Die italienische Datenschutzbeh\u00f6rde (GPDP) hat im April 2026 gegen die Poste Italiane SpA und die PostePay SpA eine Geldbu\u00dfe in H\u00f6he von insgesamt 12,5 Mio. EUR verh\u00e4ngt. In der Entscheidung hebt die GPDP die hohen Anforderungen an die Einwilligung bei der Datenerfassung \u00fcber Apps sowie die enge Verzahnung zwischen ePrivacy-Richtlinie und DSGVO hervor.<\/p>\n\n\n\n
Im Kern des Verfahrens, das durch eine gro\u00dfe Zahl an Meldungen und Beschwerden ausgel\u00f6st wurde, stand die Frage, unter welchen Voraussetzungen Unternehmen auf Nutzungsdaten von Endger\u00e4ten zugreifen d\u00fcrfen. Die Verantwortlichen forderten von Nutzern ihrer Finanz-Apps \u201eBancoposta\u201c und \u201ePostePay\u201c eine Einwilligung zur \u00dcberwachung einer Reihe von Daten, u. a. auch die Namen der installierten und ausgef\u00fchrten Anwendungen, auf den Mobilger\u00e4ten. Diese Erfassung sollte der Erkennung von Malware und Betrugsbek\u00e4mpfung dienen. Diese Einwilligung war allerdings nicht freiwillig, sondern Voraussetzung f\u00fcr die Nutzung der App. Die Unternehmen begr\u00fcndeten dies mit Sicherheitsinteressen und Verpflichtungen aus den italienischen Zahlungsdienstevorschriften.<\/p>\n\n\n\n
Die Beh\u00f6rde differenzierte in ihrer Entscheidung zwischen zwei Verarbeitungsschritten. Die Erfassung der Daten auf dem Ger\u00e4t unterliegt der ePrivacy-Richtlinie, w\u00e4hrend die Weiterverarbeitung ins Regime der DSGVO f\u00e4llt. F\u00fcr beide Schritte stellte die GPDP fest, dass es einer Einwilligung bedurft h\u00e4tte. Die ePrivacy-Richtlinie sieht Ausnahmen nur f\u00fcr technisch unbedingt notwendige Datenverarbeitung vor. Die Beh\u00f6rde stellte klar, dass ein weitreichendes Sicherheits- und Betrugsmonitoring nicht pauschal unter diese Ausnahme f\u00e4llt.<\/p>\n\n\n\n
Ebenso wurde ein Abstellen auf die Rechtsgrundlage rechtliche Verpflichtung aus den Zahlungsdienstevorschriften verneint. Dies sei nur dann m\u00f6glich, wenn das anwendbare Recht eine ausdr\u00fcckliche und bestimmte Verpflichtung vorsieht.<\/p>\n\n\n\n
Endg\u00fcltig scheiterte die Einwilligung als Rechtsgrundlage dann an der mangelnden Freiwilligkeit, da die Unternehmen den Datenzugriff als obligatorisch darstellten.<\/p>\n\n\n\n
Die Entscheidung unterstreicht, dass Sicherheitsinteressen nicht jegliche Art von Datenverarbeitung rechtfertigen. Die ePrivacy-Richtlinie setzt enge Grenzen. Unternehmen m\u00fcssen sorgf\u00e4ltig pr\u00fcfen, ob Datenerfassungen technisch zwingend notwendig sind oder einer wirksamen Einwilligung bed\u00fcrfen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Die italienische Datenschutzbeh\u00f6rde (GPDP) hat im April 2026 gegen die Poste Italiane SpA und die PostePay SpA eine Geldbu\u00dfe in H\u00f6he von<\/p>\n