Das Imperium schlägt zurück

In diesem Fall handelt es sich nicht um einen neuerlichen Teil der Star-Wars-Saga, sondern um einen weiteren Fall von wildem, bzw. nicht datenschutzkonformen Telemarketing und den sich daraus ergebenden Konsequenzen.

Kaum zwei Wochen sind seit der Mitteilung der italienischen Aufsichtsbehörde für Datenschutz vergangen, dass ein Bußgeld in Höhe von 11,5 Millionen Euro gegen den italienischen Energiekonzern Eni SpA wegen Verletzung der Regeln für die Verwendung von persönlichen Daten verhängt wurde. Dieses Mal ist der italienische Telefonkonzern TIM SpA an der Reihe gewesen. Die Mitteilung der Aufsichtsbehörde kam am 01.02.2020. Gegen den Konzern sowie gegen weitere italienische Telefongesellschaften wurde knapp 24 Stunden vorher von der heimischen Antitrustbehörde eine Geldstrafe in Höhe von insgesamt 228 Mio. Euro verhängt.

Der Angriff

Darth Vader wäre mit Sicherheit stolz auf die zweijährige Marketing-Offensive von TIM gewesen. Zwischen Januar 2017 und Anfang 2019 hat die TIM durch Telefonkampagnen eine sehr intensive und gleichzeitig datenschutzwidrige Aktion gegen mehrere Millionen Menschen vorgenommen. Insbesondere hat der Konzern unerwünschte Telefonanrufe ohne Einwilligung oder trotz der expliziten Bitte der Betroffenen, diese zu unterlassen vorgenommen und personenbezogene Daten rechtswidrig und augenscheinlich zu anderen Zwecken verarbeitet. Millionen von Personen, die nicht Kunden von TIM waren, wurden zu Werbezwecken rechtswidrig angerufen. Exemplarisch ist der Fall einer Person, die innerhalb eines Monates 155 Mal im Auftrag von TIM angerufen wurde.

Der Kampf wurde nicht nur an der Front unerwünschter Telefonanrufe ausgefochten, sondern auch an der Front der Rechenschaftspflicht bezüglich des Datenschutz-Managements, bzw. der Grundsätze für die Verarbeitung personenbezogener Daten und der Verantwortung für die Verarbeitung von Daten (Vgl. Art. 5 Abs. 2 sowie Art. 24 Abs. 1 und Abs. 2 und Art. 28 Abs. 3 DSGVO). Denn offenbar verfügte TIM nicht über ausreichende Grundlagen, um die Einhaltung der einschlägigen Rechtsvorschriften im Rahmen der Datenverarbeitung von Personen – direkt oder über Dritte – nachzuweisen.

Und auch das Management von Datenpannen (Vgl. Art. 33 Abs. 1 DSGVO) war nicht effizient, ebenso die Implementierung und Verwaltung von technischen und organisatorischen Maßnahmen (Vgl. Art. 32 Abs. 1 DSGVO), die personenbezogene Daten verarbeiten – unter Verletzung des Prinzips der „privacy by design“, wie z.B. die falsche Zuordnung von Telefonleitungen oder die falsche Zuordnung zwischen den Kunden und den von der Firma verwendeten Kontaktdaten. Außerdem kam es zu Fehlern bei der Herstellung und Umsetzung TIMs „Blacklists“ (Sperrliste) und denen der zuständigen Callcenter sowie bei telefonischen Bestellungen von Dienstleistungen und Vertragsabschlüssen.

Außerdem wurden in einigen Apps für Kunden unrichtige und nicht transparente Informationen über die Verarbeitung von Daten bereitgestellt und rechtswidrige Methoden zur Einholung der Zustimmung angewendet. In einigen Fällen wurde in Papierformularen eine einzige Zustimmung für mehrere Zwecke verwendet. Dies kann sogar das Kopplungsverbot berühren.

Darüber hinaus wurden die Daten (Verbindungsdaten) von Kunden anderer Betreiber, die TIM als Netzbetreiber erhielt bzw. verarbeitete, für eine längere Zeit als gesetzlich erlaubt und ohne Zustimmung der Betroffenen gespeichert.

Der Gegenschlag der Behörde

Anführer der Gegenoffensive und Verteidiger von Millionen von Betroffenen war – in diesem Fall entschlossen wie ein Jedi-Ritter – Antonello Soro, Präsident der italienischen Aufsichtsbehörde für Datenschutz „Garante per la protezione dei dati personali“. Dabei wurde er nicht nur von seinem Team unterstützt, sondern auch von der Sondereinheit für Datenschutz und Technologiebetrug der „Guardia di Finanza“. Diese ist die bewaffnete Finanzpolizei des italienischen Wirtschaftsministeriums und wurde am 5. Oktober 1774 von König Viktor Amadeus III. Maria als „Legione Truppe Leggere“ („Legion leichte Truppen“) zur Bewachung der Grenzen – damals von Sardinien-Piemont –, insbesondere zur Bekämpfung des Schmuggels gegründet – in einer Zeit also, in der Zölle eine der wichtigsten Einnahmequellen der europäischen Staaten waren.

Am 01. Februar 2020 hat die italienische Datenschutzbehörde den Bürgern gezeigt, wie mächtig die Vorgaben aus den Artikel 5, 6, 17, 21, 24,32 und 33 der DSGVO gegen ein Riesenunternehmen wie TIM sein können. Wegen unzureichender rechtlicher Grundlage für die Verarbeitung personenbezogener Daten, erhielt der größte Telekommunikationskonzern Italiens eine Geldbuße von 27.802.946 Euro. Die Aufsichtsbehörde verhängte darüber hinaus 20 Korrekturmaßnahmen gegen TIM und untersagte die Verwendung persönlicher Daten für Marketingzwecke von Personen, die sich geweigert hatten, Werbeanrufe von den Callcentern bzw. von TIM zu erhalten.

 Wie geht es weiter?

Italienische Firmen – und vor allem Konzerne –, die rechtswidrig mit personenbezogenen Daten umgehen, sollten also gewarnt sein.

Herr Soro hat deutlich zum Ausdruck gebracht, dass er keine Gefangenen macht, wenn es um Verstoß gegen Datenschutz geht. In der Tat hat Soro bereits in einer anderen Angelegenheit am 24.01.2020 dem Europäischen Datenschutzausschuss (EDSA) in Brüssel angefordert, eine internationale Task Force wegen möglicher Verstöße von TikTok in Gange zu setzen.

In Deutschland gelten strenge wettbewerbsrechtliche Vorschriften zum Marketing. Nichtsdestotrotz sollten auch hierzulande Unternehmen die Apps betreiben gewarnt sein. Sind diese so eingestellt oder ausgestaltet, dass personenbezogene Daten nicht datenschutzkonform verarbeitet werden, z.B. weil Löschfristen nicht gesetzkonform eingehalten oder Einwilligungen nicht rechtgemäß eingeholt werden, kann dies bittere Konsequenzen haben.