Deutschland: Debeka bezahlte im Jahr 2015 EUR 1,300.000,-- wegen einer Datenschutzverletzung

Höhe der Bußgelder in Deutschland?

Der "Strafrahmen" für Datenschutzverletzungen liegt in D höher als in Ö, nämlich bei bis zu EUR 300.000,-- (statt: EUR 25.000,-- in Ö).

 

Die folgenden Bilder stammen aus dem Datenschutzbericht 2014/2015 des Landesbeauftragten für den Datenschutz und die Informationssicherheit Rheinland-Pfalz (screenshots, angefertigt am 7.2.2017, https://www.datenschutz.rlp.de/fileadmin/lfdi/Taetigkeitsberichte/ds_tb25.pdf; ab Seite 31)

Debeka - Verfahren

EUR 1.300.000,-- wurden bezahlt im Rahmen einer sog. "Verständigung)

EUR 600.000,-- für eine Stiftungsprofessur an der Johannes Gutenberg-Universität Mainz, Fachbereich Rechts- und Wirtschaftswissenschaften

Bei der Debeka handelt es sich um die Debeka Krankenversicherungsverein a.G. mit einem Umsatzvolumen von ca. 10 Mrd. EU (https://de.wikipedia.org/wiki/Debeka)

 

Das Verfahren wurde 2013 begonnen und Ende 2014 abgeschlossen.

 

 


Was war geschehen?

Vom unternehmen wurde im Rahmen der Untersuchung zugestanden, dass  sog. Listenkäufe, bei denen einzelne Beschäftigte personenbezogene Daten zu Anwärterinnen und Anwärtern im öffentlichen Dienst angekauft und genutzt hatten.

 

Im Rahmen der Ermittlungen hat sich herausgestellt, dass in mehreren Fällen unter Missachtung des datenschutzrechtlichen Bestimmungen Kunden für das Unternehmen geworben und auch gewonnen wurden.

 

Die Mitarbeiter verstießen dabei sowohl gegen unternehmensinterne Regelungen als auch gegen das BDSG.

 

Es waren nicht alle Kontrollmaßnahmen und Checks derart implementiert und angewendet worden, um den datenschutzrechtlichen Bestimmungen und den aktuellen Standards entsprechen zu können.

 

 

 


Was wurde geändert?

Das System der Kundenakquise durch Tippgeber wurde durchleuchtet, und kam das LfDI zum Schluss, dass das Datenschutzrecht dem Einsatz von Tippgeberinnen und -gebern nicht grundsätzlich entgegen steht.

 

Die gesetzlichen Standards in Bezug auf personenbezogene Daten sind jedoch einzuhalten. Die Weitergabe von Adressen über Tippgeberinnen und -geber ist z.B. nur bei Vorliegen einer Einwilligungserklärung (mit ausreichender Information der betroffenen Person) zulässig.

 

 

 

 


Höhe des Bußgeldes

Die Zusammenarbeit des untersuchten Unternehmens mit der Behörde, die eigene Aufklärung im Unternehmen sowie auch die Zusage einer Stiftungsprofessur wurde als "mildernd" berücksichtigt.

Ebenso wurde in die Bewertung mit einbezogen, dass das Unternehmen eine strikte Datenschutz-Policy beachten wird und die Optimierung der internen Datenschutzstruktur.