DSGVO-Bußgeld in Millionenhöhe verhängt
Konnte man in den letzten Monaten den Eindruck gewinnen, dass sich die Behörden aufgrund von Corona mit den Bußgeldern etwas zurückhielten, meldet sich nun der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg mit einem „Paukenschlag“ zurück: Das dritte bekannt gewordene Bußgeld in Millionenhöhe trifft die AOK Baden-Württemberg.
Mit Bescheid vom 25.6.2020 verhängte die Behörde eine Geldbuße von 1,24 Mio. € für unzureichende technische und organisatorische Sicherungsmaßnahmen.
Was wird der AOK Baden-Württemberg vorgeworfen?
Durch Gewinnspiele, die die AOK Baden-Württemberg in den Jahren 2015 bis 2019 veranstaltete, wurden Kontaktdaten und Krankenkassenzugehörigkeit von zahlreichen betroffenen Personen gesammelt. Im Rahmen der Gewinnspiele konnten die betroffenen Personen darin einwilligen, in Zukunft zu Werbezwecken kontaktiert zu werden.
Auch wenn u.a. über eine interne Richtlinie und Schulung der Mitarbeiter sichergestellt werden sollte, dass nur solche Teilnehmer Werbung erhalten, die darin ausdrücklich eingewilligt hatten, wurden die Daten von mehr als 500 Teilnehmern zu Werbezwecken verwendet, die diese Einwilligung nicht abgegeben hatten. Versichertendaten waren von diesem Vorfall nicht betroffen.
Unmittelbar nach Bekanntwerden des Verstoßes passte die AOK Baden-Württemberg ihre internen Prozesse an und will nun weitere Maßnahmen in Abstimmung mit der Datenschutzbehörde umsetzen.
Welche Kriterien wurden bei der Höhe des Bußgeldes berücksichtigt?
Über das „neue“ Berechnungsmodell für Bußgelder der Datenschutzbehörden haben wir bereits in der Vergangenheit berichtet (vgl. dhpg Blog-Beitrag vom 17.10.2019). Ausgangslage ist für die Behörden somit zunächst immer der Umsatz des Unternehmens und das Prinzip, dass das Bußgeld wirksam sein und eine abschreckende Wirkung entfalten muss. In diesem Fall berücksichtigte die Behörde jedoch mildernd die besondere Rolle der AOK Baden-Württemberg als gesetzliche Krankenversicherung. Als wichtiger Bestandteil des Gesundheitssystems soll die Erfüllung ihrer Aufgaben durch das Bußgeld nicht gefährdet werden. Auch die gegenwärtigen Herausforderungen infolge der aktuellen Corona-Pandemie wurden in „besonderem Maße“ berücksichtigt.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink selbst beschrieb in seiner Pressemitteilung die Datensicherheit als Daueraufgabe: „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Abschließend betonte er, dass die Behörde keine besonders hohen Bußgelder anstrebe, sondern ein besonders gutes und angemessenes Datenschutzniveau.
Gerne unterstützen wir Sie bei der Prüfung und Erweiterung Ihrer technischen und organisatorischen Maßnahmen. Auch mit unseren besonderen Prüfungshandlungen wie dem Penetrationstest lassen sich Sicherheitslücken auffinden und nach einer Beratung durch unsere IT-Experten schließen.