Italien: 2 Millionen Euro Bußgeld für Telemarketing ohne Einwilligung

News

Der italienische Datenschutzbeauftragte verhängte eine Geldbuße von über 2 Millionen Euro gegen ein Unternehmen, weil dieses über ein albanisches Callcenter Telemarketing und Teleselling Maßnahmen durchgeführt hat. Grund ist laut Pressemitteilung (Sprache des Links: Italienisch), dass dem Unternehmen keine Einwilligung für die Erhebung und Verarbeitung der Daten zu Marketingzwecken vorlag.

Was ist passiert?

Das verantwortliche Unternehmen hat ein albanisches Callcenter mit der Akquisition neuer Kunden beauftragt. Das Callcenter sollten für ein drittes Unternehmen aus dem Energiesektor potenzielle Kunden telefonisch kontaktieren, um Strom- und Gaslieferungsverträge abzuschließen. Dabei benutzte das Callcenter Telefonnummer aus dem eigenen Kundenstamm. Auf den Kundenstamm der italienischen Firmen wurde nicht zurückgegriffen.

Erklärte sich ein Betroffener im Rahmen des Kontaktes mit dem Callcenter bereit, einen Gas- oder Stromlieferungsvertrag abzuschließen, wurden dessen Daten an das Unternehmen weitergeleitet. Dieses überprüfte dann anschließend durch ihre eigenen Mitarbeiter, ob die formellen Voraussetzungen zum Abschluss eines Vertrages vorlagen. War dies der Fall, wurden die Betroffenen durch das Unternehmen angerufen. Die eigenen Mitarbeiter überprüften durch den Anruf beim Betroffenen, ob weiterhin die Bereitschaft zum Abschluss eines Vertrages bestand. War dies der Fall, vermerkten die Mitarbeiter des Unternehmens dies auf den eigenen Unterlagen und der Vertrag kam mit dem Energieunternehmen zustande.

Feststellungen der Guardia di Finanzia

Die Guardia di Finanzia als zuständige Finanz- und Zollpolizei führte die Ermittlungen in diesem Fall durch. Sie ist in Italien unter anderem für die Bereiche Steuerhinterziehung, Schwarzarbeit, Geldwäsche, Urheberrechtsvergehen und Verstöße gegen den unlauteren Wettbewerb zuständig.

Die Guardia di Finanza stellte bei Ihren Ermittlungen fest, dass die kontaktierten Betroffenen weder über Ihre Rechte informiert wurden, noch eine schriftliche Einwilligung zur Erhebung und Verarbeitung der personenbezogenen Daten zu Marketingzwecken vorlag. Die Schriftform ist in Italien für den Abschluss von Energieverträgen nach Art. 23 Abs. 3 des italienischen Datenschutzgesetzes vorgeschrieben. Die Behörde stellte auch fest, dass die Betroffenen nicht ordnungsgemäß über Ihre Rechte informiert wurden. Eine Information der Betroffenen konnte nicht durch die Vorlage der Verträge geschehen, weil diese den Betroffenen nicht im Vorhinein übermittelt wurden. Als Beweis sah die Behörde die vorgelegten Verträge an, die von den Betroffenen nicht unterschrieben waren. Es befand sich nur ein Kürzel der Mitarbeiter des verantwortlichen Unternehmens auf den Veträgen. Auch fand, nach den Ermittlungen der Guardia di Finanzia, eine Information der Kunden nicht während des Telefonkontakts statt. Das albanische Callcenter besaß kein Skript, anhand dessen die Kunden aufgeklärt werden konnten.

Zusammensetzung des Bußgelds

Das Bußgeld ist zwar im April 2019 von der italienischen Datenschutzbehörde erlassen worden, es ist aber noch auf der alten Rechtslage des Decreto Legislativo 196/2003 ergangen.

Bei dem Bußgeld handelt es sich um eine kumulative Zusammensetzung aus 78 Verstößen gegen das Erhebungsverbot zu je 6.000 €/Verstoß und 155 Verstößen gegen das Verarbeitungsverbot zu je 10.000 €/Verstoß. Nach den italienisch Bußgeldvorschriften wurde der einzelne Verstoß am unteren Ende des möglichen Strafrahmen gebildet. Die Höhe des Bußgeldes ergab sich daher einzig aufgrund der Vielzahl der Verstöße.

Bei der Bildung der Geldbuße berücksichtigte die italienische Datenschutzbehörde (Sprache des Links: Italienisch) unter anderem:

  • bei dem verantwortlichen Unternehmen lag ein Mangel an der Einhaltung der Datenschutzbestimmungen vor
  • das verantwortliche Unternehmen wurde im gesamten Verarbeitungsprozess nicht als Verantwortlicher bezeichnet
  • die Folgen der Kundenakquise aufgrund der einseitigen Vereinfachung der Vorschriften
  • die Kürze der Zeit zwischen den einzelnen Verletzungshandlungen
  • die Schwere der Verstöße in Bezug auf die wirtschaftlichen und sozialen Tätigkeiten
  • der Einsatz des albanischen Callcenters als Erfüllungsgehilfe
  • das Verhalten gegenüber der Guardia di Finanza während der Ermittlungen
  • vorherige Sanktionsverfahren gegen das verantwortliche Unternehmen lagen nicht vor
  • der Jahresabschluss des verantwortlichen Unternehmens aus 2016

Was bedeutet das für die Praxis?

Die Entscheidung der italienischen Datenschutzbehörde fügt sich in die bisherige Praxis der Aufsichtsbehörden ein, dass die Bewertung der Datenschutzverstöße von verschiedenen Aspekten abhängt. Strafmildernd wirkt sich dabei immer wieder die Kooperation mit den Behörden aus. Sollte gegen ein Unternehmen ein Bußgeldverfahren durch die Aufsichtsbehörde eingeleitet werden, kann nur empfohlen werden mit dieser zu kooperieren, soweit dies taktisch sinnvoll ist.

Auf der anderen Seite sollten inzwischen die datenschutzrechtlichen „Must haves“ umgesetzt sein. Insbesondere sollten die datenschutzrechtlichen Vorgaben, die für Außenstehende und somit auch für die Aufsichtsbehörde leicht einsehbar sind, sorgfältig eingehalten werden. Zudem sollte man überprüfen, ob im Rahmen der Einwilligung die Informationspflichten durch das Unternehmen eingehalten wurden, da andernfalls keine wirksame Einwilligung vorliegt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

6 Kommentare zu diesem Beitrag

  1. „Das Bußgeld richtet sich nach Art. 83 Abs. 5 DSGVO iVm italienischen Rechtsgrundlagen.“
    Einen Bezug zur DSGVO ist nicht gegeben. Die Entscheidung erging noch unter Geltung des vorherigen Rechts, insb. des Decreto Legislativo 196/2003.

    Nur so lässt sich auch der Verweis auf „Art. 23 Abs. 3 des italienischen Datenschutzgesetzes“ und die darin normierte Schriftform verstehen – gemeint ist das Decreto Legislativo 196/2003.
    Seit 19. September 2018 gilt das Decreto Legislativo 101/2018, das wesentliche Teile des vorherigen Decreto aufgehoben hat (u.a. besagten Art. 23).

  2. In Italien werden zumindest die Verbraucher geschützt. Hier in Deutschland leider nicht. Ich habe mehrere Datenschutz-Missbräuche an die Aufsichtsbehörde von Düsseldorf mitgeteilt, die von einem Unternehmen gegen meine meine Person stattgefunden haben, und raten Sie mal wer geschützt wurde? Klüngeln à la Nordrhein-Westfalen 100 % ! Die Firma, die in allen Formen die Datenschutzgrundverordnung verletzt hat, wurde geschützt ! Hier in Deutschland wird nicht viel passieren, trotz Datenschutzgrundverordnung der EU. Hier ist die Mentalität der Vertuschung zu stark geprägt. Wenig Transparenz und keine Schutz für Verbrauchern wird weiterhin bestand des täglichen Lebens der Lobbies und Lobbyisten sein.

    • Vielleicht beziehen Sie in Ihre Meinungsbildung mit ein, dass die Bußgeldstelle NRW mit bisher 36 Bußgeldern unter Geltung der DSGVO deutschlandweit die absolute Spitze darstellt.

      Falls Sie einen Tatverdacht hinsichtlich etwaiger Tatbestände etwa der §§ 331, 332, 335 StGB aussprechen möchten, nimmt jede Staatsanwaltschaft und Polizeidienststelle Ihre Anzeige entgegen.

      • Ich habe die gleichen Erfahrungen mit der Aufsichtsbehörde in NRW gemacht wie Marilynne. Wenn man den Sachbearbeitern noch erklären muss, welcher Verstoß begangen wurde und sie es trotz mehrmaligen Erklärungsversuchen nicht verstehen, dann muss man als Betroffener an der Kompetenz der Behörde ernsthaft zweifeln. Gilt im Übrigen auch für Hamburg. Scheinbar gibt es auch hier ein Nord-Süd Gefälle.

        Mag sein, daß NRW mit der Anzahl der ausgesprochenen Bußgelder an der Spitze liegt (was nicht gerade für die Unternehmen in NRW spricht – so habe ich mit Ausnahme des Konzerns in Bonn jeden anderen Telekommunikationskonzerns von allen anderen Telekommunkationsunternehmen – Sitz Düsseldorf – zum Teil erhebliche Datenschutzverstösse feststellen müssen). Aber die Anzahl der verhängten Bußgelder sagt leider nichts über die Qualität der Behörde aus. Aus meiner Kommunikation mit verschiedenen Aufsichtsbehörden hat sich NRW nicht als sehr professionell hervorgehoben.

        • Ich vermute, dass „Justsayin“ anscheinend die Aufsichtsbehörden von NRW selbst ist, ansonsten kann ich wirklich nicht verstehen wie möglich ist, sie überhaupt in Schutz zu nehmen. Was ich bei der Aufsichtsbehörde von NRW erlebt habe ist ein unverschämtes Dilettantismus mit einer unerträglichen Arroganz, das absolut nicht zu tun mit der EU-Datenschutzgrundverordnung hat. Es wurden viele schwerwiegenden Verstoßen gegen den Datenschutz einfach ignoriert und der Täter-Unternehmen wurde in Schutz genommen. Das Schlimme ist, dass die Verbraucher absolut ohne Schutz auf sich allein gelassen werden. Wozu gibt es dann diese Behörden? Dass NRW an den Spitzen in Deutschland wegen verhängten Bußgeldern liegt glaube ich absolut nicht. Statistiken werden sehr leicht verfälscht. Ich kann auf Nachfrage aber beweisen, wie skrupellos und desinteressiert die Behörden in NRW in meinem Fall umgegangen sind. Wozu gibt es Verordnungen, wenn sie nicht umgesetzt werden? In NRW gibt es zu viel Klüngel und das müsste genauso gekämpft wie die Mafia in Italien!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.