Die italienische Datenschutzbehörde hat zwei Postdienstunternehmen mit mehr als 12,5 Millionen Euro bestraft, nachdem festgestellt wurde, dass deren mobile Anwendungen Nutzerdaten auf eine Weise sammelten, die gegen Datenschutzbestimmungen verstößt.
Die Strafen wurden an Poste Italiane SpA, einen staatlich kontrollierten Post- und Finanzdienstleister, sowie deren digitale Zahlungstochter Postepay SpA verhängt. Poste Italiane wurde mit einer Geldstrafe von 6,6 Millionen Euro belegt, während Postepay nach einer Untersuchung der Datenverarbeitungspraktiken eine Strafe von 5,9 Millionen Euro erhielt.
Die Untersuchung begann im April 2024, nachdem die Behörden Beschwerden über die Funktionsweise der mobilen Anwendungen der Unternehmen erhalten hatten. Die Untersuchung konzentrierte sich auf Apps, die für Finanzdienstleistungen verwendet werden, darunter BancoPosta und Postepay, die in Italien weit verbreitet für Zahlungen und Kontoverwaltung eingesetzt werden.
Laut der Regulierungsbehörde verlangten die Anwendungen, dass Nutzer die Überwachung der auf ihren mobilen Geräten gespeicherten Daten als Bedingung für den Zugang zu Diensten zulassen. Dazu gehörten Informationen über installierte und laufende Anwendungen sowie weitere gerätebezogene Daten, die zur Bewertung potenzieller Sicherheitsrisiken verwendet wurden.
Die Unternehmen erklärten, dass diese Maßnahmen dazu dienten, bösartige Software zu erkennen und Betrug zu verhindern, und verwiesen auf die Einhaltung der Zahlungsverkehrsvorschriften. Die italienische Datenschutzbehörde stellte jedoch fest, dass das Überwachungsniveau über das Notwendige aus Sicherheitsgründen hinausging.
Die Regulierungsbehörden bezeichneten die Datenerhebungsmethoden als übermäßig invasiv und stellten fest, dass sie die Anforderungen der Verhältnismäßigkeit nach Datenschutzgesetzen nicht erfüllten. Die Behörde erklärte außerdem, dass den Nutzern nicht genügend Informationen darüber zur Verfügung gestellt wurden, wie ihre Daten verarbeitet werden.
Weitere Erkenntnisse umfassten das Versäumnis, ausreichende Sicherheitsvorkehrungen umzusetzen, sowie die längere Aufbewahrung der gesammelten Daten als unter den geltenden Vorschriften zulässig.
Eine separate Analyse des Systems zeigte, dass die Apps Identifizéierungen sammeln konnten, die mit installierten Anwendungen und Geräteverhalten verknüpft sind, um detaillierte Informationen über Nutzer abzuleiten. Die Aufsichtsbehörde kam zu dem Schluss, dass eine solche Datenverarbeitung sensible personenbezogene Daten umfassen könnte und strengere Kontrollen erfordern.
Die Durchsetzungsmaßnahme gehört zu den größeren Sanktionen, die die italienische Datenschutzbehörde in den letzten Jahren verhängt hat. Die Behörden haben nicht angegeben, ob weitere Sanktionen oder Korrekturmaßnahmen folgen werden.