SBS Firmengruppe Logos

| Datenschutzrecht

AOK muss Millionenstrafe zahlen! Datenschutz greift durch


1,24 Mio. Euro! Eine hohe Strafe für die AOK – trotz mildernder Umstände

Die Allgemeine Ortskrankenkasse (AOK) Baden-Württemberg hatte die personenbezogenen Daten von Gewinnspielteilnehmern zu Werbezwecken verwendet – ohne dass die betroffenen Personen dem zugestimmt hätten. Das stellt einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) dar und ist entsprechend vom baden-württembergischen Landesbeauftragten für Datenschutz und Information (LfDI) geahndet worden: 1,24 Millionen Euro muss die AOK nun zahlen (Bescheid vom 25.06.2020). Und dabei hätte diese Strafe sogar noch höher ausfallen können. Ja, die hohe Geldbuße soll abschrecken – aber sie solle auch verhältnismäßig sein. Denn die AOK hatte sich nach Bekanntwerden ihres Fehlers kooperativ mit der entsprechenden Behörde gezeigt und ihre Bemühungen in der Datensicherheit intensiviert. Diese mildernden Umstände konnten die Krankenkasse vor einer womöglich weit höheren Strafe bewahren.

Wie konnte es überhaupt zu der Datenschutzlücke kommen?

Gewinnspiele sind eine häufig eingesetzte Marketingmaßnahme. Auch die AOK Baden-Württemberg nutzte von 2015 bis 2019 immer mal wieder Gewinnspiele, um neue Kunden zu akquirieren. Dabei wurden unter anderem die Kontaktdaten und die Krankenkassenzugehörigkeit der teilnehmenden Personen erhoben – personenbezogene Daten. Wenn die Teilnehmer zustimmten, sollten diese Daten auch zu Werbezwecken genutzt werden – und zwar nur wenn sie zustimmten. Tatsächlich wurden aber auch die Daten von ungefähr 500 Gewinnspielteilnehmern für besagte Werbezweck verwendet, ohne dass diese das per Einwilligung erlaubt hätten.

versichertenkarte im portemonnaie

Die technischen und organisatorischen Maßnahmen, die Krankenkasse ergriffen hatte, um sicherzustellen, dass auch wirklich nur die Daten werblich eingesetzt werden, bei denen eine explizite Einwilligung dazu vorlag, waren also offensichtlich unzureichend. Die internen Richtlinien und Datenschutzschulungen der AOK als Maßnahmen zur Sicherstellung der Datensicherheit genügten den gesetzlichen Anforderungen nicht.


Verstoß gegen Artikel 32 der Datenschutzgrundverordnung

Der Verantwortliche und der Auftragsverarbeiter müssen „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“, so heißt es in Artikel 32, Absatz 1 der DSGVO.

Dass die AOK im vorliegenden Fall keine hinreichenden Maßnahmen ergriffen hatte, stellt also einen eindeutigen Verstoß gegen diese Pflicht zur sicheren Datenverarbeitung gemäß Artikel 32 der DSVO dar. Die Bußgeldstelle des LfDI Baden-Württemberg verhängte deswegen die Geldstrafe in Höhe von 1,24 Mio. Euro.


Millionenstrafe – eine Abschreckung gegen Datenschutzverstöße

Der Datenschutz greift durch! Der Millionenbetrag sollte ein Zeichen an alle Unternehmen sein: Die Behörden können heftige Summen verhängen – und während sie sich anfangs damit noch zurückgehalten hatten, machen sie das nun (zwei Jahre nach in Kraft treten der DSGVO) auch. Der Fall „Allgemeine Ortskrankenkasse Baden-Württemberg“ ist die dritte Millionenstrafe, die hier zu Lande wegen eines Datenschutzverstoßes gezahlt werden muss – nach dem Immobilienunternehmen „Deutsche Wohnen“, das seine nicht-datenschutzkonformen Archive 14,5 Millionen Euro kosteten, sowie der Telecom-Tochter „1&1 Telecom“, deren Strafe 9,5 Millionen Euro betrug.

Dr Stefan Brink

                 Dr. Stefan Brink | Foto: Kristina Schäfer

Aber der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit (Dr. Stefan Brink) betonte auch: „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an.“ Für dieses Schutzniveau seien „technische und organisatorische Maßnahmen […] regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Dies ist auch der Grund, warum die Strafe für die AOK nicht noch höher ausgefallen ist. Die Krankenkasse hatte sich äußert kooperativ gezeigt, um den Zweck der DSGVO und der sich daraus ergebenden Aufgabe des LfDI zu erfüllen – nämlich Datensicherheit.


Nur 1,24 Mio. Euro? Glück gehabt!

Nachdem die Datenschutzlücke bei der AOK bekannt geworden war, ergriff sie einige Maßnahmen, um diese Lücke zu schließen – und zeigte sich dabei konstruktiv kooperativ in Zusammenarbeit mit dem LfDI, was dazu beitrug, dass die Strafe nicht noch höher ausfiel.

So überprüfte die Krankenkasse intern alle Abläufe und stellte dafür ihre vertrieblichen Maßnahmen vorerst ein, sie gründete ein Task Force für den Datenschutz im Vertrieb, passte die Einwilligungserklärungen an, besserte interne Prozesse und Kontrollstrukturen nach und kündigte an, noch einige weitere Mittel gemeinsam mit dem LfDI zu erarbeiten und umzusetzen.

Letztlich konnte auf diese Weise das Schutzniveau für personenbezogene Daten bei ihren Vertriebstätigkeiten angehoben werden, was die Behörde bei der Bemessung des Strafmaßes gutheißend berücksichtigte. Zudem sah sie noch weitere mildernde Umstände im Falle der AOK. Denn als gesetzliche Krankenkasse sei sie dafür verantwortlich, die Gesundheit ihrer Versicherten zu erhalten, wiederherzustellen oder zu verbessern – ein wichtiger Bestandteil unseres Gesundheitssystems also. Diese relevante und gesetzliche Aufgabe solle nicht gefährdet werden. Insbesondere im Hinblick auf die derzeitige Corona-Pandemie, die mit höheren Belastungen für die Krankenkasse als sonst einhergeht, wurde der Bußgeldbetrag deswegen gesenkt. Es gehe nämlich nicht nur um Abschreckung, sondern auch um Verhältnismäßigkeit. In Abwägung dieser beiden Faktoren hatte die Behörde die Strafe in Höhe von 1,24 Millionen Euro errechnet.

Ein Sprecher der AOK versicherte, dass die Krankenkasse diese Millionensumme durch Einsparungen bei Verwaltungskosten aufbringen wolle. Versicherungs- und Versorgungsleistungen seien davon in keiner Weise betroffen.


DSVO-Sanktionen – Welche Strafsummen sind möglich?

Damit die (noch recht neue) DSGVO sich möglichst schnell und nachhaltig etabliert, d.h. sich alle an diese Regelungen halten, sollen Verstöße gegen sie mit hohen Geldsummen bestraft werden – und so abschreckend wirken. Was heißt das konkret und in Zahlen?

Laut Artikel 83, Absatz 4 (DSGVO) können die Geldbußen bis zu 10 Millionen Euro bzw. 2% des weltweiten Jahresumsatzes betragen, in einigen schwereren Vergehen sogar bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes.

Und wie wird ermittelt, wie hoch die Strafe im Einzelfall ist? Zur Ermittlung der Höhe der Bußgelder haben die deutschen Datenschutzbehörden einen fünfstufigen Prozess konzipiert.

>> Das Konzept der Datenschutzbehörden <<

Ermittlung des Strafmaßes - fünf Schritte:

  1. Das betreffende Unternehmen wird in eine von vier Größenklassen eingeordnet: Ist es ein Kleinstunternehmen, ein kleines Unternehmen, ein mittleres Unternehmen oder ein Großunternehmen?
  2. Von der Größenklasse, in das das Unternehmen eingeordnet worden ist, wird der mittlere Jahresumsatz ermittelt: Was ist der mittlere Jahresumsatz eines Kleinstunternehmens, eines kleinen oder mittleren Unternehmens oder eines Großunternehmens?
  3. Anhand des mittleren Jahresumsatzes wird ein wirtschaftlicher Grundwert ermittelt: Wie hoch ist der „Tagessatz“ in der Größen-Untergruppe?
  4. Der Tagessatz wird mit einem Faktor multipliziert – je nach Tatbestand: Handelt es sich um einen leichten, formellen Verstoß (nach Artikel 83, Absatz 4 (DSGVO)) oder um einen sehr schweren, materiellen Verstoß (nach Artikel 83, Absatz 5, 6 (DSGVO))? Je nachdem beträgt der Faktor, mit dem der Tagessatz multipliziert wird, 1 bis 12.
  5. Der durch die Multiplikation errechnete Wert wird weiter angepasst: Welche täterbezogenen oder sonst nicht berücksichtigten Umstände gibt es noch?

Mit diesem letzten Schritt soll nämlich verhindert werden, dass ein Unternehmen durch ein zu hohes Bußgeld zahlungsunfähig wird – denn hier gilt neben dem Grundsatz der Abschreckung auch der Verhältnismäßigkeitsgrundsatz, wie er bei der AOK angewandt worden ist.


SBS LEGAL - Kanzlei für Datenschutzrecht in Hamburg

Der Fall „AOK“ zeigt: Auch wenn man in seinem Unternehmen Maßnahmen ergriffen hat, um den Datenschutz sicherzustellen, könnten diese womöglich noch nicht ausreichen und den gesetzlichen Anforderungen nicht genügen. Denn mit der 2018 EU-weit in Kraft getretenen DSGVO gibt es strenge Vorgaben bezüglich der Arbeit mit personenbezogenen Daten – und hohe Strafen bei Verstößen dagegen.

Das Team von SBS LEGAL begleitet Unternehmen bei der Umsetzung der umfangreichen gesetzlichen Regelungen. Mit unserer Tätigkeit sollen alle Datenrechtsverstöße und damit behördenrechtliche Verfahren in Ihrem Unternehmen ausgeschlossen werden. Zu diesem Zweck arbeiten wir eng mit externen und auch internen Datenschutzbeauftragten (in-house) zusammen.

Unsere Anwälte sorgen täglich dafür, dass unsere Mandanten (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des geltenden Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren. Mit unserer Erfahrung beraten wir sie kompetent und fachlich versiert in allen Belangen des Datenschutzes – für die erfolgreiche rechtliche Absicherung Ihres Unternehmens: über die allgemeine Prüfung und Umsetzung datenschutzrechtlicher Pflichten, die Gestaltung rechtssicherer Verträge zu Auftragsverarbeitung bis hin zur Erarbeitung einer datenschutzrechtlichen Compliance, um Vorgaben auch aus wirtschaftlicher Sicht abzuwägen.

Sie brauchen Hilfe im Datenschutzrecht?

Wir stehen auch Ihnen gern als Partner in allen Belangen des Datenschutzes zur Seite. Kontaktieren Sie uns gern - wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht