Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) verhängte gegen die AOK Baden-Württemberg (AOK BW) ein Bußgeld in Höhe von 1,24 Mio. € wegen der unzulässigen Verarbeitung von personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern.
Was darf man mit Daten aus Gewinnspielen machen?
Die AOK BW veranstaltete in den Jahren zwischen 2015 und 2019 mehrere Gewinnspiele. Zu diesem Zweck erhob die AOK BW personenbezogene Daten der Gewinnspielteilnehmer, insbesondere deren Kontaktdaten und deren Krankenkassenzugehörigkeit. Die AOK BW nutzte die personenbezogene Daten der Gewinnspielteilnehmer unter anderem zu Werbezwecken.
Darf man Daten aus Gewinnspielen auch zur Werbung nutzen?
Der LfDI BW stellte fest, dass die Gewinnspielteilnehmer in die Verarbeitung ihrer personenbezogenen Daten zu Werbezwecken nicht, jedenfalls nicht hinreichend eingewilligt hatten. Die Nutzung der personenbezogenen Daten der Gewinnspielteilnehmer durch die AOK BW war somit datenschutzrechtlich unzulässig.
Wie hoch ist das Bußgeld bei einem Datenverstoß?
Es ist nicht bekannt, mit welcher Begründung der LfDI BW das Bußgeld in Höhe von 1,24 Mio. € ermittelte. Interessanter ist vielmehr die Begründung, weshalb das Bußgeld nicht noch viel höher ausgefallen ist! Zu Gunsten der AOK BW sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI BW. Ferner berücksichtigte der LfDI BW die aktuelle Bedeutung der AOK BW bei der Bekämpfung der Covid-19-Pandemie. Ein höheres Bußgeld hätte die Leistungsfähigkeit der AOK BW eventuell gefährden können.
Was muss ein Unternehmen datenschutzrechtlich bei Gewinnspielen beachten?
Folgende Risiken und Handlungsempfehlungen lassen sich aus der Entscheidung des LfDI BW für Sie ableiten:
– Nehmen Sie das Einwilligungserfordernis bei Werbemaßnahmen, insbesondere auf Ihrer Internetseite ernst! Die AOK BW hat ein Bußgeld für ca. 500 Verstöße kassiert. Bei Werbe- und Trackingmaßnahmen auf Websites dürften schnell mehrere tausend bußgeldbewehrte Verstöße zusammenkommen.
– Vernachlässigen Sie das Thema technisch-organisatorische Maßnahmen nicht. Eine wirksame Einwilligungserklärung nützt Ihnen nichts, wenn die personenbezogenen Daten nicht hinreichend sicher gespeichert sind.
– Sie müssen damit rechnen, dass die Aufsichtsbehörde Ihre Datenverarbeitung „auf den Kopf“ stellt und voraussichtlich Verstöße findet, an die Sie jetzt nicht denken.
– Bußgelder können empfindliche Höhen erreichen und Sie oder Ihr Unternehmen an den Rand der Existenz bringen. In den aktuell wirtschaftlich unsicheren Zeiten sollten Sie hier nichts riskieren.
Wir unterstützen Sie gerne, damit Ihre Datenverarbeitung DSGVO-konform wird oder bleibt. Sollten Sie Post von einer Datenschutzaufsichtsbehörde erhalten haben, sprechen Sie uns an. Wir begleiten Sie gerne in einem behördlichen Verfahren.
GoldbergUllrich Rechtsanwälte 2020
Julius Oberste-Dommes LL.M. (Informationsrecht)
Rechtsanwalt und
Fachanwalt für Informationstechnologierecht
