GPDP verhängt 4.501.868 Euro Bußgeld gegen Fastweb SpA
Italien: Bei der Aufsichtsbehörde gingen hunderte Beschwerden über aggressives Telemarketing durch Fastweb und dessen Vertriebsnetz ein. In der daraufhin eingeleiteten, komplexen Untersuchung stellte die Behörde zahlreiche Verstöße gegen die DSGVO fest, deren Praxis systematischen Charakter hatte und sowohl bereits bestehende als auch potenzielle Neukunden betraf.
Die für Fastweb tätigen Callcenter agierten weitestgehend unter Missachtung der geltenden Datenschutzbestimmungen. So verwendeten sie für ihre Anrufe häufig Telefonnummern, welche nicht im italienischen Register für Kommunikationsbetreiber (Registro degli Operatori di Comunicazione, kurz: ROC) gelistet waren. Zudem vearbeiteten sie für die Werbetätigkeiten Kontaktdaten, die Fastweb von externen Partnern bezogen hatte, ohne dass gültige Einwilligungen der Betroffenen für die Übermittlung ihrer Daten vorlagen. In anderen Fällen waren von Dritten erhaltene Kundenlisten verwendet worden, ohne dass die Betroffenen in künftige Werbemaßnahmen eingewilligt haten. Insgesamt waren über 7.542.000 Personen von der Verarbeitung ihrer Kontaktdaten ohne Einwilligung betroffen.
Im Zusammenhang mit Fastwebs Rückruf-Service bestand für die Betroffenen außerdem keine Möglichkeit, eine freie, spezifische und informierte Einwilligung zu erteilen. Die Datenschutzbehörde stellte heraus, dass in Fällen, in denen die technischen Modalitäten des Services derlei invasiv sind wie im vorliegenden Fall – die Betroffenen waren in Abständen von 15 Minuten bis zu 20 mal zurückgerufen worden, bevor das Ticket geschlossen wurde -, sie als charakteristisch für die Datenverarbeitung verstanden werden müssen. Daher hätten die Betroffenen über sie informiert werden müssen. Darüber hinaus bestand für die Betroffenen keine einfache, automatisierte Möglichkeit, den Rückruf-Service wieder zu deaktivieren. Hierin erkannte die Behörde ein Versäumnis seitens des Bußgeldempfängers, ein System zu implementieren, dass den Betroffenen die ordnungsgemäße Ausübung ihrer Rechte (einschließlich des Widerspruchsrechts) ermöglicht hätte.
Ebenso hatte der Bußgeldempfänger gegen die ihm obliegende Pflicht verstoßen, dem Risiko adäquate technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung personenbezogener Daten zu implementieren. Insbesondere betraf dies die CRM-Systeme des Unternehmens. Davon zeugen mehrere Berichte, denen zufolge Telefonnummern von Betroffenen an Kriminelle gelangt waren. Diese hatten die Betroffenen via WhatsApp kontaktiert, vorgegeben, für Fastweb tätig zu sein, und versucht, so an Ausweisdokumente zu gelangen. Anschließend sollten diese vermutlich für Spam, Phishing, Identitätsdiebstahl oder andere betrügerische Aktivitäten verwendet werden.
Ferner befanden die Datenschützer, dass die Erfüllung der Betroffenenrechte gemäß Art. 15 bis 22 DSGVO nur mangelhaft erfolgte und der Grundsatz der Richtigkeit der Daten nicht eingehalten wurde. Bzgl. vieler Korrekturanfragen der Betroffenen hatte die Behörde auf Seiten von Fastweb Verzögerungen oder Systemfehler festgestellt.
Bei der Festsetzung der Bußgeldhöhe wurde erschwerend berücksichtigt, dass: es sich um schwere Vestöße mit hohem Risiko für die Betroffenen handelte, dass die Verstöße über einen langen Zeitraum bestanden hatten, dass viele Personen davon betroffen waren, dass sich die Verstöße teils aus einer schweren Fahrlässigkeit seitens Fastwebs ergaben und dass die Datenschutzbehörde zuvor bereits ähnliche Anordnungen an den Bußgeldempfänger ausgesprochen hatte. Mildernd hingegen wurde berücksichtigt, dass Fastweb mit der Datenschutzbehörde kooperiert und entsprechende Maßnahmen zum Schutz der Verarbeitung umgesetzt hatte.
Die italienische Bußgeldbehörde wies Fastweb an, seine Sicherheitsmaßnahmen zu stärken, um Datenmissbrauch vorzubeugen, und seine Werbepraxis so anzupassen, dass diese nachweislich nur von ROC-registrierten Telefonnummern ausgeht. Des Weiteren verbot die Behörde dem Unternehmen nochmals ausdrücklich, von Vertragspartnern übermittelte Kontaktdaten zu verarbeiten, ohne dass diese zuvor gültige Einwilligungen für die Übermittlung von den Betroffenen erhalten haben. .
Veröffentlicht am: 02-04-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.