Technische und organisatorische Maßnahmen spielen eine zentrale Rolle für die Verarbeitung personenbezogener Daten. Durch sie sollen Unternehmen ein angemessenes Schutzniveau bei der Datenverarbeitung gewährleisten. Die konkreten Maßnahmen werden für die Anwendungsfälle individuell bestimmt und implementiert und zielen unter anderem darauf ab, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten Systeme und Dienste auf Dauer sicherzustellen. Letztlich soll durch die Umsetzung dieser Maßnahmen auch gewährleistet werden, dass die Daten nur im Rahmen der Legitimation, also zum Beispiel einer Einwilligung, verarbeitet werden.Der Landesbeauftragte für Datenschutz und Informationsfreiheit (“LfDI”) in Baden-Württemberg hat nun kürzlich ein Bußgeld in Höhe von 1,24 Mill. Euro gegen die AOK Baden-Württemberg verhängt. Grund für das Bußgeld war ein Verstoß gegen die Pflicht, ein angemes-senes Schutzniveau über technische und organisatorische Maßnahmen herzustellen.Die gesetzliche Krankenkasse veranstaltete zwischen 2015 und 2019 Gewinnspiele und wollte die Kontaktdaten der Gewinnspielteilnehmer auch für Werbung nutzen. Mit entsprechenden technischen und organisatorischen Maßnahmen wollte die AOK Baden-Württemberg sicherstellen, dass Werbung tatsächlich nur an solche Teilnehmer verschickt wurde, die darin eingewilligt hatten. Allerdings funktionierten die Maßnahmen nicht so wie geplant, mit dem Ergebnis, dass mehrere hundert Personen Werbung erhielten, obwohl sie nicht eingewilligt hatten.Bei der Berechnung des Bußgeldes hat die Behörde nach eigenen Angaben das jüngst von der Datenschutzkonferenz (der Konferenz der deutschen Datenschutzbehörden) (“DSK”) verabschiedete Konzept zur Bußgeldberechnung zugrunde gelegt. Sie hat dieses Konzept aber etwas angepasst, um dem Umstand Rechnung zu tragen, dass es in diesem Fall um den Verstoß gegen die Datenschutz-Grundverordnung durch eine gesetzliche Krankenkasse geht.Nach dem Konzept der DSK ist Grundlage der Bußgeldberechnung der Konzernumsatz, was bei einer gesetzlichen Krankenkasse (allein die AOK Baden-Württemberg verfügte 2019 über ein Haushaltsvolumen von rund 18 Mrd. Euro) regelmäßig zu sehr hohen Bußgeldern führen würde. Um dies zu korrigieren und in diesen Fällen zu sachgerechten Ergebnissen zu kommen, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit für die Berechnung des Bußgeldes den Überschuss der AOK Baden-Württemberg als Ausgangswert genommen. Es bleibt abzuwarten, ob und wie auch weitere Datenschutzbehörden in ähnlich gelagerten Fällen das Bußgeldkonzept der DSK anpassen. Stolze SummenDie Entscheidung ist vor allem deshalb bemerkenswert, weil sie zeigt, dass Behörden nun auch bei Datenschutzverstößen mit vergleichsweise überschaubaren Auswirkungen recht erhebliche Bußgelder verhängen – die AOK Baden-Württemberg hat über 4,5 Millionen Versicherte, von denen lediglich mehrere hundert Mitglieder Werbe-E-Mails ohne ihre Einwilligung erhalten haben. Gerade mit Blick auf die verbreitete Werbung über E-Mails sollte diese Entscheidung Anlass für Unternehmen geben, die eigene Werbepraxis kritisch zu prüfen und gegebenenfalls nachzubessern. Dabei ist auch zu berücksichtigen, dass die für E-Mail-Werbung relevanten Vor-schriften nicht nur in der Datenschutz-Grundverordnung, sondern auch im Gesetz gegen den unlauteren Wettbewerb verankert sind, aus dem sich über die Rechtsprechung dazu weitere Pflichten ergeben (zum Beispiel die Nutzung des sogenannten Double-Opt-in-Verfahrens).Darüber hinaus wird durch die Entscheidung deutlich, wie wichtig eine Kooperation von Unternehmen mit den Datenschutzbehörden ist. Die Datenschutz-Grundverordnung sieht in Artikel 83 Absatz 2 verschiedene Möglichkeiten vor, die Höhe des Bußgeldes zu reduzieren. Ein entscheidender Faktor dabei ist die Zusammenarbeit mit der Behörde, um den Verstoß aus der Welt zu schaffen und die dadurch entstandenen Risiken beziehungsweise Schäden klein zu halten. Deshalb sollten Unternehmen für den Fall eines Verstoßes vorbereitet sein.Dafür bietet es sich an, intern ein Verfahren festzulegen, mit dem kurzfristig und schlagkräftig ermittelt werden kann, welcher Verstoß vorliegt, ob und wie negative Auswirkungen abgemildert werden können, ob der Verstoß gegenüber Behörden und/oder betroffenen Personen zu melden ist und mit welchem Team in welcher Weise mit einer Datenschutzbehörde kooperiert werden kann. Zeitaufwendige ErmittlungenJe nach Unternehmensgröße und Komplexität der Vorgänge empfiehlt es sich, in dieses Team den Datenschutzbeauftragten, die Rechtsabteilung und Mitarbeiter der IT zu berufen. Dabei ist auch wichtig zu berücksichtigen, dass diese Teams in der Regel sehr schnell zu involvieren sind und die internen Ermittlungen zeitaufwendig sein können. Moritz Hüsch, Partner der Kanzlei Covington & Burling in Frankfurt