Neues zum Datenschutzrecht
3.7.2020
Bußgeld gegen AOK Baden-Württemberg: Mangelhafte Kontrolle und Anpassung von TOM
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI B-W) hat wegen eines Verstoßes gegen die Vorgaben für die Datensicherheit bei der Verarbeitung personenbezogener Daten gegen die AOK Baden-Württemberg eine Geldbuße von 1,24 Mio. Euro verhängt.
Hintergrund
Der LfDI B-W hat die Verhängung dieses Bußgeldes in einer Pressemitteilung vom 30.6.2020 bekannt gemacht. Folgender Sachverhalt lag zugrunde: Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 verschiedene Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer einschließlich der Kontaktdaten und der Krankenkassenzugehörigkeit. Die AOK Baden-Württemberg beabsichtigte, die Daten der Gewinnspielteilnehmer auch zu Werbezwecken zu nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Um nur Daten von den Personen zu Werbezwecken zu verwenden, von denen eine wirksame Einwilligung vorlag, wurden technische und organisatorische Maßnahmen (TOM) ergriffen. Es gab unter anderem interne Richtlinien mit Vorgaben für eine Verwendung personenbezogener Daten zu Werbezwecken und werblichen Ansprache sowie Datenschutzschulungen, die auch dieses Thema zum Gegenstand hatten. Trotz dieser Maßnahmen kam es dazu, dass personenbezogene Daten von mehr als 500 Gewinnspielteilnehmern zu Werbezwecken verwendet wurden, obwohl diese Personen keine entsprechende Einwilligung gegeben hatten. Versichertendaten waren nicht betroffen.
Der LfDI B-W verhängte eine Geldbuße in Höhe von 1,24 Mio. Euro wegen der rechtswidrigen Verarbeitung und wegen einer mangelhaften Kontrolle und Anpassung der TOM. Nach Einschätzung des LfDI B-W reichten die von der AOK Baden-Württemberg getroffenen Maßnahmen nicht aus und genügten nicht den gesetzlichen Anforderungen.
Bei der Bemessung des Bußgeldes wurde neben der Größe und Bedeutung der AOK Baden-Württemberg zugunsten der AOK Baden-Württemberg berücksichtigt, dass neben umfassenden internen Überprüfungen und Anpassungen der TOM eine konstruktive Kooperation mit dem LfDI B-W erfolgte. Im Hinblick auf die Bedeutung der AOK Baden-Württemberg stellte der LfDI B-W darauf ab, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil des Gesundheitssystems ist und sie die gesetzliche Aufgabe habe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war nach Ansicht des LfDI B-W bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzlichen Aufgabe nicht gefährdet wird. Schließlich wurden die gegenwärtigen Herausforderungen für die AOK Baden-Württemberg infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.
Fazit und Praxishinweise
Der Fall der AOK Baden-Württemberg enthält zwei praxisrelevante Aspekte, die über den Einzelfall hinaus von Bedeutung sind.
- Kontrolle und Anpassung von TOM
Die Verarbeitung zu Werbezwecken ist ein besonders sensibles und bußgeldrelevantes Feld, auch wenn keine besonderen Arten von personenbezogenen Daten verarbeitet werden. Daher sind hinreichende technische und organisatorische Maßnahmen zu ergreifen, um eine rechtmäßige Datenverarbeitung sicherzustellen. Allerdings müssen diese Maßnahmen auch regelmäßig überprüft und gegebenenfalls angepasst werden. Ein Anpassungsbedarf kann sich auch unabhängig vom Prüfrhythmus z.B. dann ergeben, wenn sich herausstellt, dass die Maßnahmen nicht greifen oder eine Rechtsänderung eingetreten ist. Das betont auch der LfDI B-W in dem Bußgeld-Fall der AOK Baden-Württemberg. Es muss aber beachtet werden, dass es sich bei der Pflicht zur Kontrolle und Anpassung von TOM um eine generelle gesetzliche Vorgabe der DSGVO handelt, die in Bezug auf alle Verarbeitungen personenbezogener Daten gilt.
- Bußgeldbemessung
Die Begründung des LfDI B-W zur Höhe des Bußgeldes wecken Zweifel an der Geeignetheit des Konzepts zur Bußgeldbemessung der deutschen Datenschutzaufsichtsbehörden. Danach erfolgt die Bemessung von Bußgeldern in fünf Schritten: Zunächst wird das betroffene Unternehmen einer von vier Größenklassen zugeordnet (1). Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2) und anschließend ein wirtschaftlicher Grundwert ermittelt (3). Dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4). Schließlich wird der im vierten Schritt ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5). Dieses Verfahren garantiert nach Ansicht der deutschen Datenschutzaufsichtsbehörden eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung, wie sich der Information der Datenschutzkonferenz zum neuen Konzept entnehmen lässt.
Allerdings wirft die im AOK-Fall erfolgte Anpassung anhand sonstiger täterbezogener Umstände Fragen auf, wenn eine gesetzliche Aufgabe des datenschutzrechtlich Verantwortlichen im Ergebnis dazu führen kann, dass ein Bußgeld nicht so hoch ausfällt, wie es bei einem vergleichbaren Verstoß durch ein anderes Unternehmen der Fall wäre.
Schließlich zeigt dieser Fall erneut, dass eine Kooperation mit der Aufsicht und ein schnelles Gegensteuern positiv bewertet und bei der Höhe der Bußgeldbemessung zugunsten des Verantwortlichen berücksichtigt werden.
Wenn Sie etwas mehr zur Bemessung von Bußgeldern bei Datenschutzverstößen auf der Grundlage des Konzepts der Aufsichtsbehörden erfahren möchten, lesen Sie doch die Datenschutz-News vom 18.10.2019 und meinen Beitrag in Heft 1-2/2020 der Zeitschrift „Compliance-Berater“, auf den Sie hier als pdf-Datei direkt und kostenfrei zugreifen können: Lang, CB 2020, 20 ff.
Sollten Sie Fragen zur Verhängung von Bußgeldern, zu datenschutzaufsichtsbehördlichen Prüfungen oder sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht