Inhalt
Sachverhalt
Die italienische Polizei hatte umfangreiche Ermittlungen zu vier Unter-nehmen durchgeführt, die mit betrügerischen Mitteln über Telefonanrufe Verbraucher und Unternehmen zu Vertragsabschlüssen für diverse Produkte gedrängt hatten, um entsprechende Provisionen zu kassieren.
Unter den abgeschlossenen Verträgen waren auch Verträge über Gas und Strom mit Enel Energia. Die betrügerisch agierenden Unternehmen gehörten nicht zum Vertriebsnetz von Enel Energia, konnten aber dennoch auf eine Vertriebsdatenbank von Enel Energia mit Daten potentieller Kunden zugreifen. Enel Energia hatte keine ausreichenden Sicherheitsvorkehrungen getroffen, um den Zugriff unbefugter Dritter auf die Datenbank zu unterbinden. Dies ermöglichte den betrügerischen Abschluss von mindestens 9.300 Verträgen zugunsten von Enel Energia. Die italienische Datenschutz-Aufsichtsbehörde Garante verhängte infolgedessen gegen Enel Energia ein Bußgeld von 79,1 Millionen Euro.
Konsequenzen für die Praxis
Der Zugriff auf Datenbanken mit personenbezogenen Daten ist im Unternehmen streng nach dem “need to know” Prinzip zu organisieren. Bereits der Zugriff bzw. die Zugriffsmöglichkeit durch interne Mitarbeiter eines Unternehmens, die den Zugriff für ihre Tätigkeit im Unternehmen nicht benötigen, stellt eine Datenschutzverletzung dar.
Wenn – wie im vorliegenden Fall – dann sogar unbefugte Dritte auf diese Daten zugreifen und die Daten in betrügerischer Weise nutzen können, ist dies ein schwerwiegender Verstoß gegen die DSGVO und wird entsprechend mit hohen Bußgeldern sanktioniert. Um solche Situationen zu vermeiden, sollten regelmäßig Audits der Zugriffsmöglichkeiten auf Daten im Unternehmen durchgeführt werden.
