Den tyska tillsynsmyndigheten för dataskydd i delstaten Baden-Württemberg har utfärdat sanktionsavgifter om 1,24 miljoner euro mot ett tyskt försäkringsföretag som tillhandahåller sjukförsäkringar. Företaget hade samlat in personuppgifter om deltagare i ett lotteri som företaget anordnat. Uppgifterna omfattade förutom kontaktuppgifter även information om vilka sjukförsäkringsbolag deltagarna var kund i.
Den bakomliggande tanken var att använda deltagarnas uppgifter för direktmarknadsföring efter att hämta in deltagarnas samtycke. Det visade sig dock att samtycket saknades för över 500 av deltagarna.
Efter att företaget informerats om bristerna avbröts marknadsföringsåtgärderna som var kopplade till lotteriet omedelbart. Företaget inledde även en granskning av de processer som lett till bristerna.
Vid fastställandet av bötesbeloppet tog tillsynsmyndigheten höjd för företagets storlek och betydelse. Det spelade även en viktig roll att företaget tillhandahöll sjukförsäkringar som en del av Tysklands lagstadgade sjukförsäkringssystem.
“Eftersom böter enligt GDPR inte bara måste vara effektiva och avskräckande, utan också proportionerliga, var det nödvändigt att se till att fullgörandet av denna lagstadgade uppgift inte äventyras vid fastställandet av bötesbeloppet”, ansåg den tyska tillsynsmyndigheten.