Im Monat Juni waren vor allem die Datenschutzbehörden in Spanien und Italien aktiv und erließen hohe Bußgelder. Das höchste Bußgeld kassierte ein Energieunternehmen aus Italien – wegen unerlaubter Werbeanrufe.
1. Eni Plenitude, Italien: 6.419.631 Euro
Die italienische Datenschutzbehörde (Garante per la protezione dei dati personali) hat gegen das Energieunternehmen Eni Plenitude mit Bescheid vom 06.06.2024 ein Bußgeld in Höhe von 6.419.631 Euro verhängt. Der Grund für diese Strafe sind umfangreiche Datenschutzverstöße im Rahmen von Telemarketing-Aktivitäten.
Die Behörde erhielt zahlreiche Beschwerden von betroffenen Personen, die sich über unerwünschte und wiederholte Werbeanrufe beklagten. Einige Betroffene berichteten sogar von bis zu 248 Anrufen innerhalb weniger Monate, trotz Eintragung im RPO (Registro Pubblico delle Opposizioni). Das RPO ist ein Verzeichnis, in das sich Personen eintragen können, um unerwünschte Werbeanrufe zu verhindern.
Eine Untersuchung der Datenschutzbehörde ergab, dass allein innerhalb einer Woche von 747 abgeschlossenen Verträgen 657 Verträge aus nicht erlaubten Kontaktanfragen entstanden.
Bei der Festlegung des Bußgeldes berücksichtigte die Datenschutzbehörde die Schwere der Verstöße und die Tatsache, dass Eni Plenitude bereits in der Vergangenheit wegen ähnlicher Verstöße sanktioniert worden war. Obwohl das Unternehmen einige Maßnahmen zur Verbesserung seiner Datenschutzpraktiken ergriffen hatte, stellten die Ermittlungen fest, dass diese Maßnahmen unzureichend waren. Insbesondere fehlten angemessene Kontrollen und Sicherheitsmaßnahmen zur Sicherstellung der Rechtmäßigkeit der Datenverarbeitung.
Link-Tipp: Bußgeldbescheid Garante per la protezione dei dati personali (GPDP)
2. Avanza Bank AB, Schweden: 15.000.000 SEK (1.332.681 Euro)
Die schwedische Datenschutzbehörde (IMY) hat am 24.06.2024 gegen die Avanza Bank AB ein Bußgeld in Höhe von 15 Millionen Kronen (rund (1.332.681 Euro) verhängt. Grund ist die Verwendung eines sogenannten Meta-Pixels auf der Website und in der App der Bank, wodurch personenbezogene Daten wie Wertpapierbestände und Kontonummern an Meta (ehemals Facebook) übermittelt wurden.
Zwischen dem 15. November 2019 und dem 2. Juni 2021 wurden aufgrund fehlerhafter Einstellungen personenbezogene Daten von bis zu einer Million Personen an Meta übermittelt. Die Übermittlung erfolgte, als Avanza versehentlich neue Funktionen des Meta-Pixels aktivierte, das zur Optimierung des Marketings auf Facebook eingesetzt wird.
Die übermittelten Daten umfassten Informationen über Wertpapierbestände, Kreditbeträge, Kontonummern und Personalnummern. Laut Catharina Fernquist, Abteilungsleiterin bei IMY, hat die Bank gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen, da sie keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hat, um die personenbezogenen Daten der Website-Besucher und App-Nutzer zu schützen.
Nachdem Avanza über den Vorfall informiert wurde, hat die Bank das Pixel deaktiviert und bestätigt, dass Meta die erhobenen Daten gelöscht hat. Darüber hinaus hat Avanza seine internen Verfahren verbessert, um die ordnungsgemäße und sichere Verarbeitung personenbezogener Daten zu gewährleisten.
Link-Tipp: Bußgeldbescheid Integritetsskyddsmyndigheten (IMY)
3. Unternehmen unbekannt, Belgien: 172.341 Euro
Die belgische Datenschutzbehörde (Autorité de protection des données) hat am 3.06.2024 ein Bußgeld in Höhe von 172.341 Euro gegen ein nicht genanntes Unternehmen verhängt.
Eine Privatperson hatte wiederholt unerwünschte kommerzielle Nachrichten erhalten, obwohl sie zuvor von ihrem Löschungs- und Widerspruchsrecht Gebrauch gemacht hatte. Trotz des ausdrücklichen Widerspruchs gegen die Verwendung der Daten für Direktmarketingzwecke versandte das Unternehmen weiterhin Werbenachrichten.
Die Untersuchung der Datenschutzbehörde ergab, dass das Unternehmen keine geeigneten technischen und organisatorischen Maßnahmen umgesetzt hatte, um die Einhaltung der Datenschutz-Grundverordnung sicherzustellen und nachweisen zu können.
Die Behörde verhängte zunächst eine Geldbuße in Höhe von 2.000.000 Euro, die nach Berücksichtigung der finanziellen Lage und der Größe des Unternehmens auf 172.431 Euro herabgesetzt wurde. Durch diese Herabsetzung sollte sichergestellt werden, dass die Geldbuße verhältnismäßig und dennoch abschreckend ist.
Link-Tipp: Bußgeldbescheid Autorité de protection des données
4. Allianz Compañía de Seguros y Reaseguros, S.A., Spanien: 120.000 Euro
Ein Allianz-Kunde beschwerte sich bei der Datenschutzbehörde, dass seine Ex-Partnerin im Besitz von Dokumenten sei, die vertrauliche Informationen über seine Kfz-Versicherungspolice sowie einen Bericht der Dirección General de Tráfico (DGT) enthielten. Diese Informationen waren ohne die Zustimmung des Kunden aus den internen Systemen der Allianz entnommen und weitergegeben worden.
Die Untersuchung der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) ergab, dass die Allianz keine angemessenen technischen und organisatorischen Maßnahmen getroffen hatte, um die Vertraulichkeit personenbezogener Daten zu gewährleisten. Eine Mitarbeiterin konnte unbefugt auf sensible Daten zugreifen und diese an die Ex-Partnerin des Kunden weitergeben.
Die fehlende Kontrolle über den Zugriff auf sensible Daten wurde als schwerwiegendes Versäumnis betrachtet. Die AEPD verhängte deshalb gegen die Allianz ein Bußgeld in Höhe von 160.000 Euro, das bei fristgerechter Zahlung auf 120.000 Euro reduziert wurde.
Link-Tipp: Bußgeldbescheid Agencia Española de Protección de Datos
5. Cappello Giovanni & Figli, Italien: 120.000 Euro
Die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali) hat am 6. Juni 2024 einen Bußgeldbescheid in Höhe von 120.000 Euro gegen das Unternehmen Cappello Giovanni & Figli s.r.l. erlassen.
Ein ehemaliger Mitarbeiter hatte sich über die unrechtmäßige Verarbeitung seiner personenbezogenen Daten durch das Unternehmen, einen Autohändler, beschwert. Die Beschwerde bezog sich auf zwei Systeme: die Software Infinity DMS und die Hardware X-Face 380, die zur Erfassung und Überwachung der Arbeitszeiten verwendet wurden.
Eine Untersuchung der Guardia di Finanza ergab, dass die Systeme in den Produktionsstätten in Modica und Ragusa eingesetzt wurden, um die Arbeitszeiten und die Anwesenheit der Mitarbeiter zu erfassen. Diese Daten wurden auch zur Erstellung von Gehaltsabrechnungen verwendet.
Der Einsatz des Gesichtserkennungssystems X-Face 380 zur Erfassung der Anwesenheit war nach Ansicht der Datenschutzbehörde unverhältnismäßig und nicht durch gesetzliche Bestimmungen gedeckt. Darüber hinaus wurden die Mitarbeiter nicht ausreichend über die Verarbeitung ihrer Daten informiert. Die zur Verfügung gestellte Datenschutzerklärung war unzureichend und enthielt keine detaillierten Informationen über den Zweck und die Dauer der Datenspeicherung sowie über die Rechte der betroffenen Personen.
Link-Tipp: Bußgeldbescheid Garante per la Protezione dei Dati Personali (GPDP)