Auf einen Blick
Ein junges italienisches Unternehmen, Ventive S.r.l., wurde vom Garante Privacy mit 4.000 Euro bestraft, weil es Werbe-E-Mails an Personen ohne deren Erlaubnis versandt und ihnen nicht erklärt hatte, wie es an deren Kontaktdaten gelangt war. Das Unternehmen hatte diese E-Mail-Adressen von einer Online-Plattform (Lusha) gekauft und angenommen, dass alles rechtmäßig sei. Der Garante stellte klar, dass für E-Mail-Marketing immer eine spezifische Erlaubnis (die Einwilligung) der Personen erforderlich ist und es nicht ausreicht, sich auf ein „berechtigtes Interesse“ zu berufen. Dieser Fall zeigt, dass auch kleine Unternehmen sehr sorgfältig darauf achten müssen, wie sie personenbezogene Daten für ihre Marketingkampagnen erfassen und verwenden.
Was zu tun ist
- Holen Sie immer die ausdrückliche Erlaubnis (Einwilligung) der Personen ein, bevor Sie ihnen Werbe- oder Marketing-E-Mails senden
- Erklären Sie Ihren Kunden klar, wie Sie ihre Daten erhalten haben und wie Sie diese verwenden werden (dies ist die Datenschutzerklärung)
- Kaufen oder verwenden Sie keine Kontaktlisten von anderen Unternehmen, ohne sicherzustellen, dass diese Kontakte rechtmäßig gesammelt wurden und Sie sie für Marketingzwecke verwenden dürfen
Was zu vermeiden ist
- Senden Sie keine Werbe-E-Mails ohne die spezifische Erlaubnis der Personen
- Gehen Sie nicht davon aus, dass die Annahme einer Verbindung in einem professionellen sozialen Netzwerk (wie LinkedIn) die Erlaubnis für Direktmarketing erteilt
- Vertrauen Sie nicht blind auf Plattformen, die Kontakte verkaufen, ohne Ihre eigenen Kontrollen hinsichtlich der Rechtmäßigkeit ihrer Erhebung und Nutzung durchzuführen
Hintergrund
Das Verfahren nahm seinen Ursprung in einer Beschwerde vom 18. März 2025 eines Nutzers, der am 27. Februar 2025 eine professionelle Werbe-E-Mail von der Gesellschaft Ventive S.r.l. erhalten hatte, unmittelbar nachdem er eine Kontaktanfrage auf LinkedIn von einem Mitarbeiter derselben akzeptiert hatte. Die E-Mail-Adresse des Beschwerdeführers war nicht auf LinkedIn vorhanden. Auf eine Anforderung von Erklärungen zur Datenherkunft antwortete die Gesellschaft, dass sie diese über die Anwendung Lusha erworben habe. Die nachfolgende Anforderung von Dokumenten, die die Einwilligung des Beschwerdeführers belegen, blieb unbeantwortet. Das Büro des Garante leitete eine Untersuchung ein und warf der Gesellschaft mögliche Verstöße im Zusammenhang mit der Verarbeitung personenbezogener Daten für Marketingzwecke ohne geeignete Rechtsgrundlage und ohne angemessene Information vor. Ventive S.r.l., ein junges und schnell wachsendes Unternehmen, gab an, Lusha zwischen Februar und Mai 2025 genutzt zu haben, um etwa 500 Kontakte zu erwerben (davon 132 tatsächlich für kommerzielle Mitteilungen verwendet), wobei es irrtümlich auf die Rechtmäßigkeit der Datenherkunft und auf das „berechtigte Interesse“ von Lusha vertraute. Erst nach der Beschwerde stellte es fest, dass Lusha sich nicht auf eine spezifische Einwilligung für die Weitergabe an Dritte zu Werbezwecken stützte. Nachdem die Legitimität bezweifelt wurde, stellte die Gesellschaft das Abonnement ein und beendete die Nutzung der Plattform, indem sie einen Anpassungsprozess einleitete.
Die Entscheidung
Der Garante hat die Rechtswidrigkeit der Datenverarbeitung durch Ventive S.r.l. festgestellt, da gegen Art. 5 Abs. 1 lit. a) und Art. 14 der Verordnung (EU) 2016/679 (DSGVO) sowie gegen Art. 130 Abs. 2 des D.Lgs. 196/2003 (Codice Privacy) verstoßen wurde. Das Unternehmen hat personenbezogene Daten für kommerzielle Zwecke (Direktmarketing per E-Mail) ohne eine geeignete Rechtsgrundlage (die Einwilligung, die nach der Spezialvorschrift von Art. 130 des Codice Privacy erforderlich ist) verarbeitet und den betroffenen Personen keine Informationen über die Merkmale der laufenden Verarbeitung zur Verfügung gestellt. Der Garante wies die Verteidigung des Unternehmens zurück, das sich auf Treu und Glauben sowie das Vertrauen auf Lusha berief, und betonte, dass ein Irrtum über die Rechtmäßigkeit des Verhaltens nur entschuldbar ist, wenn er unvermeidbar war, und dass ein Verantwortlicher stets die Rechtmäßigkeit der Erhebung und Verarbeitung von Daten überprüfen muss, insbesondere wenn diese von Dritten erworben wurden. Die Annahme eines Kontakts auf LinkedIn wird nicht als gültige Grundlage für den Versand kommerzieller Mitteilungen angesehen. Obwohl das Unternehmen die Nutzung der Plattform eingestellt und einen Anpassungsprozess eingeleitet hat, hielt der Garante die Verhängung einer Geldbuße von 4.000 Euro sowie die Nebenstrafe der Veröffentlichung des Bescheids auf seiner institutionellen Website für notwendig.
Verletzte DSGVO-Artikel
| Artikel | Beschreibung | Relevanz |
|---|---|---|
|
5 par.1 lett.a GDPR |
Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz bei der Verarbeitung personenbezogener Daten. | verstoßen wegen des versands kommerzieller mitteilungen ohne geeignete rechtsgrundlage (einwilligung) und wegen mangelnder transparenz bezüglich der datenherkunft und der verarbeitungsmodalitäten. |
|
14 GDPR |
Pflicht zur Information der betroffenen Person, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. | verstoßen, da keine informationen über die verarbeitung von zu kommerziellen zwecken von dritten erworbenen daten bereitgestellt wurden. |
|
130 par.2 Codice Privacy |
Spezialvorschrift über die Nutzung automatisierter Anrufsysteme ohne menschliches Eingreifen für den Versand von Werbematerial, die die vorherige Einwilligung erfordert. | verstoßen wegen des versands kommerzieller mitteilungen per e-mail ohne die spezifische und vorherige einwilligung der betroffenen person, wobei eine solche verarbeitung nicht auf das berechtigte interesse gestützt werden kann. |
Auferlegte Maßnahmen
Veröffentlichung des Bescheids auf der Website des Garante
Sanktion
Der Garante hat Ventive S.r.l. die Zahlung einer Verwaltungsstrafe von 4.000 Euro für die Verstöße gegen Art. 5 Abs. 1 lit. a) und Art. 14 der Verordnung sowie Art. 130 Abs. 2 des Codice Privacy auferlegt. Die Strafe wurde unter Berücksichtigung der Schwere der Verstöße (Marketing ohne Rechtsgrundlage und Information), des schwerwiegend schuldhaften Charakters des Verhaltens, aber auch mildernder Umstände wie der unverzüglich ergriffenen Maßnahmen, des Erstverstoßes, der Zusammenarbeit, des Fehlens besonderer Daten und der geringen wirtschaftlichen Größe des Unternehmens festgelegt. Zudem wurde die Nebenstrafe der Veröffentlichung des Bescheids auf der Website des Garante angeordnet.
Fristen: innerhalb von 30 Tagen nach Zustellung dieses Bescheids
Praktische Auswirkungen
Dieser Bescheid unterstreicht die entscheidende Notwendigkeit, eine solide Rechtsgrundlage zu schaffen und die Transparenz durch die Informationspflicht bei jeder Datenverarbeitungstätigkeit zu gewährleisten, insbesondere im Direktmarketing und bei der Erhebung von Daten von Dritten. Unternehmen können sich nicht blind auf die Konformitätserklärungen externer Anbieter verlassen, ohne eine eigene, angemessene Due Diligence durchzuführen. Der Garante bekräftigt, dass für den Versand von Werbemitteilungen per E-Mail die ausdrückliche Einwilligung der betroffenen Person erforderlich ist, wobei das berechtigte Interesse aufgrund der Spezialvorschrift (Art. 130 des Codice Privacy) ausgeschlossen ist. Die Annahme eines Kontakts auf einer professionellen Plattform wie LinkedIn reicht nicht aus, um eine gültige Einwilligung für das Direktmarketing darzustellen. Unternehmen, einschließlich KMU und Start-ups, müssen von den frühen Phasen ihres Wachstums und ihrer Entwicklung an in die DSGVO-Compliance investieren.
Empfohlene Maßnahmen
- Die Rechtsgrundlage für jede Verarbeitung personenbezogener Daten, insbesondere für Direktmarketing, überprüfen
- Die ausdrückliche und dokumentierte Einwilligung für den Versand kommerzieller E-Mails einholen
- Den betroffenen Personen eine vollständige und transparente Information zur Verfügung stellen, insbesondere wenn die Daten von Dritten erworben wurden, unter Angabe der Datenherkunft und der Verarbeitungszwecke
- Eine strenge Due Diligence bei Anbietern von Datenanreicherungs- oder Lead-Generierungsdiensten durchführen und Nachweisdokumente über die Rechtmäßigkeit der Datenerhebung und -weitergabe anfordern
- Interne Verfahren für die Verwaltung von Einwilligungen und Informationen implementieren und pflegen
- Das Personal über die Datenschutzvorschriften und die Verantwortlichkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten schulen
Zu vermeidende Fehler
- Sich nicht ausschließlich auf das berechtigte Interesse als Rechtsgrundlage für Direktmarketing per E-Mail verlassen
- Personenbezogene Daten nicht von Dritten erwerben, ohne deren Herkunft, die Rechtmäßigkeit der Verarbeitung und die Möglichkeit der Wiederverwendung für eigene Zwecke sorgfältig zu prüfen
- Keine kommerziellen Mitteilungen ohne Einwilligung oder andere gültige und spezifische Rechtsgrundlage versenden
- Die Information der betroffenen Personen nicht unterlassen, insbesondere wenn die Daten nicht direkt von ihnen erhoben wurden
- Davon ausgehen, dass die Annahme einer Verbindung auf LinkedIn eine Einwilligung zum Direktmarketing darstellt.
Fragen zur Selbsteinschätzung
- Was ist die spezifische Rechtsgrundlage für jede Verarbeitung personenbezogener Daten in unserem Unternehmen, insbesondere für Marketingzwecke?
- Haben wir die ausdrückliche und überprüfbare Einwilligung für alle unsere E-Mail-Marketing-Aktivitäten eingeholt?
- Ist unsere Datenschutzerklärung vollständig, transparent, leicht zugänglich und beinhaltet sie die Quellen der Datenerhebung von Dritten?
- Haben wir einen Due-Diligence-Prozess für Datenanbieter oder Lead-Generierungsdienste implementiert, um deren DSGVO-Konformität sicherzustellen?
- Ist unser Personal ausreichend über die DSGVO-Pflichten im Zusammenhang mit Marketing sowie der Erhebung und Verarbeitung personenbezogener Daten geschult?
Verweise
Nationales Recht: D.Lgs. 196/2003 · D.Lgs. 10 agosto 2018, n. 101 · Legge n. 689/1981
Anmerkungen
Der Bescheid beleuchtet eine wachsende Problematik im Zusammenhang mit der unkritischen Nutzung digitaler Plattformen, die Dienstleistungen zur „Lead-Generierung“ oder „Datenanreicherung“ anbieten und personenbezogene Daten ohne ausreichende und substantielle Garantien für die Rechtmäßigkeit der Erhebung, der nachfolgenden Vorgänge und der Weitergabe an Dritte bereitstellen. Der Garante warnt Verantwortliche vor der direkten Haftung bei unzureichend überprüfter Inanspruchnahme solcher Dienste.
