Salta al contenuto
PL Consulting
IT DE
Mit einem Berater sprechen

← Alle

Der Garante Privacy hat einen Supermarkt (Pianeta s.r.l.) wegen der rechtswidrigen Verwendung von…

Garante per la protezione dei dati personali · IT · 29. April 2026 · Sanktion € 34.000

Vollständigen Beschluss lesen ↗

Auf einen Blick

Der Garante Privacy hat einen Supermarkt (Pianeta s.r.l.) sanktioniert, weil dieser die Daten einer Treuekarte einer Mitarbeiterin, die er als Verantwortlicher des Treueprogramms erworben hatte, unrechtmäßig verwendet und diese dann für eine disziplinarische Rüge als Arbeitgeber genutzt hat. Darüber hinaus hat das Unternehmen nicht auf die Anfrage der Mitarbeiterin reagiert, ihre Daten einzusehen und zu löschen. Diese Entscheidung ist wichtig, da sie hervorhebt, dass personenbezogene Daten nicht für andere Zwecke als die, für die sie erhoben wurden, verwendet werden dürfen, ohne die betroffene Person zu informieren und ohne eine gültige Rechtsgrundlage. Unternehmen müssen sehr sorgfältig darauf achten, wie sie Kunden- und Mitarbeiterdaten verwalten, insbesondere wenn sie mehrere Aktivitäten ausüben, um Sanktionen zu vermeiden und die Rechte der Personen zu respektieren.

Was zu tun ist

  • Wenn Ihr Unternehmen Daten für mehrere Zwecke verwendet (z.B. Marketing und Personalverwaltung), stellen Sie sicher, dass Sie für jede Verwendung die korrekten Genehmigungen und Informationen haben.
  • Überprüfen Sie immer, wie Sie die Daten Ihrer Kunden und Mitarbeiter verwalten und welche Informationen Sie ihnen geben.
  • Antworten Sie immer auf alle Anfragen Ihrer Kunden und Mitarbeiter bezüglich ihrer Daten, auch wenn Sie diese für repetitiv halten.

Was zu vermeiden ist

  • Verwenden Sie keine Kundendaten für Mitarbeiterkontrollzwecke ohne einen sehr klaren rechtlichen Grund und ohne die Betroffenen informiert zu haben
  • Ignorieren Sie keine Anfragen auf Zugang oder Löschung von Daten durch Personen
  • Denken Sie nicht, dass das Arbeitsrecht Ihnen automatisch erlaubt, Daten in jeder Weise zu verarbeiten.

Hintergrund

Frau XX reichte eine Beschwerde gegen Pianeta s.r.l. ein, in der sie eine rechtswidrige Verarbeitung der Daten ihrer Carta Insieme Conad im Rahmen einer disziplinarischen Rüge, die zur Entlassung führte, und das Ausbleiben einer Antwort auf einen Antrag auf Ausübung der Rechte bemängelte. Pianeta s.r.l. entließ die Beschwerdeführerin fristlos und behauptete, die Angestellte, eine Kassiererin, habe eine anonyme Treuekarte (aus dem Informationsschalter des Verkaufsorts entnommen) missbräuchlich sowohl für die Abrechnung von Ausgaben Dritter als auch zum Einlösen von Prämien verwendet und die zusätzlichen Beträge mit ihrer eigenen Kreditkarte bezahlt. Das Unternehmen entdeckte die Unregelmäßigkeit nach einer Beschwerde eines Kunden wegen nicht gewährter Ermäßigung. Pianeta s.r.l. führte Überprüfungen durch, indem es die Daten der anonymen Karte mit den Arbeitszeiten der Beschwerdeführerin und ihren Kreditkarten abglich. Das Unternehmen verteidigt sich mit der Begründung, dass die Verarbeitung der Treuekartendaten von der Verwaltung des Arbeitsverhältnisses getrennt sei, wobei Conad Adriatico Soc. Coop. als Verantwortlicher und Pianeta s.r.l. als Auftragsverarbeiter für die Treuekarte handle, während Pianeta s.r.l. der Verantwortliche für das Arbeitsverhältnis sei. Es behauptet, rechtmäßig gehandelt zu haben, um sein Eigentum zu schützen, und die Informationspflicht gemäß Art. 14 DSGVO mit dem disziplinarischen Rügebescheid erfüllt zu haben. Bezüglich des Ausbleibens einer Antwort auf den Antrag hielt Pianeta s.r.l. die Anfragen für repetitiv oder bereits erfüllt.

Die Entscheidung

Der Garante stufte die Handlungen von Pianeta s.r.l. aus zwei Hauptgründen als rechtswidrig ein. Erstens verarbeitete das Unternehmen die Daten des Conad-Treueprogramms (wo es als Auftragsverarbeiter im Auftrag von Conad Adriatico Soc. Coop. handelte) für einen eigenen und unvereinbaren Zweck, nämlich um eine disziplinarische Rüge gegen die Beschwerdeführerin auszusprechen. Dies geschah ohne eine geeignete Rechtsgrundlage und unter Verstoß gegen die Grundsätze der Rechtmäßigkeit (Art. 5 Abs. 1 lit. a, Art. 6), der Zweckbindung (Art. 5 Abs. 1 lit. b) und der Transparenz (Art. 13, Art. 14) der Verordnung. Der Garante stellte klar, dass Art. 7 des Gesetzes 300/70 nicht als Rechtsgrundlage für diese Verarbeitung dienen kann und dass die disziplinarische Rüge keine geeignete Information darstellt. Er stellte ferner fest, dass das Unternehmen, da es die Zwecke und Mittel der Verarbeitung der Treuekartendaten für die Rüge festgelegt hatte, gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher anzusehen ist. Zweitens hat das Unternehmen auf den von der Beschwerdeführerin am 15. Februar 2023 eingereichten Antrag auf Ausübung der Rechte keinerlei Antwort gegeben und damit gegen Art. 12, 15 und 17 der Verordnung verstoßen. Der Garante wies die Begründung des Unternehmens bezüglich der Wiederholung der Anfragen zurück und stellte klar, dass der Verantwortliche auch in diesem Fall die Gründe für die Ablehnung und die Möglichkeiten des Rechtsbehelfs der betroffenen Person mitteilen muss. Der Garante stufte den Verstoß als 'mittel' ein, angesichts der vielfältigen Verstöße, die allgemeine Grundsätze, Informationspflichten, die Ausübung von Rechten und die Regelungen für den Auftragsverarbeiter betrafen. Er verhängte ein Verbot weiterer rechtswidriger Verarbeitungen und eine Geldbuße.

Ratio decidendi Die Ratio Decidendi basiert auf der Verletzung der Kernprinzipien der DSGVO: Rechtmäßigkeit, Zweckbindung und Transparenz, sowie auf der korrekten Verwaltung der Datenschutzrollen und der Rechte der betroffenen Personen. Der Garante hat festgestellt, dass ein Auftragsverarbeiter (Pianeta s.r.l. für die Treuekartendaten), der Daten für eigene Zwecke und Mittel verwendet, die nicht vom Verantwortlichen (Conad Adriatico Soc. Coop.) vorgesehen sind, selbst zum Verantwortlichen für diesen spezifischen Vorgang wird (Art. 28 Abs. 10 DSGVO). Eine solche Verarbeitung ist rechtswidrig, wenn sie ohne eine geeignete Rechtsgrundlage und für einen Zweck erfolgt, der mit dem ursprünglichen Zweck unvereinbar ist. Darüber hinaus stellen das Ausbleiben einer vollständigen und präventiven Information sowie das völlige Fehlen einer Antwort auf Anträge auf Ausübung der Rechte schwerwiegende Verletzungen der Pflichten des Verantwortlichen dar. Art. 7 des Gesetzes 300/70 kann nicht als ausreichende Rechtsgrundlage für die Verarbeitung allgemeiner personenbezogener Daten zum Zweck einer disziplinarischen Rüge angesehen werden, wenn die ursprüngliche Datenerhebung in einem anderen Kontext und mit unterschiedlichen Rollen erfolgte.

Verletzte DSGVO-Artikel

ArtikelBeschreibungRelevanz
5 par.1 lett.a
GDPR 		Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz verletzt durch die verarbeitung der treuekartendaten für disziplinarische zwecke ohne rechtsgrundlage und ohne angemessene information.
5 par.1 lett.b
GDPR 		Grundsatz der Zweckbindung verletzt, da die für loyalitätszwecke erhobenen treuekartendaten für einen anderen und unvereinbaren disziplinarischen zweck verwendet wurden.
6
GDPR 		Rechtmäßigkeit der Verarbeitung verletzt aufgrund des fehlens einer geeigneten rechtsgrundlage, die die verarbeitung der treuekartendaten für disziplinarische zwecke legitimiert hätte.
12
GDPR 		Transparente Modalitäten für die Ausübung der Rechte der betroffenen Person verletzt durch das ausbleiben einer antwort auf den antrag der beschwerdeführerin auf ausübung ihrer rechte innerhalb der vorgesehenen fristen.
13
GDPR 		Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person verletzt durch das ausbleiben einer geeigneten und vollständigen information an die beschwerdeführerin über die verarbeitung der treuekartendaten für disziplinarische zwecke.
14
GDPR 		Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden verletzt durch das ausbleiben einer information an die beschwerdeführerin über die verarbeitung der treuekartendaten für disziplinarische zwecke, da die daten von einem dritten (conad adriatico soc. coop.) erworben wurden.
15
GDPR 		Auskunftsrecht der betroffenen Person verletzt aufgrund des ausbleibens einer antwort auf den antrag der beschwerdeführerin auf zugang zu ihren personenbezogenen daten.
17
GDPR 		Recht auf Löschung ('Recht auf Vergessenwerden') verletzt aufgrund des ausbleibens einer antwort auf den antrag der beschwerdeführerin auf löschung ihrer daten.
28 par.3
GDPR 		Auftragsverarbeiter verletzt, da pianeta s.r.l. als auftragsverarbeiter für die treuekarte zwecke und mittel der verarbeitung für eigene (disziplinarische) zwecke bestimmte und sich damit faktisch zum verantwortlichen wandelte, ohne die vereinbarungen mit dem verantwortlichen und die vorschriften einzuhalten.

Auferlegte Maßnahmen

Verbot der Durchführung weiterer Verarbeitungsvorgänge von personenbezogenen Daten der Beschwerdeführerin im Kontext des Arbeitsverhältnisses, die mit der Nutzung der Treuekarte in Verletzung der Datenschutzbestimmungen zusammenhängen; Zahlung einer Geldbuße von 34.000 Euro

Sanktion

Der Garante verhängte eine Geldbuße von 34.000 Euro für die festgestellten Verstöße gegen Art. 5 Abs. 1 lit. a), b), 6, 12, 13, 14, 15, 17, 28 Abs. 3 der Verordnung. Die Sanktion wurde gemäß Art. 83 Abs. 3 der Verordnung berechnet und überschreitet den maximalen Bußgeldrahmen für den schwerwiegendsten Verstoß nicht. Der Schweregrad wurde als 'mittel' eingestuft, unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes, der Anzahl der betroffenen Personen (eine) und des Schadensausmaßes. Das subjektive Element des Verschuldens, die Art der verarbeiteten allgemeinen Daten und die Kenntnis des Verstoßes durch eine Beschwerde wurden berücksichtigt. Zu den relevanten Umständen für die Bemessung gehörten: das Versäumnis, angemessene Maßnahmen zur Risikominderung nach Kenntnis des Verstoßes zu ergreifen, das fahrlässige Verhalten des Unternehmens aufgrund der Vielzahl der verletzten Bestimmungen, das Fehlen früherer relevanter Verstöße und die Zusammenarbeit mit der Aufsichtsbehörde. Die wirtschaftlichen Verhältnisse des Zuwiderhandelnden auf der Grundlage des Haushaltsplans 2024 wurden ebenfalls berücksichtigt.

Fristen: innerhalb von 30 Tagen nach Zustellung dieser Anordnung

Praktische Auswirkungen

Diese Anordnung unterstreicht die entscheidende Bedeutung der Definition und Einhaltung der Datenschutzrollen (Verantwortlicher und Auftragsverarbeiter) und der Zwecke der Datenverarbeitung. Unternehmen müssen äußerst vorsichtig sein, wenn sie in einem Kontext (z.B. Treueprogramm) erhobene Daten für andere Zwecke (z.B. disziplinarische Rügen) verwenden, insbesondere wenn sie als Auftragsverarbeiter für einen anderen Verantwortlichen handeln. Die Verwendung von Daten für andere Zwecke als die, für die sie ursprünglich erhoben wurden, ohne eine neue Rechtsgrundlage und eine angemessene Information, stellt einen schwerwiegenden Verstoß gegen die Grundsätze der Rechtmäßigkeit und der Zweckbindung dar. Es ist außerdem unerlässlich, die uneingeschränkte Ausübung der Rechte der betroffenen Personen stets zu gewährleisten, indem zeitnahe und vollständige Antworten gegeben werden, auch bei als 'repetitiv' empfundenen Anfragen, und dabei die Gründe für die Ablehnung und die Möglichkeiten des Rechtsbehelfs erläutert werden. Die Nichteinhaltung dieser Regeln kann zu hohen Geldbußen und Verarbeitungsverboten führen.

Zu vermeidende Fehler

  • Daten, die als Auftragsverarbeiter erhoben wurden, für eigene Zwecke zu verwenden, die nicht mit dem Verantwortlichen vereinbart wurden;
  • Eine disziplinarische Rüge als Datenschutzerklärung anzusehen;
  • Es zu unterlassen, auf Anträge auf Ausübung der Rechte der betroffenen Personen zu antworten, auch wenn diese als redundant oder unbegründet empfunden werden, ohne Begründung und Rechtsbehelfsmöglichkeiten bereitzustellen;
  • Die Legitimation ex lege (z.B. Art. 7 des Gesetzes 300/70) mit einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Sinne der DSGVO zu verwechseln;
  • Zu glauben, dass 'anonyme' Daten immer solche sind, auch wenn sie zur Identifizierung einer Person (z.B. durch Abgleich mit anderen Daten) de-anonymisiert wurden.

Fragen zur Selbsteinschätzung

  • Nimmt unser Unternehmen in miteinander verbundenen Verarbeitungsprozessen unterschiedliche Rollen (Verantwortlicher/Auftragsverarbeiter) ein? Wenn ja, sind die Grenzen zwischen den Verarbeitungen klar definiert?
  • Haben wir eine gültige Rechtsgrundlage für jeden Zweck der Datenverarbeitung, einschließlich derer, die für interne Kontrollen oder Rügen verwendet werden?
  • Sind unsere Datenschutzerklärungen vollständig und decken sie alle tatsächlichen Nutzungen der erhobenen Daten ab?
  • Bearbeiten wir Anfragen auf Ausübung der Rechte der betroffenen Personen zeitnah und dokumentiert und geben wir immer eine begründete Antwort?
  • Ist unser Personal in der Unterscheidung zwischen personenbezogenen und anonymen Daten und der angemessenen Verwendung der für verschiedene Zwecke erhobenen Daten geschult?

Verweise

EDPB-Leitlinien: Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR

Nationales Recht: L. 24/11/1981, n. 689 · D.Lgs. 196/2003 · D.Lgs. 10 agosto 2018, n. 101 · L. 300/70 · D.Lgs. 150/2011 · Codice Civile

Anmerkungen

Die Anordnung ist relevant für die klare Abgrenzung der Rollen des Auftragsverarbeiters und des Verantwortlichen, insbesondere wenn eine Organisation Daten im Auftrag Dritter verarbeitet, diese aber dann für eigene, nicht vorgesehene Zwecke wiederverwendet. Sie unterstreicht ferner die Unzulänglichkeit einer disziplinarischen Rüge als Mittel der Datenschutzerklärung und die Pflicht, auch auf wiederholte Anfragen der betroffenen Personen zu reagieren.

Verwandte Entscheidungen

[1519679] Beschluss Nr. 1519679