Die italienische Datenschutzbehörde (Garante per la protezione dei dati personali) verdonnerte die italienische Post zu einer Bussgeldzahlung in einer Gesamthöhe von mehr als 12,5 Millionen Euro. Grund für die Sanktionen waren schwerwiegende Verstösse gegen die Datenschutzbestimmungen, insbesondere im Umgang mit Kundendaten und Marketingpraktiken.
Die Strafe richtet sich teils direkte gegen die Poste Italiane (6,6 Mio. Euro) sowie auch gegen deren Tochtergesellschaft Postepay (5,9 Mio. Euro). Die Behörde stellte mehrere schwerwiegende Verstösse im Zusammenhang mit den mobilen Apps Bancoposta und Postepay fest. So hätten die Apps die Nutzer dazu gezwungen, den Zugriff auf eine Vielzahl von Gerätedaten und installierten Anwendungen zu erlauben, um die Dienste überhaupt nutzen zu können. Dies wurde als Verstoss gegen die Prinzipien der Datenminimierung und Verhältnismässigkeit gewertet. Ausserdem seien Kunden laut Reuters nicht ausreichend über den Umfang und den Zweck der Datenverarbeitung informiert worden. Weiters habe eine ordnungsgemässe Datenschutz-Folgenabschätzung (DPIA) für die vorgenommenen Verarbeitungsschritte gefehlt.
Poste Italiane rechtfertigte die Überwachung als notwendige Anti-Betrugs- und Anti-Malware-Massnahme. Die Behörde widersprach dem und sah die Praktiken als unverhältnismässig an. Auch wurden unzureichende Sicherheitsmassnahmen, fehlerhafte Richtlinien zur Datenspeicherung sowie Unregelmässigkeiten bei der Benennung von Auftragsverarbeitern festgestellt.
Der Konzern hat die Vorwürfe zurückgewiesen und betont, stets im Einklang mit Zahlungsdiensterichtlinien (wie der PSD2) gehandelt zu haben.
