Unerwünschte Anrufe Episode III – italienischer Telefonkonzern WIND Tre muss 17,8 Mio. Euro Bußgeld bezahlen

Das Imperium schlägt (schon wieder) zurück

Die fleißige italienische Aufsichtsbehörde in Rom hat einen weiteren Fall von wildem, bzw. nicht datenschutzkonformen Telemarketing erfolgreich abgearbeitet.

Zum Thema berichteten wir bereits von zwei Fällen: ENI SpA und TIM SpA. Dieses Mal wurde ein Bußgeld in Höhe von 17,8 Millionen Euro mit „Ordinanza di ingiunzione“ vom 09.07.2020 von der heimischen Aufsichtsbehörde gegen den italienischen Telefonkonzern Wind Tre SpA verhängt, wegen Verletzung der Regeln für die Verwendung von personenbezogenen Daten. Es gibt eine italienische Redewendung, die lautet „es gibt keine zwei ohne drei“ um zu betonen, dass bei einem Ereignis, dass nicht einmalig, sondern mindestens zweimal wiederholt wird, eine nochmalige Wiederholung erwartet werden kann. Da auf Italienisch „Tre“ „drei“ bedeutet, füllte sich anscheinend Wind Tre zu der Aufgabe berufen, sich an das Sprichwort zu halten.

Im Einklang mit der Tradition

Was war passiert? Wind Tre hat durch Telefonkampagnen sowie Versendung von E-Mail, SMS und Fax eine sehr intensive und gleichzeitig datenschutzwidrige Aktion gegen mehrere Menschen vorgenommen. Insbesondere hat der Konzern systematisch unerwünschte Telefonanrufe ohne Einwilligung bzw. trotz Widerruf der Betroffenen vorgenommen. Darüber hinaus waren die Apps MyWind und My3 so konfiguriert, dass sie nur mit Einwilligung in verschiedene Verarbeitungszwecke (Marketing, Profiling, Weitergabe der Daten an Dritten, Geolokalisierung, etc.) funktionieren konnten und die Nutzer die Einwilligung erst nach 24 Stunden widerrufen konnten.

Die Geschichte wiederholt sich. Zusammengefasst verfügte anscheinend Wind 3 nicht über ausreichende rechtliche Grundlagen für die Datenverarbeitung. Es wurde keine (rechtskonforme) Einwilligung im Rahmen der Telefonkampagnen eingeholt (Art. 6 Abs. 1 lit. a DSGVO), bzw. wurden rechtswidrige Methoden zur Einholung der Zustimmung angewendet. Die Nutzer der Apps wurden nicht transparent über die Verarbeitung von personenbezogenen Daten informiert (Vgl. Art. 13 DSGVO), die Daten wurden an Subunternehmen übermittelt, ohne entsprechenden Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, die technischen und organisatorischen Maßnahme (Vgl. Art. 32 Ab. 1 DSGVO) wurden – unter Verletzung des Prinzips „privacy by design” – ignoriert.

Geht die Saga weiter?

Italienische Konzerne, die rechtswidrig mit personenbezogenen Daten umgehen, wurden mehrmals gewarnt. Eine andere italienische Redewendung lautet: „die vierte kommt von selbst“. Hoffentlich wird dies nicht Wirklichkeit. In Deutschland gelten strenge wettbewerbsrechtliche Vorschriften zum Marketing, und auch Konzerne nehmen sich das Thema Datenschutz meistens zu Herzen. Nichtsdestotrotz sollten auch hierzulande Unternehmen, die Apps betreiben, weiterhin gewarnt sein. Sind diese so eingestellt oder ausgestaltet, dass personenbezogene Daten nicht datenschutzkonform verarbeitet werden, z.B. weil die Einwilligung nicht rechtmäßig eingeholt wird, kann dies bittere Konsequenzen haben.