Millionen-Bußgeld gegen die AOK Baden-Württemberg verhängt
Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 DS-GVO) hat die Datenschutz-Behörde in Baden-Württemberg mit Bescheid vom 25.06.2020 ein Bußgeld in Höhe von 1.240.000,- Euro gegen die AOK Baden-Württemberg erlassen. Diese hatte ihre technischen und organisatorischen Maßnahmen (TOM) nicht ausreichend umgesetzt. Mithilfe interner Richtlinien und Datenschutzschulungen wollte die AOK sicherstellen, dass nur Daten von Gewinnspielteilnehmern, die zuvor wirksam eingewilligt hatten, zu Werbezwecken verwendet werden. Aufgrund der ungenügenden TOM wurden jedoch personenbezogene Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.
Bei der Bemessung der Bußgeldhöhe berücksichtigte die Datenschutz-Behörde die infolge der aktuellen Corona-Pandemie entstandenen besonderen Herausforderungen für die AOK und deren konstruktive Kooperation mit der Behörde. Ohne die Corona-Pandemie und die an den Tag gelegte konstruktive Kooperation wäre das Bußgeld vermutlich deutlich höher ausgefallen.
Wie die Datenschutz-Behörde mitteilt, stellte die AOK Baden-Württemberg unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für den Datenschutz im Vertrieb und passte neben ihren Einwilligungserklärungen insbesondere auch die internen Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit der Datenschutz-Behörde erfolgen.
Die AOK hat sich gegenüber der Datenschutz-Behörde zudem dazu verpflichtet, zukünftig alle Verbesserungen und zusätzlichen Kontrollmechanismen entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortzuführen und bei Bedarf anzupassen.
„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“
Der aktuelle Fall macht deutlich, dass ein wirksamer Schutz vor einem Bußgeld nur durch die Umsetzung des betrieblichen Datenschutzes auf einem ausreichend hohen und umfassenden Niveau zu erreichen ist. In einer Fachdiskussion, welche am 7. Mai diesen Jahres im Rahmen der Verbandstage des Berufsverbandes BvD stattfand bezog der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Dr. Brink mit klaren Worten Stellung gegen den bei einigen Unternehmen zu beobachtenden Trend, ihre betrieblichen Datenschutzaktivitäten einzuschränken und mit möglichst geringem Aufwand weiterzuführen. Zitat „Wir beobachten diese Entwicklung sehr genau“.