Unerlaubte Telefonwerbung gehört seit Jahren zu den klassischen Konfliktfeldern des Datenschutzrechts. Die Entscheidung der italienischen Datenschutzaufsichtsbehörde (GDPD) vom 12. März 2026 verdeutlicht erneut, dass Unternehmen selbst bei bestehenden Kundenbeziehungen strengen rechtlichen Vorgaben unterliegen. Sie zeigt zugleich, dass organisatorische Defizite und mangelhafte Kontrolle von Dienstleistern erhebliche datenschutzrechtliche Konsequenzen nach sich ziehen können. Gegen das Unternehmen Enel Energia verhängte die GDPD im Zuge dessen eine Geldbuße von über 500.000 Euro wegen unrechtmäßiger Verarbeitung personenbezogener Daten zu Zwecken des Telemarketings und Telesellings.
Wiederkehrende Telefonanrufe trotz Widerspruch der Betroffenen
Gegenstand des Verfahrens war die telefonische Kontaktaufnahme von Kunden eines Energieversorgungsunternehmens zu Werbezwecken. Ausgangspunkt waren mehrere Beschwerden, in denen Betroffene angaben, wiederholt angerufen worden zu sein, obwohl sie der Nutzung ihrer Daten für Werbung ausdrücklich widersprochen hatten. Teilweise befanden sich die Betroffenen zudem in einem nationalen Widerspruchsregister, das Werbeanrufe grundsätzlich untersagt.
Besonders relevant war, dass die Anrufe häufig als rein verwaltungstechnische Kontakte dargestellt wurden, etwa im Zusammenhang mit der Abwicklung oder Bestätigung eines bereits bestehenden Vertrags. Im Verlauf der Gespräche wurden jedoch zusätzliche Angebote beworben, insbesondere weitere Energiedienstleistungen. Die Werbeansprache erfolgte somit nicht offen, sondern im Rahmen von Gesprächen, die zunächst einen anderen Zweck hatten.
Die Kontaktaufnahmen wurden nicht ausschließlich durch das Unternehmen selbst durchgeführt, sondern auch durch externe Callcenter und Vertriebspartner. Diese handelten im wirtschaftlichen Interesse des Unternehmens. Die Beschwerden zeigten, dass diese Dienstleister die internen Vorgaben zur Einhaltung datenschutzrechtlicher Anforderungen nicht konsequent beachteten. Gleichzeitig stellte sich heraus, dass effektive Kontrollmechanismen zur Überwachung dieser Partner nicht hinreichend etabliert waren.
Fehlende Rechtsgrundlage für Werbeanrufe
Die Aufsichtsbehörde stellte klar, dass telefonische Werbung nur zulässig ist, wenn eine geeignete Rechtsgrundlage besteht. Eine solche lag in den geprüften Fällen nicht vor, da die Betroffenen entweder keine Einwilligung erteilt oder eine bereits erteilte Einwilligung ausdrücklich widerrufen hatten. Der Umstand, dass zwischen den Parteien ein Vertragsverhältnis bestand, änderte daran nichts. Nach Auffassung der Behörde rechtfertigt eine bestehende Kundenbeziehung keine telefonische Werbung, wenn der betroffene Kunde dieser Nutzung seiner Daten zu diesem Zwecke widersprochen hat.
Unzulässige Vermischung von Service und Werbung
Besondere Bedeutung maß die Behörde dem tatsächlichen Inhalt der Telefonate bei. Ein Anruf, der formal als Service- oder Verwaltungskontakt beginnt, verliert seine rechtliche Zulässigkeit, sobald er für Werbezwecke genutzt wird. Maßgeblich ist dabei nicht die ursprüngliche Zweckangabe des Anrufs, sondern der konkrete Gesprächsverlauf. Die Nutzung eines legitimen Anlasses als Einstieg für eine Werbeansprache wurde als unzulässige Umgehung der datenschutzrechtlichen Anforderungen bewertet.
Verantwortung für eingesetzte Dienstleister
Die Entscheidung unterstreicht zudem die Verantwortung des Unternehmens für das Verhalten der eingesetzten Dienstleister. Auch wenn Telefonkontakte durch externe Callcenter erfolgen, verbleibt die datenschutzrechtliche Verantwortlichkeit beim auftraggebenden Unternehmen. Dieses muss sicherstellen, dass Partner die rechtlichen Vorgaben einhalten. Im vorliegenden Fall sah die Behörde Defizite bei der Auswahl, Anleitung und Kontrolle der Dienstleister. Die vorhandenen Maßnahmen reichten nicht aus, um rechtswidrige Werbeanrufe zuverlässig zu verhindern.
Fehlen von technisch-organisatorischen Maßnahmen
Im Laufe des Verfahrens wurde zudem festgestellt, dass Enel Energia bei den Rückkontaktverfahren mit Nutzern keine technisch-organisatorischen Maßnahmen ergriffen hatte, um das Risiko unrechtmäßiger Datenverarbeitung auszuschließen. In diesem Zusammenhang betont die Behörde erneut, dass Verantwortliche Verfahren zur Einholung von Einwilligungen einsetzen müssen, die die Identität der betroffenen Person verifizieren und damit die rechtmäßige Herkunft der personenbezogenen Daten sicherstellen. Dazu zählt beispielsweise das Double-Opt-in-Verfahren, bei dem Nutzer aktiv bestätigen müssen, dass sie Werbemitteilungen erhalten möchten – was sowohl den Schutz der Betroffenen als auch die Rechtssicherheit für Verantwortliche erhöht.
Sanktion
Neben der Geldbuße in Höhe von 563.052 Euro wurde Enel zudem verpflichtet, geeignete Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten entlang der gesamten Verarbeitungskette im Einklang mit der DSGVO erfolgt.
Fazit
Die Entscheidung macht deutlich, dass Unternehmen bei der telefonischen Kundenansprache äußerste Sorgfalt walten lassen müssen. Werbeanrufe ohne wirksame Einwilligung bleiben unzulässig, auch wenn sie im Kontext bestehender Vertragsverhältnisse erfolgen oder als Servicekontakt getarnt sind. Ebenso klar ist, dass die Auslagerung von Vertriebstätigkeiten an externe Dienstleister keine Entlastung bringt. Ohne wirksame Kontrollmechanismen und konsequente Durchsetzung interner Vorgaben trägt das Unternehmen das volle datenschutzrechtliche Risiko, einschließlich der Verhängung eines Bußgelds.
Der „KI-Beauftragte“ -
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
