbezwecke verwendet, die diese Zustimmung nicht gegeben hatten. Zwar hatte die Krankenkasse versucht, durch technische und organisatorische Maßnahmen sicherzustellen, dass ausschließlich Personen, die der Nutzung ihrer Daten für Werbezwecke zugestimmt hatten, von dieser Datennutzung betroffen waren, doch genügten diese Maßnahmen nicht den gesetzlichen Vorgaben und erwiesen sich als unzureichend.

Begründung der Bußgeldhöhe

Diese Nachlässigkeiten wurden jetzt von der Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg mit einer nicht unerheblichen Geldbuße in Höhe von 1,24 Millionen Euro wegen Verstoßes gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DSGVO belegt.

In der Mitteilung deutet die Behörde zudem an, dass die Strafe durchaus auch noch höher hätte ausfallen können. 

Womit die AOK eine noch höhere DSGVO-Sanktion verhinderte

Günstig wirkte es sich wohl aus, dass die AOK Baden-Württemberg unmittelbar nach Bekanntwerden des Verstoßes alle vertrieblichen Maßnahmen einstellte und sämtliche Abläufe auf den Prüfstand stellte. Zudem habe man eine Task Force für den Datenschutz im Vertrieb gegründet und sowohl die Einwilligungserklärungen angepasst sowie interne Prozesse und Kontrollstrukturen nachgebessert. Schließlich wolle man weitere Maßnahmen in Zusammenarbeit mit dem LfDI erarbeiten und umsetzen.

Bei der Bemessung des Bußgeldes habe die Behörde zudem den Umstand berücksichtigt, dass eine gesetzliche Krankenkasse wie die AOK einen wichtigen Bestandteil unseres Gesundheitssystems ausmache. Weil auch Bußgelder nach der DSGVO „nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen“, habe man bei der Bestimmung der Bußgeldhöhe sichergestellt, dass die Erfüllung dieser gesetzlichen Aufgabe nicht gefährdet werde, heißt es in der Erklärung des LfDI.

Abschreckende Wirkung ist vom LfDI ausdrücklich gewünscht

Dass die Datenschutzbehörde trotz der „mildernden Umstände“ eine doch recht heftige Strafe verhängt hat, dürfte ein weiteres Zeichen auch oder gerade an Unternehmen sein, dass die Behörden nun durchaus gewillt sind, die deutlich erhöhten Sanktionsmöglichkeiten auch zu nutzen.

Nachdem man sich in der ersten Zeit nach Wirksamwerden der DSGVO noch spürbar zurückgehalten hatte, werden jetzt immer öfter Bußgelder in Millionenhöhe verhängt.

Als Obergrenze sind in der DSGVO 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes festgelegt. In Deutschland wurden bislang allerdings erst wenige Millionenstrafen verhängt. Neben dem Immobilienunternehmen Deutsche Wohnen (14,5 Millionen Teurer Datenfriedhof - Rekordstrafe wegen Verletzung der DSGVO durch Archive) hatte es nur noch das Telekommunikationsunternehmen 1&1 Telecom (rund 9,5 Millionen DSGVO-Geldbuße gegen Telecom-Tochter) getroffen, die AOK Baden-Württemberg liegt derzeit damit auf dem dritten Rang der Bußgeldliste.

Weitere News zum Thema:

Irische Datenschutzbehörde geht gegen Twitter und Facebook vor

Tipps zur Vermeidung von Datenschutzpannen

Hintergrund: DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

Hintergrund: 5 Kriterien für die Höhe der DSGVO-Bußgelder

Die Unternehmensbußgelder werden nach dem neuen Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:

  1. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
  2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
  3. Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
  4. Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
  5. Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.

Weitere  Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.