30.06.2020

Datenschutzbehörde verhängt bei leichtem Verstoß 1,2 Mio. Euro Bußgeld - Bewertung und Folgen

Portrait von Tim Wybitul
Tim Wybitul

Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat gegen eine gesetzliche Krankenkasse ein Bußgeld in Höhe von EUR 1,24 Mio. verhängt. Die entsprechende Pressemeldung des LfDI vom 30. Juni 2020 finden Sie hier. Der Überblick hier beschreibt die Hintergründe des Bußgelds und zeigt, warum sich Unternehmen künftig auf höhere Bußgelder einstellen müssen. Zudem gibt er Handlungsempfehlungen zur Vermeidung von Bußgeldern.

Die Spielregeln für ein eskalierendes Bußgeldverfahren haben Prof. Niko Härting und Lasse Konrad im Frage-Antwort-Format im gerade neu erschienenen Leitfaden zusammengestellt:Härting/Konrad DSGVO im Praxistest Ermittlungen, Bußgelder, Verfahren Köln (Otto Schmidt) Juni 2020

Zugrundeliegender Sachverhalt für das Bußgeld: Unzulässige Verarbeitung von Daten von über 500 Personen

Nach der Pressemeldung soll die Krankenkasse in den Jahren 2015 bis 2019 Gewinnspiele durchgeführt haben. Dabei erhob sie personenbezogene Daten der Teilnehmer, darunter auch Kontaktdaten und Informationen über die Krankenkassenzugehörigkeit. Sofern die Teilnehmer hierzu eingewilligt hatten, wollte die Krankenkasse diese Daten zu Werbezwecken nutzen. Die Krankenkasse wollte dabei durch technische und organisatorische Maßnahmen sicherstellen, dass nur die Daten solcher Teilnehmer zu Werbezwecken verwendet wurden, die eine entsprechende Einwilligung erteilt hatten. Hierbei war es offenbar zu Fehlern gekommen. Dadurch wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Der LfDI verwies in seiner Pressemeldung ausdrücklich darauf, dass Daten von Versicherten der Krankenkasse von diesem Vorfall jedoch nicht betroffen waren.

Ansatz des LfDI: Verstoß gegen Art. 32 DSGVO, Sicherheit der Verarbeitung

Der LfDI bewertete den Vorgang als Verstoß gegen Art. 32 DSGVO. Nach dieser Vorschrift müssen datenschutzrechtlich Verantwortliche und Auftragsverarbeiter "geeignete technische und organisatorische Maßnahmen" treffen, um ein dem Risiko einer Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Bei Verstößen gegen die gesetzlichen Vorgaben zur Datensicherheit drohen bekanntlich Bußgelder von bis zu EUR 10 Mio. oder von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes, Art. 83 Abs. 4 lit. a DSGVO.

  • Reaktion des Verletzers: Umfassende Kooperation und Schadensminderungsmaßnahmen

Unmittelbar nach Bekanntwerden des Vorwurfs stoppte die Krankenkasse ihre Vertriebsmaßnahmen und überprüfte sämtliche Abläufe. Sie passte interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen zur Verbesserung des Datenschutzes sollen in enger Abstimmung mit dem LfDI erfolgen.

  • Kriterien für die Festlegung des Bußgelds

- "leichter Verstoß":  Verglichen mit anderen in der Vergangenheit bekannt gewordenen Datenschutzverstößen scheint die versehentliche Verarbeitung der Daten von 500 betroffenen Personen für Werbezwecke eher ein leichter Verstoß zu sein. - Bußgeldrahmen:  Zudem gilt für Verstöße gegen Art. 32 DSGVO der "kleine Bußgeldrahmen" des Art. 83 Abs. 4 DSGVO. Bei schwereren Verstößen drohen nach Art. 83 Abs. 5 DSGVO Bußgelder von bis zu EUR 20 Mio. oder bis zu 4 % des Jahresumsatzes. - betroffene Personen:  Auch die eher überschaubare Anzahl von 500 betroffenen Personen dürfte sich nicht bußgelderhöhend ausgewirkt haben.

- Für  eine Bußgeldminderung sprachen laut LfDI auch die konstruktive Kooperation der Krankenkasse mit der Behörde und die schnellen Anpassungen der technischen und organisatorischen Maßnahmen. Dadurch konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten erreicht werden. - Neben der Größe und Bedeutung der Krankenkasse berücksichtigte der LfDI auch, dass diese ein wichtiger Bestandteil des Gesundheitssystems sei:

"Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird."

Bewertung des verhängten Bußgelds

Eine umfassende Analyse der Entscheidung des LfDI wird erst nach Prüfung des entsprechenden Bußgeldbescheids möglich sein. Aber bereits die Pressemeldung der Behörde gibt Anlass zum Aufhorchen. Denn danach scheint es so, als habe die Behörde einen eher leichten und zudem fahrlässigen Verstoß trotz zahlreicher bußgeldmindernder Umstände zum Anlass genommen, ein Bußgeld von immerhin über 1,2 Millionen zu verhängen.

Zunächst zeigt das vom LfDI verhängte Bußgeld, dass die deutschen und anderen europäischen Datenschutzbehörden zunehmend von ihren erweiterten Sanktionsbefugnissen Gebrauch machen. Erst kürzlich hatte der Conseil d'Etat als zuständiges Gericht ein von der französischen Datenschutzaufsicht verhängtes Bußgeld in Höhe von EUR 50 Mio. bestätigt (dazu ausführlich Wybitul, "Gericht bestätigt 50 Millionen Euro DSGVO-Bußgeld", CRonline Blog v. 23.6.2020).

Höhere Bußgelder durch das neue Berechnungsmodell der deutschen Behörden?

Möglicherweise bestätigt die aktuelle Bußgeldentscheidung des LfDI auch die Annahme vieler Experten, dass die Anwendung des Bußgeldmodells der deutschen Behörden in der Praxis zu sehr hohen Bußgeldern führen kann (zu den europa- und verfassungsrechtlichen Schwächen dieses Bußgeldkonzepts ausführlich Timner/Radlanski/Eisenfeld, CR 2019, 782-788).

Zudem scheint sich hier ein Trend zu höheren Bußgeldern auch bei geringeren Verstößen abzuzeichnen. So betrug das erste vom LfDI unter Geltung der DSGVO verhängte Bußgeld noch EUR 20.000. Weitere Information zu dem Verfahren  und zu den Gründen für die geringe Sanktion finden sie hier.

Einen Überblick mit den wichtigsten Fragen und Antworten zum Bußgeldmodell finden Sie hier. Einen englischsprachige Zusammenfassung mit Handlungsempfehlungen zur Vermeidung von Bußgeldern können Sie hier abrufen. Ein interessantes Interview mit der Landesdatenschutzbeauftragten Niedersachsen, Frau Barbara Thiel zu der Bußgeldpraxis der deutschen Datenschutzbehörden finden Sie hier.

Körperschaft des öffentlichen Rechts: Ein weiterer interessanter Aspekt dieser Behördenentscheidung ist, dass sie das Bußgeld gegen eine Körperschaft des öffentlichen Rechts verhängt hat.

  • Grundsatz: § 43 Abs. 3 BDSG sieht vor, dass gegen Behörden oder sonstige öffentliche Stellen keine Geldbußen verhängt werden.
  • Ausnahme: Allerdings gilt dies nicht, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, § 2 Abs. 5 BDSG. Eine ähnliche Regelung enthält § 2 Abs. 6 LDSG Baden-Württemberg. Offenbar hat der LfDI von dieser Ausnahmeregelung hier Gebrauch gemacht. Gerade öffentliche Stellen, die als sogenannte " Wettbewerbsunternehmen" am Wirtschaftsleben teilnehmen, sollten dies zum Anlass nehmen, mögliche Bußgeldrisiken entsprechend zu bewerten.

Keine gerichtliche Klärung:  Zu einer gerichtlichen Überprüfung des verhängten Bußgelds wird es wohl nicht kommen. Ausweislich einer Meldung der Stuttgarter Nachrichten soll sich die Krankenkasse entschlossen haben, den Bußgeldbescheid zu akzeptieren.

 

 

 

Zurück