Die italienische Datenschutzbehörde (GPDP) hat im April 2026 gegen die Poste Italiane SpA und die PostePay SpA eine Geldbuße in Höhe von insgesamt 12,5 Mio. EUR verhängt. In der Entscheidung hebt die GPDP die hohen Anforderungen an die Einwilligung bei der Datenerfassung über Apps sowie die enge Verzahnung zwischen ePrivacy-Richtlinie und DSGVO hervor.
Im Kern des Verfahrens, das durch eine große Zahl an Meldungen und Beschwerden ausgelöst wurde, stand die Frage, unter welchen Voraussetzungen Unternehmen auf Nutzungsdaten von Endgeräten zugreifen dürfen. Die Verantwortlichen forderten von Nutzern ihrer Finanz-Apps „Bancoposta“ und „PostePay“ eine Einwilligung zur Überwachung einer Reihe von Daten, u. a. auch die Namen der installierten und ausgeführten Anwendungen, auf den Mobilgeräten. Diese Erfassung sollte der Erkennung von Malware und Betrugsbekämpfung dienen. Diese Einwilligung war allerdings nicht freiwillig, sondern Voraussetzung für die Nutzung der App. Die Unternehmen begründeten dies mit Sicherheitsinteressen und Verpflichtungen aus den italienischen Zahlungsdienstevorschriften.
Die Behörde differenzierte in ihrer Entscheidung zwischen zwei Verarbeitungsschritten. Die Erfassung der Daten auf dem Gerät unterliegt der ePrivacy-Richtlinie, während die Weiterverarbeitung ins Regime der DSGVO fällt. Für beide Schritte stellte die GPDP fest, dass es einer Einwilligung bedurft hätte. Die ePrivacy-Richtlinie sieht Ausnahmen nur für technisch unbedingt notwendige Datenverarbeitung vor. Die Behörde stellte klar, dass ein weitreichendes Sicherheits- und Betrugsmonitoring nicht pauschal unter diese Ausnahme fällt.
Ebenso wurde ein Abstellen auf die Rechtsgrundlage rechtliche Verpflichtung aus den Zahlungsdienstevorschriften verneint. Dies sei nur dann möglich, wenn das anwendbare Recht eine ausdrückliche und bestimmte Verpflichtung vorsieht.
Endgültig scheiterte die Einwilligung als Rechtsgrundlage dann an der mangelnden Freiwilligkeit, da die Unternehmen den Datenzugriff als obligatorisch darstellten.
Die Entscheidung unterstreicht, dass Sicherheitsinteressen nicht jegliche Art von Datenverarbeitung rechtfertigen. Die ePrivacy-Richtlinie setzt enge Grenzen. Unternehmen müssen sorgfältig prüfen, ob Datenerfassungen technisch zwingend notwendig sind oder einer wirksamen Einwilligung bedürfen.