DSGVO: Millionen-Bußgeld für Krankenkasse

Ein aktueller Fall zeigt, weshalb Datenschutz für Unternehmen heute essenziell ist

Keyfacts

  • Die DSGVO erlaubt die Verarbeitung von personenbezogenen Daten nur für zuvor eindeutig festgelegte Zwecke.
  • Selbst bei vermeintlich leichten Verstößen drohen hohe Bußgelder, wie aktuell der Fall einer Krankenversicherung demonstriert.
  • Unternehmen sollten deshalb die Datensicherheit stets im Blick behalten.
Barbara Scheben
  • Partnerin, Corporate Governance Services; Head of Forensic
Mehr über meine Themen Nachricht schreiben

Die Nachricht lässt aufhorchen: Zum Ende des ersten Halbjahres 2020 wurde eine Krankenversicherung mit einem Bußgeld in Höhe von 1,24 Millionen Euro belegt – für einen vermeintlich leichten Verstoß gegen Art. 32 DSGVO. So verhängte es der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI).

Nach der Datenschutz-Grundverordnung (DSGVO) dürfen Daten grundsätzlich nur für bestimmte, zuvor eindeutig festgelegte Zwecke verarbeitet werden. Was über diese vorher definierten Zwecke hinausgeht, stellt in aller Regel einen Datenschutzverstoß dar. Dass auch ein vermeintlich leichter und fahrlässiger Verstoß gegen dieses Gebot teuer werden kann, wird durch dieses jüngste Bußgeld deutlich.

Daten aus Gewinnspiel zu Werbezwecken genutzt

Die Krankenkasse erhob im Rahmen von Gewinnspielen in den Jahren 2015 bis 2019 personenbezogene Daten der jeweiligen Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei sollten die Daten der Gewinnspielteilnehmer auch zu Werbezwecken genutzt werden, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen sollte gewährleistet werden, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten.

Die zum Zwecke des Datenschutzes festgelegten Maßnahmen – dabei handelte es sich unter anderem um interne Richtlinien und Schulungsmaßnahmen – genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Insbesondere bemängelte der LfDI fehlende regelmäßige Kontrollen hinsichtlich der Datensicherheit und entsprechende Anpassungen der technischen und organisatorischen Maßnahmen, um ein angemessenes Schutzniveau sicherzustellen.

Neue Zeiten der Bußgeldbemessung

Die Botschaft der Behörde ist eindeutig: Der vorhandene verwaltungsrechtliche Sanktionsrahmen wird konsequent angewandt, um durch abschreckende Geldbußen eine Einhaltung der sich aus der DSGVO ergebenen datenschutzrechtlichen Pflichten sicherzustellen. Der LfDI Baden-Württemberg hat bei der Festlegung des Bußgelds das Bußgeldmodell der deutschen Aufsichtsbehörden angewendet, bei dem der Bußgeldrahmen basierend auf den Umsätzen des betreffenden Unternehmens und der Schwere des Verstoßes bestimmt wird.

Das Modell lässt allerdings auch die Möglichkeit zu, bußgeldmindernde Umstände anzuerkennen. Insoweit wurde auch hier die der Kooperation mit der Behörde bei der Bemessung der Bußgeldhöhe berücksichtigt.

Datensicherheit steht oben auf der Agenda

Datenschutzrisiken stellen seit geraumer Zeit ein echtes Unternehmensrisiko dar. Zwar können Datenschutzverstöße zum Beispiel aufgrund individuellen menschlichen Versagens nie gänzlich ausgeschlossen werden, jedoch sind systemimmanente Defizite und prozessuale Schwachstellen vermeidbar.

Die Aufsichtsbehörden legen verstärkt einen Fokus auf die Einhaltung von Datensicherheitsanforderungen. Die Verarbeitung von personenbezogenen Daten mit Erlaubnisvorbehalt sieht vor, dass Datenverarbeitungen nur mit einer passenden Rechtsgrundlage stattfinden dürfen. Verantwortliche im Sinne der DSGVO müssen zudem geeignete technische und organisatorische Maßnahmen treffen, welche die Datensicherheit bei der Verarbeitung zu jeder Zeit sicherstellt, von der Erhebung der Daten bis hin zu deren Löschung. Dabei sollten die Verantwortlichen die Kontrolle der getroffenen Maßnahmen stets im Blick behalten.

Sicherheit schafft Vertrauen

Was bedeutet dies für die Praxis?

Unternehmen sollten folgerichtig Sorge dafür tragen, dass in einem ganzheitlichen Datenschutz-Managementsystem die Verarbeitungslandschaft vollständig erfasst ist. Mit ihr geht auch die Risikobewertung und die korrespondierende Auswahl der technischen und organisatorischen Maßnahmen einher. Diese sind fortlaufend und regelmäßig zu kontrollieren und bei Bedarf entsprechend anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.

Am Ende gewinnen diejenigen Unternehmen das nachhaltige Vertrauen ihrer Geschäftspartner, die dafür Sorge tragen, dass ein verantwortungsvoller Umgang mit deren Daten aktiv gelebt wird.

Barbara Scheben
  • Partnerin, Corporate Governance Services; Head of Forensic
Mehr über meine Themen Nachricht schreiben