Telemarketing kann für ein Unternehmen ziemlich teuer sein, wenn es nicht datenschutzkonform durchgeführt wird. Wer von uns hat sich nicht schon mindestens einmal über eine teure Stromrechnung geärgert? Die Italiener beschweren sich diesbezüglich mit der Redewendung: „Ich habe schon wieder eine „salzige“ Rechnung bekommen!“ Dieses Mal haben sich Tausende von Personen nicht nur bei Familienangehörigen oder Freunden, sondern auch bei der Behörde beschwert – und die Rechnung ging an den Konzern Eni.
Was war passiert?
Die italienische Aufsichtsbehörde für Datenschutz „Garante per la protezione dei dati personali“ hat am 17.01.2020 ein Bußgeld in Höhe von insgesamt 11,5 Millionen Euro gegen den italienischen Energiekonzern Eni SpA wegen Verletzung der Regeln für die Verwendung von persönlichen Daten verhängt.
Der Empfänger des Bußgeldes, die Eni gas e luce SpA, ist ein italienischer Mineralöl- und Energiekonzern mit Sitz in Rom, der 2018 einen Umsatz von ca. 77 Mrd. Euro erzielte und in ca. 70 Ländern tätig ist.
Der Konzern muss ein Bußgeld in Höhe von 8.5 Mio. Euro bezahlen, wegen unaufgeforderter Telefonkampagnen, die zur Verletzung von Art. 32 DSGVO (Sicherheit der Verarbeitung personenbezogener Daten) und Art. 5 Abs. 1 lit. a und lit. d DSGVO (rechtmäßige Weise der Verarbeitung) geführt haben. Ein weiteres Bußgeld von 3 Mio. Euro wurde erhoben, wegen Missbrauchs personenbezogener Daten zum Zwecke des Abschlusses von Verträgen ohne Kenntnisnahme des Nutzers, der zum Verstoß gegen Art. 5, 6, 13 DSGVO geführt hat.
Die Geldbußen waren deshalb so hoch, weil die Aufsichtsbehörde nicht nur das rechtswidrige Verhalten, sondern auch die Anzahl der betroffenen Personen, die Intensität des Verhaltens, die Dauer der Verstöße und die wirtschaftlichen Bedingungen von Eni einbezogen hat. All das sind Faktoren, die die DSGVO zur Quantifizierung der Sanktion berücksichtigt.
Welche Verstöße lagen vor?
Die erste Geldstrafe in Höhe von 8,5 Mio. Euro bezieht sich auf die systematisch rechtswidrige Abwicklung von Telefonmarketing und Televerkauf. Bei Untersuchungen und Inspektionen der Behörde wurde festgestellt, dass Eni u.a. Werbeanrufe ohne Einwilligung der kontaktierten Personen durchführte oder trotz deren ausdrücklicher Bitte, nicht angerufen zu werden, bzw. trotz deren Opt-out. Außerdem wurde im Rahmen solcher Kampagnen das Verfahren zur Überprüfung im öffentlichen „Widerspruchsregister“ nicht berücksichtigt – in Italien können Bürger, die keine Werbe- oder Verkaufsanrufe erhalten möchten, ihr Recht auf Widerspruch gegen das Telemarketing über die sogenannte Blacklist „öffentliches Widerspruchsregister“ zum Ausdruck bringen.
Die Aufsichtsbehörde konnte außerdem feststellen, dass es an den erforderlichen technischen und organisatorischen Maßnahmen fehlte, um Widersprüche der Nutzer zu verarbeiten. Darüber hinaus wurden offenbar zulässige Aufbewahrungszeiten überschritten und nicht mehr benötigte Datensätze nicht gelöscht.
Das besagte Bußgeld in Höhe von 8,5 Mio. Euro steht im Zusammenhang mit einem weiteren Bußgeldverfahren gegen die Eni, in dem zusätzlich ein Bußgeld über 3 Mio. Euro wegen Verstößen beim Abschluss von Verträgen für die Lieferung von Energie und Gas verhängt wurde. Hier war es so, dass teilweise unwirksame Verträge geschlossen, bzw. in vielen Verträgen ungenaue Daten verwendet wurden. Insbesondere wurde hier die nicht datenschutzkonforme Verarbeitung von Daten in Rahmen der Akquise und der Abwicklung durch externe Firmen oder Eni geahndet. Viele Personen waren überrascht, dass sie ohne ihr Wissen oder Einverständnis einen Vertrag mit Eni unterzeichnet hatten, als sie die Versorgung von Gas und Strom beim alten Betreiber kündigten. Von diesen Verstößen gegen die Anforderung der DSGVO bezüglich der Richtigkeit, Genauigkeit und Aktualisierung von Daten waren rund 7.200 Personen betroffen.
Die Aufsichtsbehörde forderte Eni nicht nur auf, beide Bußgelder zu bezahlen, sondern auch eine Reihe von technischen und organisatorischen Maßnahmen umzusetzen, um verfahrenstechnische Mängel sowie Datenschutzpannen im Rahmen der Verarbeitung personenbezogener Daten zu vermeiden. Diese Anordnung sah unter anderem die Implementierung von Verfahren und Systemen zur Verifizierung vor, auch durch Nutzung von Stichproben, um die Einwilligung der betroffenen Personen vor Beginn einer Werbekampagne zu überprüfen. Außerdem wurde Eni aufgefordert, eine Schnittstelle zwischen seinem CRM und der Blacklist des „öffentlichen Widerspruchsregisters“ einzurichten. Die Behörde hat dem Konzern die Nutzung der Datenbanken von Drittanbietern untersagt, solange keine entsprechende Einwilligung der betroffenen Person vorliegt, die Daten für die Verarbeitung an Eni weiterzuleiten.
Eni hat angekündigt, hiergegen Widerspruch zu erheben. Welche konkrete Resonanz der Fall für Unternehmen in Deutschland haben wird, ist ebenso eine interessante wie offene Frage. In Deutschland gelten strenge wettbewerbsrechtliche Vorschriften zum Marketing.
Mehr Infos zum Thema finden Sie auf Englisch auf der Website der italienischen Aufsichtsbehörde hier.