Datenschutz Italien: automatisierte Entscheidungen nach Art. 22 DSGVO
30.07.2021
[IITR – 30.07.21] „I tuoi dati sono un tesoro da proteggere insieme.“ – „Deine Daten sind ein Schatz, den wir gemeinsam beschützen müssen.“
Dieses leicht pathetisch angehauchte Motto der italienischen Datenschutzaufsichtsbehörde „Garante per la protezione die dati personali“ (GDPD) wird zunehmend ernst genommen. Nach dem Urteil des obersten italienischen Gerichtshofs am dreijährigen Geburtstag der Datenschutzgrundverordnung lässt nun auch die Aufsichtsbehörde Taten folgen. Keiner soll und darf einer lediglich automatisierten Entscheidung unterworfen sein.
Bußgeld für Essenslieferanten in Höhe von 2,6 Millionen Euro
Die italienische Aufsichtsbehörde hat dem Lieferunternehmen „Foodinho“ ein Bußgeld von 2,6 Millionen Euro auferlegt, weil dieses aus Sicht der Behörde gegen Art. 22 DSGVO verstoßen hatte. Bei Bestellungen oder Auftragserteilungen darf es nicht zu einer Diskriminierung beruhend allein auf Algorithmen kommen. Auch die Fahrer sollen durch eine Umstellung der unternehmensinternen Datenverarbeitung besser geschützt werden und das sei – so die Aufsichtsbehörde in ihrer Pressemitteilung (italienisch und englisch) – nur ein erster Schritt bei der Überprüfung der größten in Italien agierenden Lieferunternehmen.
Entscheidungsgründe der italienischen Datenschutzaufsichtsbehörde
Bei der Überprüfung von dem italienischen Unternehmen „Foodinho“ sei man auf verschieden geartete Verstöße gegen geltendes Datenschutz- und Arbeitsrecht gestoßen.
Mit Blick auf das Datenschutzrecht seien gravierende Mängel, insbesondere eine ungenügende Information der Arbeitnehmer hinsichtlich der verwendeten Algorithmen, aufgefallen. Weder die Funktionsweise sei erläutert worden, noch sei sichergestellt werden können, dass die Ergebnisse richtig und exakt waren. Man habe seinen Mitarbeitern nicht einmal das Recht gewährleistet, die getroffenen Entscheidungen überprüfen zu lassen oder anzufechten, selbst wenn ein Fahrer aufgrund dessen gekündigt worden war.
Zusätzlich wurde das Unternehmen aufgefordert, Maßnahmen zum Schutz der Interessen seiner Arbeitnehmer zu ergreifen, um zukünftige Verstöße ausschließen zu können. Dabei solle insbesondere darauf geachtet werden, dass die verarbeiteten Daten richtig erfasst würden und das Risiko für erneute Fehler minimiert werde. Außerdem sei es nicht in Ordnung, dass das Rating einzelner Fahrer automatisch dadurch verschlechtert würde, dass sie nicht regelmäßig und nicht einen Großteil ihrer Aufträge annähmen.
In die Höhe der Strafe sei berücksichtigt worden, dass sich „Foodinho“ nicht gerade kooperativ zeigte, als man die Datenschutzrechtsverstöße genauer untersuchen wollte und dass eine große Zahl an Personen – zum Zeitpunkt der Untersuchung rund 19.000 Fahrer – betroffen seien.
Nun habe das Unternehmen 60 Tage Zeit, die notwendigen Verbesserungen anzustellen und weitere 90 Tage, um diese hinsichtlich verwendeten Algorithmen abzuschließen.
Die spanische Muttergesellschaft „GlovoApp23“ unterliegt infolgedessen einer gesonderten Überprüfung durch die spanische Aufsichtsbehörde „Agencia Espanola de Protección de Datos“ (AEPD), wobei diese mit der italienischen Aufsicht zusammenarbeitet.
Praxisorientierte Anwendung der Datenschutzgrundverordnung
Die Datenschutzgrundverordnung kennt in seinem Art. 22 Abs. 1 DSGVO ein Verbot, lediglich automatisierte Entscheidungen zu treffen:
„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Die italienische Aufsichtsbehörde wendet dies zum Schutz der personenbezogenen Daten von Arbeitnehmern praxisorientiert an und zeigt automatisierter Verarbeitung und Entscheidungsfindung seitens der Unternehmen klare Grenzen auf.
Eine solche kann und darf schon keinesfalls ohne ausdrückliche Information, Aufklärung und Erklärung erfolgen. Noch dazu ohne den betroffenen Personen Rechte der Überprüfung oder Anfechtung zu gewährleisten.
Außerdem zeigt sich in der expliziten Erwähnung mangelnder Kooperation, dass man durchaus gewillt ist, die Unternehmen auch ohne hohe Strafen unterstützen zu wollen.
Auch eine Kooperation von Datenschutzaufsichtsbehörden verschiedener Mitgliedsstaaten ist in Erwägungsgrund 123 ausdrücklich vorgesehen:
„Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Zu diesem Zweck sollten die Aufsichtsbehörden untereinander und mit der Kommission zusammenarbeiten, ohne dass eine Vereinbarung zwischen den Mitgliedstaaten über die Leistung von Amtshilfe oder über eine derartige Zusammenarbeit erforderlich wäre.“
Fazit
In Italien setzen die verschiedenen Akteure – ob Gericht oder Aufsichtsbehörde – die Vorgaben der Datenschutzgrundverordnung konsequent und stringent um. Und wie man der Mitteilung entnehmen kann, sei das wohl erst der Anfang.
Man scheint südlich der Alpen also äußerst gewillt, den Leitlinien des europäischen Datenschutzes gerecht zu werden. So lohnt sich aus datenschutzrechtlicher Sicht auch in Zukunft ein regelmäßiger Blick auf die italienische Halbinsel.
