Στις 30 Ιουνίου 2020, η Αρχή προστασίας δεδομένων του Μπάντεν – Βυρτεμβέργης («LfDI Baden-Württemberg») εξέδωσε μία απόφασή της, σύμφωνα με την οποία επέβαλε στην Allgemeine Ortskrankenkasse “AOK” Baden-Württemberg το πρόστιμο των 1,24 εκατομμυρίων Ευρώ για παραβίαση της νομοθεσίας τόσο αναφορικά με την παράνομη επεξεργασία προσωπικών δεδομένων στο πλαίσιο του άμεσου μάρκετινγκ όσο και για την λήψη ανεπαρκών εσωτερικών οργανωτικών και τεχνικών μέτρων για την προστασία της ιδιωτικότητας των υποκειμένων.
Συγκεκριμένα, η εταιρεία AOK Baden-Württemberg, μία από τις μεγαλύτερες ασφαλιστικές εταιρείες υγείας της Γερμανίας, μέσω διαγωνισμών που διοργάνωνε από το 2015 έως το 2019, συγκέντρωνε πλήθος προσωπικών δεδομένων συμμετεχόντων, συμπεριλαμβανομένων δεδομένων επικοινωνίας τους, αλλά και δεδομένων σχετικών με την ασφάλιση υγείας τους και τη σχέση τους με άλλες ασφαλιστικές εταιρείες υγείας. Επιπλέον, η AOK Baden-Württemberg ήθελε να χρησιμοποιήσει τα δεδομένα των συμμετεχόντων στους διαγωνισμούς αυτούς κυρίως για διαφημιστικούς σκοπούς, υπό την προϋπόθεση ότι οι τελευταίοι είχαν παράσχει τη συγκατάθεσή τους.
Η Εταιρεία, με τη βοήθεια τεχνικών και οργανωτικών μέτρων, επεδίωκε να διασφαλίσει ότι χρησιμοποιήθηκαν μόνο προσωπικά δεδομένα συμμετεχόντων που είχαν δώσει προηγουμένως ρητή συγκατάθεση για διαφημιστικούς σκοπούς. Ωστόσο, μετά από έρευνα της Εποπτικής Αρχής, διαπιστώθηκε ότι τα μέτρα αυτά ήταν τουλάχιστον ανεπαρκή και δεν πληρούσαν τις απαραίτητες προϋποθέσεις ασφαλείας. Ως αποτέλεσμα, τα προσωπικά δεδομένα περισσότερων από 500 συμμετεχόντων αξιοποιήθηκαν χωρίς τη συγκατάθεσή τους για διαφημιστικούς σκοπούς.
Αμέσως μετά την αναγγελία της κατηγορίας, η AOK σταμάτησε τις προωθητικές ενέργειες με τον τρόπο αυτό, προκειμένου να τεθούν ουσιαστικά σε δοκιμαστικό έλεγχο όλες οι διαδικασίες της και οι πολιτικές ασφαλείας της. Επιπλέον, η Εταιρεία αυτή ίδρυσε μια ειδική ομάδα για την προστασία των δεδομένων που αφορούν το Τμήμα των πωλήσεων και του μάρκετινγκ, ενώ εκτός από τις δηλώσεις παροχής συγκατάθεσης, προσάρμοσε και τις εσωτερικές της διαδικασίες.
Έτσι, η Εποπτική Αρχή δήλωσε επισήμως ότι οι εκτενείς εσωτερικές αναθεωρήσεις και προσαρμογές των τεχνικών και οργανωτικών μέτρων της Εταιρείας, καθώς και η εποικοδομητική και γόνιμη συνεργασία της με την Αρχή, αποτέλεσαν ευνοϊκούς παράγοντες για τον καθορισμό του προστίμου, σύμφωνα και με το άρθρο 83 παράγραφος 4 του GDPR.
Στο σημείο αυτό, θα πρέπει να υπογραμμιστεί ότι δεν είναι η πρώτη φορά που η Εποπτική Αρχή του Μπάντεν – Βυρτεμβέργης επιβάλει υψηλά πρόστιμα. Αντιθέτως, από την θέση σε ισχύ του GDPR προβαίνει σε τακτικούς ελέγχους οργανισμών, είτε έπειτα από καταγγελίες, είτε αυτεπαγγέλτως, έχοντας επιβάλει το πρόστιμο των 100.000€ σε Εταιρεία πώλησης φαγητού, 80.000€ σε Εταιρεία δραστηριοποιούμενη στον κλάδο των Οικονομικών, ενώ ήταν η Αρχή που επέβαλε το πρόστιμο των 20.000€ στην γνωστή υπόθεση της εφαρμογής διαδικτυακών γνωριμιών Knuddels.