{"id":54190,"date":"2020-07-20T07:46:00","date_gmt":"2020-07-20T05:46:00","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=54190"},"modified":"2020-07-17T16:46:23","modified_gmt":"2020-07-17T14:46:23","slug":"verstoss-gegen-dsgvo-aok-muss-millionenbetrag-zahlen","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/verstoss-gegen-dsgvo-aok-muss-millionenbetrag-zahlen\/","title":{"rendered":"Versto\u00df gegen DSGVO: AOK muss Millionenbetrag zahlen"},"content":{"rendered":"
\"\"
Bild von Gerd Altmann auf Pixabay<\/figcaption><\/figure>\n

Der Landesbeaufragte f\u00fcr Datenschutz<\/a> und Informationsfreiheit des Landes Baden-W\u00fcrttemberg (kurz LfDI) hat gegen\u00fcber der AOK ein Bu\u00dfgeld in H\u00f6he von insgesamt 1.240.000 Euro verh\u00e4ngt. Grund war ein Versto\u00df gegen Artikel 32 der Datenschutzgrundverordnung<\/a> (DSGVO), welcher bestimmte Pflichten hinsichtlich der sicheren Datenverarbeitung enth\u00e4lt. Die Versicherung hatte zuvor im Rahmen von diversen Gewinnspielangeboten pers\u00f6nliche Informationen von Kunden erworben, und diese dann zu Werbezwecken<\/a> verwendet.<\/em><\/p>\n

DSGVO: Datenschutz, Strafen, Geldbu\u00dfen, Verordnungen und: Ordnung muss sein!<\/h2>\n

Die Datenschutzgrundverordnung<\/a> (DSGVO) ist seit nunmehr \u00fcber zwei Jahren in Kraft. Gegen die zahlreichen Neuerungen auf dem Gebiet des Datenschutzes<\/a> wurde selbstredend schon an einigen Stellen versto\u00dfen, und damit einhergehende Bu\u00dfgeldstrafen verh\u00e4ngt. Die bis dato h\u00f6chste Summe musste die Suchmaschine Google<\/a> in Frankreich “abdr\u00fccken”: Stolze 50 Millionen Euro waren 2019 zu entrichten. Eine nicht weniger beeindruckende Strafe in H\u00f6he von 1,24 Millionen Euro wurde nun der AOK in Deutschland seitens des Landesbeauftragen f\u00fcr Datenschutz<\/a> und Informationsfreiheit des Landes Baden-W\u00fcrttemberg (LfDI) auferlegt.<\/p>\n

Die Versicherung hatte in den Jahren 2015 bis 2019 diverse Gewinnspiele<\/a> f\u00fcr potentielle und existente Kunden veranstaltet. Im Zuge dessen wurden verschiedene pers\u00f6nliche<\/a> Daten der Interessenten gesammelt, darunter Kontaktinformationen und Angaben zur aktuellen Krankenkassenzugeh\u00f6rigkeit. Diese Daten sollten im Anschluss zu Werbezwecken genutzt werden. Nach Angaben der AOK sollte dies aber nur geschehen, wenn die Betroffenen vorher eine entsprechende Einwilligung abgegeben hatten.<\/p>\n

Technische Makel und ungewollte Reklame<\/h2>\n

Die technischen Ma\u00dfnahmen die hierzu getroffen wurden, entsprachen allerdings nach Ansicht des Datenschutzbeauftragten in Baden-W\u00fcrttemberg nicht den Anspr\u00fcchen der DSGVO. Im Einzelnen sei gegen Artikel 32 versto\u00dfen worde. Hier hei\u00dft es:<\/p>\n

(1) Unter Ber\u00fccksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Ma\u00dfnahmen, um ein dem Risiko angemessenes Schutzniveau zu gew\u00e4hrleisten.<\/p><\/blockquote>\n

Letztlich wurden tats\u00e4chlich aufgrund unzureichender Vorkehrungen die pers\u00f6nlichen Daten von rund 500 Gewinnspielteilnehmern zu Werbezwecken<\/a> verwendet, obwohl diese dem gerade nicht zugestimmt hatten. Der LfDI verh\u00e4ngte daraufhin gegen die AOK die genannte Geldstrafe in H\u00f6he von 1.240.000 Euro. Zur Begr\u00fcndung dieser stolzen Summe hie\u00df es in einer entsprechenden Pressemitteilung:<\/p>\n

Bei der Bemessung der Geldbu\u00dfe wurde neben Umst\u00e4nden wie der Gr\u00f6\u00dfe und Bedeutung der AOK Baden-W\u00fcrttemberg insbesondere auch ber\u00fccksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schlie\u00dflich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bu\u00dfgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verh\u00e4ltnism\u00e4\u00dfig sein m\u00fcssen, war bei der Bestimmung der Bu\u00dfgeldh\u00f6he sicherzustellen, dass die Erf\u00fcllung dieser gesetzliche Aufgabe nicht gef\u00e4hrdet wird. Hierbei wurden die gegenw\u00e4rtigen Herausforderungen f\u00fcr die AOK infolge der aktuellen Corona-Pandemie in besonderem Ma\u00dfe ber\u00fccksichtigt.<\/p><\/blockquote>\n

Im Zuge der Mitteilung wurde allerdings auch die hohe Kooperationsbereitschaft der Krankenkasse betont, angesichts welcher von einer sogar noch h\u00f6heren Geldstrafe abgesehen wurde:<\/p>\n

Die AOK Baden-W\u00fcrttemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Ma\u00dfnahmen ein, um s\u00e4mtliche Abl\u00e4ufe grundlegend auf den Pr\u00fcfstand zu stellen. Zudem gr\u00fcndete die AOK eine Task Force f\u00fcr Datenschutz im Vertrieb und passte neben den Einwilligungserkl\u00e4rungen insbesondere auch interne Prozesse und Kontrollstrukturen an.<\/p><\/blockquote>\n

Fazit<\/h2>\n

Mit erhobenen Daten ist angesichts der Datenschutzgrundverordnung<\/a> stets mit \u00e4u\u00dferster Vorsicht umzugehen. Auch wenn der AOK kein Vorsatz unterstellt werden kann, haben die nur unzureichend installierten technischen Ma\u00dfnahmen letztlich zu einem Missbrauch der pers\u00f6nlichen Informationen gef\u00fchrt. Dass auch dies zu empfindlichen Strafen<\/a> f\u00fchren kann, zeigt der dargestellte Fall. Die DSGVO verleiht Aufsichtsbeh\u00f6rden wie dem LfDI die Befugnis, Bu\u00dfgelder von bis zu vier Prozent der weltweiten Einnahmen oder maximal pauschal 20 Millionen Euro durchzusetzen. Allerdings ist es auch Aufgabe jener Beh\u00f6rden, innerhalb dieses Rahmens eine angemessene Strafe festzulegen, die den Interessen aller Beteiligten gerecht wird. Hierzu hie\u00df es abschlie\u00dfend in der Pressemitteilung:<\/p>\n

Weil Bu\u00dfgelder nach der DSGVO<\/a> nicht nur wirksam und abschreckend, sondern auch verh\u00e4ltnism\u00e4\u00dfig sein m\u00fcssen, war bei der Bestimmung der Bu\u00dfgeldh\u00f6he sicherzustellen, dass die Erf\u00fcllung dieser gesetzlichen Aufgabe (hier der AOK als einer der gr\u00f6\u00dften gesetzlichen Krankenkassen in Deutschland) nicht gef\u00e4hrdet wird.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Der Landesbeaufragte f\u00fcr Datenschutz und Informationsfreiheit des Landes Baden-W\u00fcrttemberg (kurz LfDI) hat gegen\u00fcber der AOK ein Bu\u00dfgeld in H\u00f6he von insgesamt 1.240.000 Euro verh\u00e4ngt. Grund war ein Versto\u00df gegen Artikel 32 der Datenschutzgrundverordnung (DSGVO), welcher bestimmte Pflichten hinsichtlich der sicheren Datenverarbeitung enth\u00e4lt. Die Versicherung hatte zuvor im Rahmen von diversen Gewinnspielangeboten pers\u00f6nliche Informationen von Kunden […]<\/p>\n","protected":false},"author":56,"featured_media":54256,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[142,2516,17191,17555],"class_list":["post-54190","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzrecht","tag-datenschutz","tag-gewinnspiel","tag-dsgvo","tag-bussgeld","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/54190","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/56"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=54190"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/54190\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media\/54256"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=54190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=54190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=54190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}