Die ita­lie­ni­sche Auf­sichts­be­hör­de, der Garan­te per la Pro­te­zio­ne dei Dati Per­so­na­li, hat mit Ent­scheid vom 11. April 2019 eine Bus­se von mehr als EUR 2 Mio. gegen ein Unter­neh­men ver­hängt, das im Auf­trag eines Ener­gie­dienst­lei­sters und über ein beauf­trag­tes alba­ni­sches Call­cen­ter Tele­mar­ke­ting­mass­nah­men unter Ver­let­zung der DSGVO durch­ge­führt hat­te.

Eine Unter­su­chung der Finanz­po­li­zei, Spe­zi­al­ab­tei­lung Daten­schutz (!), hat­te erge­ben, dass die Wer­be­mass­nah­men auf Basis von Adress­li­sten des alba­ni­schen Dienst­lei­sters durch­ge­führt wur­den, wobei nie­mand – weder der Kun­de (das Ener­gie­un­ter­neh­men) noch des­sen Han­dels­ver­tre­ter noch das Tele­mar­ke­ting­un­ter­neh­men – die­se Adress­li­sten geprüft hat­te. Bei erfolg­rei­chen Anru­fen über­mit­tel­te das Call Cen­ter die Anga­ben der abschluss­wil­li­gen Neu­kun­den an den Han­dels­ver­tre­ter des Ener­gie­un­ter­neh­mens. Anschlie­ssend berei­te­te das Tele­mar­ke­ting­un­ter­neh­men die Papier­ver­trä­ge vor und rief die betref­fen­den Kun­den erneut an, wor­auf die Kun­den am Tele­fon den Abschluss­wil­len bestä­tig­ten. Dar­auf zeich­ne­te ein Mit­ar­bei­ter des Tele­mar­ke­ting­un­ter­neh­mens den Ver­trag ab.

Die Finanz­po­li­zei sah dar­in meh­re­re Ver­stö­sse gegen die DSGVO, ins­be­son­de­re eine Ver­let­zung der Trans­pa­renz­an­for­de­run­gen und des Recht­mä­ssig­keits­grund­sat­zes: Da den Kun­den die Ver­trä­ge nicht vor­ge­legt wur­den, war klar, dass die erfor­der­li­chen Infor­ma­tio­nen nicht bereit­ge­stellt wur­den. Das Tele­mar­ke­ting­un­ter­neh­men konn­te auch nicht nach­wei­sen, dass die­se Infor­ma­tio­nen tele­fo­nisch über­mit­telt wur­den. Zudem fehl­te eine wirk­sa­me und doku­men­tier­te Ein­wil­li­gung in die Daten­be­ar­bei­tung.

Dabei wur­de das Tele­mar­ke­ting­un­ter­neh­men als Ver­ant­wort­li­cher ange­se­hen, weil eine kla­re Bezei­chung und Ein­bin­dung als Auf­trags­ver­ar­bei­ter fehl­te.

Die Bemes­sung der Bus­se erfolg­te auf Basis des ita­lie­ni­schen Umset­zungs­ge­set­zes, wobei die Bus­sen für ein­zel­ne Ver­let­zun­gen nach Anzahl betrof­fe­ner Kun­den kumu­liert wur­de. Erhöht wur­de die Bus­se auf­grund der offen­sicht­li­chen Gering­schät­zung des Daten­schut­zes durch das Unter­neh­men:

un mar­ca­to dis­in­ter­es­se per la nor­ma­ti­va in mate­ria di pro­te­zio­ne dei dati e una net­ta sot­tova­lut­azio­ne del­le gra­vi impli­ca­zio­ni che pos­so­no deri­va­re dall’utilizzo di for­me di acqui­si­zio­ne del­la cli­en­te­la impron­ta­te all’informalità e alla uni­la­te­ra­le sem­pli­fi­ca­zio­ne degli adem­pi­men­ti pre­scrit­ti

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.