Kontakt

Verstoß gegen Datenschutz: LfDI Rheinland-Pfalz verhängt Bußgeld in Millionenhöhe

Nina Kill M. Sc.

Veröffentlicht am 19.03.2015 von Nina Kill M. Sc.

Dass sich Datenschutz in Unternehmen nicht nur auf die Einführung von Datenschutzrichtlinien beschränkt, sondern auch die Kontrolle beinhaltet, dass diese tatsächlich von den Mitarbeitern eingehalten werden, zeigt eindrucksvoll ein von dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz initiiertes und jetzt beendetes Ordnungswidrigkeitsverfahren gegen die Debeka Krankenversicherung.

Zuvor hatte das Unternehmen eingeräumt, dass es bei sogenannten „Listenkäufen“ zu Datenschutzverstößen einzelner Mitarbeiter kam. Diese hatten Listen oder Kontaktdaten möglicher Kunden ohne deren Einverständnis erhalten und dafür zum Teil auch ein Entgelt bezahlt. Mit der datenschutzwidrigen Vorgehensweise wurden durchaus Neukunden gewonnen. Zwar hatte die Debeka unternehmensinterne Richtlinien herausgegeben, die dieses (seitens des Gesetzes ohnehin nicht zulässige) Vorgehen untersagen, die Einhaltung dieser Standards aber nicht hinreichend kontrolliert.

Für das betroffene Unternehmen – die Debeka Krankenversicherung – bedeutet die Missachtung des Datenschutzes durch einzelne Mitarbeiter und die mangelnde Aufsicht durch Führungskräfte und/oder zuständige Fachabteilungen ein Bußgeld in Höhe von 1,3 Millionen Euro. Dazu kommen 600.000 Euro, mit denen sich die Debeka an einer Stiftungsprofessur beteiligt.

Grundsätzlich ist das von der Versicherung angewandte „Tippgeber-Verfahren“ durchaus mit dem BDSG kompatibel, wenn man es gesetzeskonform anwendet. Damit dieses in Zukunft gewährleistet ist, hat die Debeka in Zusammenarbeit mit dem LfDI entsprechende Standards entwickelt.

Der vorliegende Fall beweist leider wieder einmal, dass Richtlinien und Maßnahmen zu Datenschutz und Datensicherheit nur so gut sind, wie Mitarbeiter sie am Arbeitsplatz umsetzen können oder wollen. Gründe für Fehlverhalten von Mitarbeitern sind oft mangelnde Sensibilität und nicht vorhandenes Wissen. Unternehmensleitungen sollten sich aber auch bewusst sein, dass bedingt durch Termindruck im Arbeitsalltag einiges untergeht oder hohe Umsatzerwartungen zu Verstößen (ver-) führen können. Daher sollten Unternehmensleitungen nicht nur dafür Sorge tragen, dass die Mitarbeiter regelmäßig im Bereich Datenschutz und Datensicherheit geschult werden, sondern es ihren Mitarbeitern auch ermöglichen, dass sie ihre Arbeit datenschutzkonform gestalten können. Wie man in dem vorliegenden Fall oder auch anderen Vorfällen sieht (https://www.datatree.ag/wissen/aufsichtsbehoerde-verhaengt-bussgeld-wegen-offenen-e-mailverteiler) sind Verstöße dann vor allem für die Unternehmen selbst teuer – abgesehen vom Imageschaden in der Öffentlichkeit.

Dies gilt umso mehr, da nicht nur in 2013 die Bußgelder für Aufsichtspflichtverletzungen erheblich gesteigert wurden, sondern auch die Aufsichtsbehörden verstärkt prüfen und nicht zuletzt Verbraucher bezüglich der Weitergabe ihrer Daten immer sensibler werden und bei Verbraucherzentralen und Aufsichtsbehörden Beschwerden einreichen.

Quelle: 

Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz