Die italienische Aufsichtsbehörde, der Garante per la Protezione dei Dati Personali, hat mit Entscheid vom 11. April 2019 eine Busse von mehr als EUR 2 Mio. gegen ein Unternehmen verhängt, das im Auftrag eines Energiedienstleisters und über ein beauftragtes albanisches Callcenter Telemarketingmassnahmen unter Verletzung der DSGVO durchgeführt hatte.
Eine Untersuchung der Finanzpolizei, Spezialabteilung Datenschutz (!), hatte ergeben, dass die Werbemassnahmen auf Basis von Adresslisten des albanischen Dienstleisters durchgeführt wurden, wobei niemand – weder der Kunde (das Energieunternehmen) noch dessen Handelsvertreter noch das Telemarketingunternehmen – diese Adresslisten geprüft hatte. Bei erfolgreichen Anrufen übermittelte das Call Center die Angaben der abschlusswilligen Neukunden an den Handelsvertreter des Energieunternehmens. Anschliessend bereitete das Telemarketingunternehmen die Papierverträge vor und rief die betreffenden Kunden erneut an, worauf die Kunden am Telefon den Abschlusswillen bestätigten. Darauf zeichnete ein Mitarbeiter des Telemarketingunternehmens den Vertrag ab.
Die Finanzpolizei sah darin mehrere Verstösse gegen die DSGVO, insbesondere eine Verletzung der Transparenzanforderungen und des Rechtmässigkeitsgrundsatzes: Da den Kunden die Verträge nicht vorgelegt wurden, war klar, dass die erforderlichen Informationen nicht bereitgestellt wurden. Das Telemarketingunternehmen konnte auch nicht nachweisen, dass diese Informationen telefonisch übermittelt wurden. Zudem fehlte eine wirksame und dokumentierte Einwilligung in die Datenbearbeitung.
Dabei wurde das Telemarketingunternehmen als Verantwortlicher angesehen, weil eine klare Bezeichung und Einbindung als Auftragsverarbeiter fehlte.
Die Bemessung der Busse erfolgte auf Basis des italienischen Umsetzungsgesetzes, wobei die Bussen für einzelne Verletzungen nach Anzahl betroffener Kunden kumuliert wurde. Erhöht wurde die Busse aufgrund der offensichtlichen Geringschätzung des Datenschutzes durch das Unternehmen:
un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti