Den tyska tillsynsmyndigheten för dataskydd i delstaten Baden-Württemberg har utfärdat en sanktionsavgift på 1,24 miljoner euro mot ett tyskt försäkringsföretag för överträdelser av dataskyddsförordningen ( GDPR).
Företaget som tillhandahåller sjukförsäkringar hade samlat in personuppgifter om deltagare i ett lotteri som företaget anordnat. Uppgifterna omfattade förutom kontaktuppgifter även information om vilka sjukförsäkringsbolag deltagarna var kund i.
Den bakomliggande tanken var att använda deltagarnas uppgifter för direktmarknadsföring efter att hämta in deltagarnas samtycke. Det visade sig dock att samtycket saknades för över 500 av deltagarna.
Efter att företaget informerats om bristerna avbröts marknadsföringsåtgärderna som var kopplade till lotteriet omedelbart. Företaget inledde även en granskning av de processer som lett till bristerna.
Vid fastställandet av sanktionsbeloppet tog tillsynsmyndigheten höjd för företagets storlek och betydelse. Det spelade även en viktig roll att företaget tillhandahöll sjukförsäkringar som en del av Tysklands lagstadgade sjukförsäkringssystem.
”Eftersom sanktionsavgifter enligt GDPR inte bara måste vara effektiva och avskräckande, utan också proportionerliga, var det nödvändigt att se till att fullgörandet av denna lagstadgade uppgift inte äventyras vid fastställandet av sanktionsbeloppet”, ansåg den tyska tillsynsmyndigheten.