Teure Post: AOK Baden-Württemberg muss 1,24 Millionen Euro wegen DSGVO-Verstoß zahlen

Das war teuer: Wegen 500 zu Werbezwecken versandten E-Mails muss die AOK Baden-Württemberg ein Bußgeld in Höhe von 1,24 Millionen Euro hinnehmen. Der Grund: Die Krankenkasse hatte es versäumt, die Einwilligung der Nutzer, die an einer Verlosung teilgenommen hatten, gemäß der DSGVO einzuholen. Der Bußgeldbescheid wirkt extrem, aber es hätte auch noch schlimmer kommen können.

Die AOK Baden-Württemberg musste zuletzt eine bittere Pille schlucken. Von der zuständigen Aufsichtsbehörde wurde der Krankenkasse ein Bußgeldbescheid in Höhe von 1,24 Millionen Euro zugestellt. Der Auslöser für dieses astronomisch wirkende Bußgeld wirkt zunächst banal: Die Krankenkasse hatte insgesamt 500 Kunden, die an einem Gewinnspiel teilgenommen hatten, per E-Mail kontaktiert.

Hierbei verabsäumte sie es aber nach Auffassung der Aufsichtsbehörde, eine technisch geeignete Maßnahme zu implementieren, um das Einverständnis der Empfänger, auf diesem Wege kontaktiert zu werden, einzuholen. Damit verstieß die AOK gegen Art. 32 DSGVO. Ein gangbarer Weg, eine solche Zustimmung einzuholen, wäre es gewesen, den Kunden ein entsprechendes Häkchen auf einer Website anklicken zu lassen. Von 2015 bis 2019 waren von der Kasse diverse personenbezogene Daten wie Name oder Krankenkassenzugehörigkeit gesammelt worden.

AOK hatte noch Glück im Unglück

Allerdings hätte das Strafmaß hier noch deutlich härter ausfallen können. Da die Aufseher ihren Bescheid auf Grundlage von Art. 32 DSGVO ausstellten, stand nur ein Bußgeld in Höhe von maximal 2% des jährlichen Umsatzes im Raum, wie es nach Art. 83 Abs. 4 in der Verordnung festgelegt ist.
Wäre der Bescheid nach Artikel 6 DSGVO ergangen, hätte die Datenschutzaufsicht auch ein Bußgeld in Höhe von maximal 4% des Jahresumsatzes verhängen können. Auch da man die Fähigkeit der Krankenkasse zur Erfüllung ihres gesetzlichen Auftrags nicht gefährden wolle, sei das Bußgeld in besagter Höhe ausgefallen, so die Behörde in einer entsprechenden Mitteilung. Auch habe die AOK konstruktiv mit dem Landesdatenschutzbeauftragten kooperiert, um alle internen Vorgänge so umzugestalten, dass sie in Zukunft DSGVO-konform ablaufen.
Die AOK Baden-Württemberg plant offenbar nicht, gegen den Bußgeldbescheid weiter vorzugehen.

* Rechtlicher Hinweis: Der DSGVO Scan bietet keine Rechtssicherheit und verhindert auch nicht, dass Ihre Seite außerhalb unserer Prüfungen Rechtsverstöße aufweist. Unsere Hinweise und Handlungsempfehlungen sind eine erste Fehlerindikation, und keine Rechtsberatung. Der DSGVO Scan unterstützt Sie dabei, den Überblick zu behalten und weitere Schritte mit Ihrem Rechtsbeistand umzusetzen. DSGVO Scan nimmt von jeder missbräuchlichen Nutzung zum Zwecke zur Gewinnmaximierung Abstand.

Das automatisierte Verfahren kann darüber hinaus auch zu Fehleinschätzungen Ihrer Seite führen, so dass wir keinerlei Haftung für das Prüfergebnis übernehmen können. Wir arbeiten selbstverständlich daran, den DSGVO Scan noch sicherer zu machen, um auch die Vielzahl von technischen Systemen zur Darstellung einer Internetseite abbilden und berücksichtigen zu können.