Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg („LfDI BW“) hat am 30. Juni 2020 bekanntgegeben, ein Bußgeld in Höhe von 1,24 Mio. Euro gegen die AOK Baden-Württemberg zu verhängen (die Pressemitteilung können Sie hier finden).

Hintergrund des Bußgeldes

Der LfDI BW verhängte das Bußgeld aufgrund unzureichend umgesetzter technischer und organisatorischer Maßnahmen i.S.d. Art. 32 DSGVO. Die AOK hatte bei mehreren Gewinnspielen die Teilnehmer nach ihrer Einwilligung zur Verarbeitung ihrer Daten für Werbezwecke gefragt. Die Mitarbeiter seien zwar durch interne Richtlinien und Schulungen angewiesen und unterrichtet worden, die Daten erst nach erfolgter Einwilligung entsprechend zu nutzen. Dennoch kam es bei der AOK zur Verarbeitung der personenbezogenen Daten von ca. 500 Teilnehmern für Werbezwecke, die keine Einwilligung erteilt hatten. Nach Ansicht des LfDI BW waren die getroffenen organisatorischen Maßnahmen zum Schutz vor einem solchen Missbrauch der Daten nicht ausreichend.

Kein Verstoß gegen Art. 6 DSGVO angegeben

Es fällt auf, dass der LfDI BW den Verstoß nicht mit der fehlenden Einwilligung i.S.d. Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) begründete, sondern auf Art. 32 DSGVO (technische und organisatorische Maßnahmen) stützte. Dies ist ein Hinweis darauf, dass der LfDI BW die weisungswidrige Verarbeitung zu Werbezwecken nicht der AOK, sondern den Mitarbeitern selbst zurechnete. Das datenschutzwidrige Verhalten der AOK als Verantwortliche lag somit lediglich darin, die weisungswidrige Verarbeitung der Mitarbeiter nicht durch angemessene organisatorische Maßnahmen verhindert zu haben. Zu behördlichen Maßnahmen gegenüber den Mitarbeitern der AOK äußert sich der LfDI BW im Übrigen nicht.

Bemessung des Bußgeldes

Schaut man sich das im letzten Herbst veröffentlichte Bußgeldbemessungskonzept der Datenschutzkonferenz an (siehe mehr dazu hier), so fällt das Bußgeld von gut einer Millionen Euro sehr niedrig aus. Die AOK Baden-Württemberg hatte nach dem Unternehmensbericht für das Geschäftsjahr 2018 einen Haushalt von etwas über 14 Milliarden Euro. Entsprechend läge der Tagessatz – und damit das Ausgangsbußgeld – nach dem Bußgeldbemessungskonzept bei knapp 40 Mio. Euro.

Sein vergleichsweise niedriges Bußgeld begründete der LfDI BW mit der umfassenden Kooperation und umfangreichen Verbesserungen der AOK im Datenschutz. Außerdem wirkte sich im Rahmen einer Verhältnismäßigkeitsprüfung begünstigend aus, dass die AOK als gesetzliche Krankenversicherung eine wichtige gesellschaftliche Aufgabe erfülle. Der LfDI BW wollte durch das Bußgeld die Erfüllung dieser Aufgaben nicht behindern.

Handlungsempfehlungen

Die beste Vorsorge gegen mögliche Datenschutzbußgelder ist für Unternehmen selbstverständlich die möglichst umfangreiche Umsetzung der datenschutzrechtlichen Anforderungen. Unternehmen sollten ihre technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten daher regelmäßig prüfen. Der LfDI BW stellte klar, dass es dabei nicht ausreicht, irgendwelche Maßnahmen zu treffen. Es sind vielmehr möglichst effektive Maßnahmen zu ergreifen. Technische Schutzmaßnahmen bieten dabei meist ein höheres Schutzniveau als organisatorische. Im Fall der AOK hätte beispielsweise durch eine entsprechende Konfiguration des Systems sichergestellt werden können, dass personenbezogene Daten von Teilnehmern ohne Einwilligungen für die Marketingabteilung gar nicht erst zugänglich sind.

Ist es bereits zu einem Verstoß gekommen, empfiehlt es sich grundsätzlich, in dem Bußgeldverfahren mit den Datenschutzbehörden zu kooperieren. Verschleierungs- oder Verzögerungstaktiken können das Bußgeld empfindlich in die Höhe treiben.

Fazit

Die Entscheidung des LfDI BW einer maßvollen Bemessung des Bußgeldes ist zu begrüßen. Das Bußgeldbemessungskonzept der Datenschutzkonferenz würde bei strikter Anwendung zu sehr hohen und unseres Erachtens oftmals unverhältnismäßigen Bußgeldern führen. Datenschutzexperten haben daher seit der Veröffentlichung des Bußgeldbemessungskonzepts eine stärkere Öffnung für Verhältnismäßigkeitskriterien gefordert. Dies hat der LfDI BW nun berücksichtigt. Entsprechend äußert sich Dr. Stefan Brink auch abschließend in der Pressemitteilung: „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an.“ Es bleibt abzuwarten, ob auch die anderen deutschen Datenschutzaufsichtsbehörden diesen Weg einschlagen werden.