Datenschutz-Akademie » Datenschutz-News » Italienische Datenschutz-Aufsichtsbehörde verhängt 27,8 Mio Bußgeld
Italienische Datenschutz-Aufsichtsbehörde verhängt 27,8 Mio Bußgeld
Datum: 01.02.2020
Grund für das Datenschutz-Bußgeld:
Die italienische Datenschutz-Aufsichtsbehörde verhängte gegen die italienische Telecom „TIM S.p.A“ eine Geldbuße von 27.802.496 Euro wegen mehrerer Fälle von unrechtmäßiger Verarbeitung zu Marketing-Zwecken. Die Verstöße betrafen insgesamt Millionen von Personen.
Art des Datenschutz-Verstoßes:
Von Januar 2017 bis Anfang 2019 gingen bei der Datenschutz-Aufsichtsbehörde Hunderte von Beschwerden ein, insbesondere über unerbetene Marketing-Anrufe, die ohne jegliche Zustimmung oder trotz der Aufnahme der Angerufenen in das öffentliche Opt-out-Register durchgeführt wurden. In anderen Fällen hatten die Angerufenen ihre Zustimmung zum Empfang von Marketing-Anrufen eindeutig verweigert. Weiterhin wurden in den Beschwerden unlautere Bearbeitungspraktiken im Zusammenhang mit Preisausschreiben erwähnt.
Datenschutz-Verstöße des Telekommunikationsanbieters im Detail
Komplexe Untersuchungen wurden auch mit Unterstützung einer Spezialeinheit der italienischen Finanzpolizei durchgeführt und brachten eine Reihe schwerer Verstöße gegen die Gesetzgebung zum Schutz personenbezogener Daten ans Licht.
- TIM S.p.A. waren nachweislich nicht ausreichend mit den grundlegenden Funktionen der von ihnen durchgeführten Verarbeitungstätigkeiten vertraut.
- Nachgewiesen wurde, dass Millionen von Marketing-Anrufen bei „Nicht-Kunden“, durch den Call-Center-Betreiber der von TIM S.p.A. beauftragt wurde, ohne jegliche Zustimmung getätigt wurden. In einem Fall wurde eine Person innerhalb eines Monats 155 Mal kontaktiert. In etwa zweihunderttausend Fällen wurden „Off-List“-Nummern – d. h. Nummern, die nicht in der Liste der Marketing-Nummern von TIM aufgeführt sind – angerufen.
- Es wurden auch andere Arten illegalen Verhaltens festgestellt, wie z. B. das Versäumnis von TIM, die Aktivitäten einiger Call-Center zu überwachen oder ihre schwarzen Listen (auf denen Personen aufgeführt sind, die keine Marketing-Anrufe erhalten möchten) ordnungsgemäß zu verwalten und zu aktualisieren.
- Weiterhin konnten nur Personen einem Rabattsystem beitreten, wenn diese gezwungener Maßen die Zustimmung zu Marketing-Aktivitäten akzeptierten.
- Ungenaue, unklare Informationen über die Datenverarbeitung wurden im Zusammenhang mit bestimmten Anwendungen, die sich an Kunden richteten, gegeben und die Vorkehrungen zur Einholung der erforderlichen Zustimmung waren unangemessen.
- In einigen wenigen Fällen waren Papierformulare auszufüllen, wenn eine einzige Einverständniserklärung für verschiedene Zwecke einschließlich des Marketings verfügbar war.
- Auch das System zur Verwaltung von Datenverstößen erwies sich als unwirksam, und es gab keine angemessenen Umsetzungs- und Verwaltungssysteme für die Verarbeitung personenbezogener Daten, die nicht den Anforderungen des „Privacy by Design“ entsprachen.
- Es wurde festgestellt, dass die schwarzen Listen von TIM nicht mit denen der Callcenter der Auftragnehmer übereinstimmten, und dies galt auch für die Aufzeichnungen der „mündlichen Bestellungen“ – also der am Telefon vereinbarten Verträge.
- Die Nummern der Kunden anderer Telefonbetreiber, die TIM in ihrer Eigenschaft als Netzbetreiber erhielt, wurden länger als gesetzlich zulässig gespeichert und ohne Zustimmung der Kunden für Marketingkampagnen verwendet.
Auferlegte Maßnahmen durch die Datenschutz-Aufsichtsbehörde in Italien
Neben der Geldbuße verhängte die italienische Datenschutz-Aufsichtsbehörde 20 Korrekturmaßnahmen gegen TIM, darunter sowohl Verbote als auch einstweilige Verfügungen.
- Insbesondere untersagte die Aufsichtsbehörde TIM die Verwendung der Daten der Benutzer zu Marketing-Zwecke, die ihre Zustimmung zu Marketing-Anrufen verweigert hatten, die in den schwarzen Listen aufgeführten Benutzer und von „Nicht-Kunden“.
- Es ist dem Unternehmen nicht mehr erlaubt, die Kundendaten, die über die Apps ‚MyTim‘, ‚TimPersonal‘ und ‚TimSmartKid‘ erhoben wurden, zu anderen Zwecken als der Bereitstellung der entsprechenden Dienste zu verwenden.
- Die von der italienischen Aufsichtsbehörde erlassenen Anordnungen beinhalten die Verpflichtung für TIM, die Konsistenz ihrer schwarzen Listen zu überprüfen und die von den Call-Centern zusammengestellten Listen rechtzeitig zu beziehen, um ihre eigenen schwarzen Listen zu aktualisieren.
- TIM muss die „TimParty“-Regelung überdenken und den Kunden den Zugang zu Rabattsystemen und Preisausschreiben ermöglichen, ohne dass sie in Marketing-Aktivitäten einwilligen müssen.
- TIM muss auch die Prozesse zur Aktivierung der Apps überprüfen, stets in klarer und verständlicher Sprache die von ihnen durchgeführten Verarbeitungsaktivitäten sowie die Zwecke und die entsprechenden Verarbeitungsmechanismen angeben und eine gültige Zustimmung einholen.
- TIM muss technische und organisatorische Maßnahmen in Bezug auf die Anträge der betroffenen Personen auf Auskunft über ihre Rechte ergreifen und die Maßnahmen zur Gewährleistung der Qualität, Genauigkeit und rechtzeitigen Aktualisierung der in ihren individuellen Systemen verarbeiteten personenbezogenen Daten verbessern.
- Die auferlegten Maßnahmen und Durchführungsbestimmungen müssen in Kraft gesetzt und der italienischen Datenschutz-Aufsichtsbehörde nach einem bestimmten Zeitplan mitgeteilt werden, während die Geldstrafe innerhalb von dreißig Tagen bezahlt werden muss.
Datenkategorien: Namen, Adressen, Telefonnummern
Land: Italien
Bußgeld: 27,8 Millionen Euro
- Internes Kontrollsystem - 10. September 2024
- TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten - 8. Januar 2024
- Audit-Management: Audits effizienter umsetzen - 26. Oktober 2023