Deutsche Datenschutzbehörde verhängt erneut hohe Strafe nach der DS-GVO.

1. Hintergrund

Die AOK Baden-Württemberg („AOK“) hatte zwischen 2015 und 2019 verschiedene Gewinnspiele durchgeführt und dabei personenbezogene Daten der Teilnehmer erhoben, einschließlich deren Kontaktdaten und Krankenkassenzugehörigkeit. Um diese Daten auch für Marketingzwecke nutzen zu können, wurden auch entsprechende Einwilligungen einiger Teilnehmer eingeholt. Mithilfe technischer und organisatorischer Maßnahmen (z.B. interner Richtlinien und entsprechender Datenschutzschulungen für Mitarbeiter) wollte die Krankenversicherung sicherstellen, dass nur Daten von denjenigen Teilnehmern zu Marketingzwecken verarbeitet werden, die auch in diese Verarbeitung eingewilligt hatten. Dennoch wurden in der Folge personenbezogene Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Nach umfassender Prüfung kam die DSB zu dem Schluss, dass die getroffenen Maßnahmen nicht den gesetzlichen Anforderungen nach Art. 32 Abs. 1 lit. b) DS-GVO genügen. Sie verhängte hierfür eine Geldbuße in Höhe von 1,24 Millionen Euro.

2. Verstoß gegen Art. 32 DS-GVO 

Obwohl die Pressemitteilung die Hintergründe des Verstoßes nur kurz beschreibt, ist dieser Fall ein weiteres gutes Beispiel dafür, dass (deutsche) Datenschutzbehörden einen besonderen Schwerpunkt auf Aspekte der Sicherheit der Verarbeitung (Art. 32 DS-GVO) legen und dabei die Bedeutung technischer und organisatorischer Maßnahmen betonen. Interessanterweise wurde das Bußgeld vorliegend nicht wegen der fehlenden Rechtsgrundlagen (hier: Einwilligung) für die Verwendung der Daten zu Marketingzwecken in den 500 Fällen verhängt. Nach unserem Kenntnisstand hat die DSB vielmehr festgestellt, dass die AOK Baden-Württemberg zwar ein Verfahren eingeführt hatte, das im Allgemeinen eine rechtmäßige Verarbeitung (d.h. Einholung der Einwilligung) gewährleistet, die Maßnahmen zur Gewährleistung der Vertraulichkeit und Integrität der entsprechenden Verarbeitungssysteme (d.h. keine Verwendung der Daten ohne Einwilligung der Teilnehmenden) aber nicht ausreichend bzw. angemessen waren.

3. Festlegung der Geldbuße 

Mit Blick auf das vom DSK eingeführte Bußgeldmodell erscheint das verhängte Bußgeld im vorliegenden Fall eher „niedrig“.

Hintergrund: Bei diesem Modell werden die Geldbußen auf Grundlage des Jahresumsatzes der Unternehmen/Konzerne berechnet, multipliziert mit Faktoren, die je nach Schwere der Verstöße und anderen Umständen variieren. Da der Jahresumsatz die Grundlage für die Berechnung bildet, führt das neue Bußgeldmodell bei hohen Umsätzen in der Regel schon bei geringfügigen Verstößen gegen die DS-GVO zu sehr hohen Bußgeldern. Siehe hier für weitere Einzelheiten.

Nach unseren Informationen hat die DSB das Bußgeldmodell nicht eins zu eins angewandt. Grund hierfür ist, dass die AOK Baden-Württemberg eine Körperschaft des öffentlichen Rechts und kein privates Unternehmen ist. Die DSB wandte nach eigener Aussage das „Grundkonzept“ des Modells an und verwendete als Ausgangspunkt für die Berechnung der Geldbuße die Überschüsse (und damit nicht den Umsatz) der Krankenversicherung der letzten Jahre.

Die DSB berücksichtigte zudem auch den Status der AOK Baden-Württemberg als gesetzliche Krankenversicherung. Sie sei qua ihrer Funktion ein wichtiger Teil des Gesundheitssystems in Deutschland. Die Behörde wollte daher bei der Bemessung der Höhe des Bußgeldes sicherstellen, dass die Erfüllung des gesetzlichen Auftrags der AOK Baden-Württemberg - insbesondere auch im Hinblick auf die COVID-19-Pandemie - nicht gefährdet wird.

Dies mag auch ein Grund dafür gewesen sein, dass die DSB „nur“ einen Verstoß gegen Art. 32 DS-GVO und nicht (auch) Art. 6 DS-GVO (Rechtsgrundlage) feststellt: der Basissatz für die Berechnung einer Geldbuße ist im ersten Fall nämlich wesentlich niedriger – nur bis zu 2% des gesamten erzielten Jahresumsatzes nach Art. 83 Abs. 4 DS-GVO und nicht bis zu 4 % nach Art. 83 Abs. 5 DS-GVO.

Die DSB hatte schließlich auch die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen (in Folge des Datenschutzverstoßes) sowie die „gute Zusammenarbeit“ mit der DSB zugunsten der AOK Baden-Württemberg bei der Festlegung der Höhe des Bußgeldes berücksichtigt.

4. Ausblick

 Für Bußgelder nach der DS-GVO macht es offensichtlich einen Unterschied, ob ein Verstoß oder eine rechtswidrige Verarbeitung auf einem menschlichen/systemischen Fehler beruhen oder ob diese auf (von Anfang an vorliegende) unzureichende technische und organisatorische Maßnahmen zurückzuführen sind. Wenn beispielsweise ein Call-Center-Mitarbeiter nicht richtig geschult wird, um die Identität von Anrufern zu verifizieren, kann die DSB hierfür eine Geldbuße verhängen, wenn sie zum ersten Mal von dem Verstoß erfährt. Dies kann jedoch anders sein, wenn der Call-Center-Mitarbeiter zwar grundsätzlich ausreichend geschult ist, aber irrtümlich entgegen seiner Anweisungen gehandelt hat. Bei einem solchen isolierten Vorfall ist es unwahrscheinlich, dass die DSB ein Bußgeld verhängen würde.

Der vorliegende Fall zeigt jedoch erneut deutlich auf, dass Datensicherheit und die Einhaltung von Art. 32 DS-GVO keine sog. „Papertrail“-Aufgabe ist, sondern vielmehr ernst genommen werden sollte. In Zeiten, in denen Datenverarbeitungen von Unternehmen und Organisationen immer weiter zunehmen („digitalisation of everything“) und sich Datensicherheitsvorfälle mehren wird es umso wichtiger, die Einhaltung der getroffenen (Sicherheits-)Maßnahmen zu dokumentieren und nachweisen zu können. Die deutschen Datenschutzbehörden haben schon angedeutet, dass Datensicherheit einer der Bereiche sein wird, auf die sie sich in Zukunft konzentrieren werden. Es ist daher mehr als wahrscheinlich, dass auch in Zukunft ähnliche Fälle und Sanktionen vorkommen.