Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat gegen eine Krankenkasse (AOK Baden-Württemberg) eine Busse von EUR 1,24 Mio. verhängt (vgl. Medienmitteilung).
Eine Verletzung der DSGVO erkannte der LfDI darin, dass die AOK in den Jahren 2015 bis 2019 im Rahmen von Gewinnspielen Personendaten der Teilnehmer erhoben hatte, u.a. Kontaktdaten und Krankenkassenzugehörigkeit. Diese Daten sollten zu Werbezwecken genutzt werden. Die AOK wollte dabei durch technische und organisatorische Massnahmen (u. a. interne Richtlinien und Datenschutzschulungen) sicherstellen, dass nur Daten von Teilnehmern verwendet werden, die eingewilligt hatten. Dennoch wurden Personendaten von mehr als 500 Teilnehmern ohne Einwilligung zu Werbezwecken verwendet (nicht aber Versichertendaten). Damit stand für den LfDI fest, dass die AOK unzureichende Sicherheitsmassnahmen getroffen hatte, was gegen Art. 32 DSGVO verstiess.
Bei der Bemessung der Busse fiel der Medienmitteilung zufolge ins Gewicht:
- die Grösse und Bedeutung der AOK Baden-Württemberg, insbesondere der Umstand, dass die Aok eine gesetzliche Krankenversicherung und damit “ein wichtiger Bestandteil unseres Gesundheitssystems” ist,
- dass umfassende internen Überprüfungen und Anpassungen der technischen und organisatorischen Massnahmen erfolgt sind,
- die “konstruktive Kooperation” mit dem LfDI,
- dass keine Versichertendaten betroffen waren,
- dass durch die Busse die Erfüllung der gesetzlichen Aufgabe der AOK nicht gefährdet werden darf, wobei die Herausforderungen infolge der Corona-Pandemie besonders berücksichtigt wurde.
Mit anderem Worten hätte die Busse ohne diese Umstände auch erheblich höher ausfallen können. – Wie berichtet wird, wird die AOK die Busse nicht anfechten.
Offen ist derzeit, ob die Höhe der Busse auf die Anwendung des umstrittenen Sanktionsmodells der DSK zurückzuführen ist und weshalb der LfDI den Verstoss bei Art. 32 DSGVO und nicht z.B. Art. 5 (Grundsätze), Art. 6 (Rechtsgrundlage), Art. 24 (Grundsatz der Pflicht, die Einhaltung der DSGVO sicherzustellen) oder Art. 25 DSGVO (Privacy by Design) angesiedelt hat.
Dem Entscheid darf man entnehmen, dass die Behörden zwischen Papiercompliance und gelebter Compliance zu unterscheiden wissen und die Schonfrist bei Bussen (auch die informelle Schonfrist aufgrund der Corona-Pandemie) wohl abgelaufen ist.