Das LfDI Baden-Württemberg hat gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von 1,24 Millionen Euro verhängt, weil sie personenbezogene Daten von Gewinnspielteilnehmern zu Werbezwecken verwendet hatte. Die Teilnehmer hatten jedoch nicht in die Verwendung ihrer Daten zu Werbezwecken eingewilligt.
Was war passiert?
Der Vorfall betraf Daten von insgesamt 500 Gewinnspielteilnehmern. Die Krankenkasse hatte laut LfDI Baden-Württemberg in den Jahren 2015 bis 2019 Gewinnspiele veranstaltet. Dabei sammelte sie personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Versichertendaten waren jedoch nicht darunter.
Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass sie nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nach Angaben des LfDI nicht den gesetzlichen Anforderungen, sodass es zu der Datenpanne kam.
Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein und stellte sämtliche Abläufe auf den Prüfstand. Zudem gründete sie eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.
Es handelt sich laut LfDI Baden-Württemberg um das höchste Bußgeld, was je in dem Bundesland verhängt worden sei. Dazu der LfDI:
Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK.
Was bedeutet das für Unternehmen?
Das können Unternehmen aus dem Fall lernen:
- Bereits relativ geringfügige Verstöße können zu verhältnismäßig hohen Bußgeldern führen (wir berichteten bereits im Fall von 1&1).
- Kooperation mit den Behörden zahlt sich aus und führt zur Reduzierung des Bußgeldes.
- Bei Gewinnspielen ist klar zu trennen zwischen der Verwendung der personenbezogenen Daten zum Zweck Abwicklung der Teilnahme und der (darüber hinausgehenden) Verwendung zu Werbezwecken. Letztere bedarf einer Einwilligung.
- Es sollten technisch-organisatorische Maßnahmen ergriffen werden, um sicherzustellen, dass die Daten der Teilnehmer ohne Werbeeinwilligung von den Daten derjenigen Personen, die mit Werbung einverstanden sind, getrennt werden.
Sie haben Fragen zum Datenschutz bei der Veranstaltung von Gewinnspielen? Kontaktieren Sie uns.