Für großes Aufsehen sorgte die vor wenigen Tagen veröffentlichte Pressemitteilung, mit der der Garant für den Schutz personenbezogener Daten bekannt gab, dass er Eni Gas e Luce (Egl) mit einem Gesamtbetrag von 11,5 Millionen Euro sanktioniert habe.
Die Titel der beiden in der fraglichen Mitteilung genannten Sanktionen betreffen jeweils die unerlaubte Verarbeitung personenbezogener Daten im Rahmen kommerzieller Werbemaßnahmen (durch Telemarketing-Aktivitäten) und die Aktivierung unaufgeforderter Verträge durch die Verwendung von an anderer Stelle bereitgestellten Kundendaten.
Es ist interessant, einige Überlegungen zu den betreffenden Bestimmungen auszutauschen.
Zunächst kann abschließend – wenn auch offensichtlich – festgestellt werden, dass auch Italien begonnen hat, erste Schritte im Walzer der Sanktionsaktivitäten in diesem Bereich zu unternehmen Datenschutz.
In Europa belief sich der Gesamtbetrag der bereits erzielten Strafen bis Dezember 2019 auf rund 400 Millionen, mit einem Beitrag von „nur“ 50.000 Euro an Aktivitäten des italienischen Bürgen, mit der berühmten Provision an das Rousseau-Portal.
Zweitens ist es interessant, eine der ersten konkreten Anwendungen der mit der DSGVO eingeführten Kriterien zur Identifizierung von Sanktionen im Zusammenhang mit Verstößen festzustellen. Letztere wurden, wie von der Datenschutzabteilung der Guardia di Finanza überprüft, gemäß den in der EU-Verordnung Nr. 679/2016 (DSGVO), die das breite Themenspektrum, die Verbreitung des Verhaltens, die Dauer des Verstoßes, die wirtschaftlichen Bedingungen der Egl.
Das ist zwar keine wirkliche Neuheit, aber ihre Aufdeckung im Rahmen von Sanktionen, die denen der Firma Egl entsprechen, verleiht dem Sinn der Kriterien selbst eine völlig neue Dimension. Daher wird nicht nur der traditionelle Aspekt der Anzahl der Behandlungen oder der Art derselben berücksichtigt, der bei der vorherigen Gesetzgebung häufiger verwendet wurde, sondern auch Kriterien der Durchdringung (bezogen auf die Auswirkungen, die das sanktionierte Verhalten auf die betroffenen Personen hatte), der Dauer des Verhaltens und – im Hinblick auf die Quantität von grundlegender Bedeutung – der wirtschaftlichen Bedingungen der Egl. Im Gegenteil könnte die Hypothese aufgestellt werden, dass, wie der Bürge auch in Bezug auf seine frühere Tätigkeit im Rahmen des ersten Datenschutzgesetzes wiederholt festgestellt hat, angesichts von Organisationen oder Unternehmen mit geringerer Zahl nicht mit der eisernen Faust gerechnet werden sollte, die in den in Art. 83 Absätze 4 und 5.
Abschließend ist es interessant festzustellen, dass der Bürge die Vorzüge der typischen Nichtausrichtung zwischen dem CRM (Customer Relationship Management - Rückgrat des Produktionssystems jedes Unternehmens) und die Verwaltung der gesammelten Einwilligungen. Insbesondere stellt die Behörde fest, dass „Die Episoden der vorübergehenden Nichtübereinstimmung des CRM und der schwarzen Liste der EGL hatten begrenzte und begrenzte Folgen, stellen jedoch in jedem Fall einen Verstoß gegen die Bestimmungen von Art. dar. 5, Abs. 2 der Verordnungen, da das Unternehmen nicht in der Lage war, den Zeitpunkt und die Methoden für die Aktualisierung des Status der Einwilligungen im CRM und in seiner schwarzen Liste sicherzustellen und nachzuweisen; Daher muss das Unternehmen auch dazu verpflichtet werden, innerhalb bestimmter Fristen die endgültige Umsetzung der vorgeschlagenen Mechanismen zur Automatisierung der Datenströme vom CRM zur im Unternehmen verwendeten Blacklist durchzuführen.“
Dies bedeutet, wie Insider bereits wissen, dass der Grundsatz des „Privacy by Design“ gemäß Art. 25 wird insofern konkret, als auch und vor allem die mit einer Behandlung verbundenen technischen und IT-Abläufe reguliert wurden, nicht so sehr die Tonnen von Papier, hinter denen sich die Unternehmen aus verschiedenen Gründen oft verstecken.
Um einen guten Ansatz in diesen ersten Bestimmungen zu erkennen, wäre es daher auch wünschenswert, dass die Behörde zahlreichere und, warum nicht, noch tiefgreifendere Interventionen (z. B. Coaching oder Schulung) gegenüber der öffentlichen Verwaltung oder dem Privatsektor (insbesondere bei kritischen Infrastrukturen) zu Themen wie diesen angeht und unterstützt, die sich von „höheren“ Projekten auf Schulungsniveau unterscheiden, die beispielsweise in den jüngsten Zyklen von SMEdata-Sitzungen durchgeführt werden.
Natürlich werden die 11 Millionen Euro, gegen die Egl Berufung eingelegt hat, nicht ohne Murren ausgezahlt, wir werden sehen, was passiert.
Hinweis: Das allgemeine Ziel des SMEDATA-Projekts besteht darin, „die wirksame Anwendung der Datenschutz-Grundverordnung durch Sensibilisierung, Schulungsmultiplikation und nachhaltigen Kapazitätsaufbau für KMU und Rechtsberufe sicherzustellen“.
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc...
- https://www.cwi.it/applicazioni-enterprise/crm
- https://smedata.eu/index.php/it/
