Im Transport- und Energiesektor haben Datenschutzbehörden aus 20 verschiedenen Ländern bisher 136 Bußgelder (+27 im Vergleich zum ETR 2024) in Höhe von insgesamt ca. EUR 195 Millionen (+EUR 110 Millionen im Vergleich zum ETR 2024) verhängt. Während die Zahl der Bußgelder im Vergleich zu den Vorjahren relativ konstant blieb, hatte das von der italienischen Datenschutzbehörde (Garante della privacy) gegen Enel Energia S.p.A. verhängte Bußgeld in Höhe von EUR 79 Millionen – das höchste jemals von der italienischen Datenschutzbehörde verhängte Bußgeld – eine starke Auswirkung auf den Gesamtbetrag.
Wenn man das von der italienischen Datenschutzbehörde (Garante della privacy) verhängte Rekordbußgeld außen vor lässt, um unverzerrte und vergleichbare Statistiken zu erhalten, stieg das durchschnittliche Bußgeld in diesem Sektor auf ca. EUR 1,2 Millionen (gegenüber einem Durchschnitt von EUR 796.000 im letzten Jahr), während die Zahl der Bußgelder leicht zurückging.
Die häufigsten Gründe für die Verhängung von Bußgeldern im Sektor Transport und Energie bestanden in ungeeigneten technischen und organisatorischen Maßnahmen (8 Fälle) sowie der Nichteinhaltung der allgemeinen Grundsätze für die Datenverarbeitung (8 Fälle).
Schauen wir uns das genauer an
- Auch wenn das erste von der italienischen Datenschutzbehörde (Garante della privacy) im Jahr 2021 verhängte Bußgeld gegen Enel Energia S.p.A. (ETid-1005) vom Gericht in Rom aufgehoben wurde, wurde Enel Energia S.p.A. auf anderer Grundlage wieder mit einem Bußgeld in Höhe von EUR 79 Millionen belegt (ETid-2306). Nach Angaben der Datenschutzbehörde erwarb Enel Energia S.p.A. nicht weniger als 978 Verträge von vier verschiedenen zuvor sanktionierten Unternehmen, obwohl diese nicht zum Vertriebsnetz des Energieunternehmens gehörten. Die Datenschutzbehörde stellte außerdem fest, dass die Informationssysteme des Unternehmens, die für die Kundenverwaltung und Aktivierung von Diensten verwendet wurden, schwerwiegende Sicherheitsmängel aufwiesen und dass Enel Energia S.p.A. rechtswidrige Aktivitäten von nicht autorisierten Vertretern, die über Jahre hinweg durch belästigende Anrufe, Service-Sonderaktionen und den Abschluss von Verträgen ohne echten wirtschaftlichen Wert für die Kunden illegale Geschäfte vorantrieben, nicht verhindert hat.
- Nach der Verhängung einer Geldstrafe gegen den italienischen Strom- und Gasversorger Axpo Italia S.p.A. wegen der Aktivierung von Strom- und Gasverträgen ohne Wissen der Kunden im Jahr 2023 (ETid-2077) belegte die italienische Datenschutzbehörde (Garante della privacy) den Strom- und Gasversorger Hera Comm S.p.A. aus denselben Gründen im Jahr 2024 mit einem Bußgeld (ETid-2535). Hera Comm S.p.A. hat keine geeigneten technischen und organisatorischen Maßnahmen ergriffen, um die unrechtmäßige Nutzung von Kundendaten durch Haustürgeschäfte zu verhindern, und hat nicht rechtzeitig auf die Anträge der betroffenen Personen zur Ausübung ihrer Datenschutzrechte reagiert. Für diesen Verstoß gegen die allgemeinen Grundsätze für die Datenverarbeitung wurde Hera Comm S.p.A. von der Datenschutzbehörde mit einem Bußgeld in Höhe von EUR 5 Millionen belegt.
- Die spanische Datenschutzbehörde (AEPD) verhängte gegen i-DE Redes Eléctricas Inteligentes, S.A.U. ein Bußgeld in Höhe von EUR 3,5 Millionen wegen eines Cyberangriffs, bei dem die personenbezogenen Daten von Millionen von Kunden kompromittiert wurden (ETid-2558). Auch Iberdrola S.A. wurde wegen desselben Cyberangriffs mit einem Bußgeld in Höhe von EUR 3 Millionen belegt (ETid-2557), da die Datenschutzbehörde feststellte, dass Iberdrola für die Verwaltung der IT-Systeme und die Sicherheitsinfrastruktur der Unternehmensgruppe verantwortlich war, jedoch unzureichende Sicherheitsmaßnahmen getroffen hatte, um den Angriff zu verhindern.
- Die spanische Datenschutzbehörde (AEPD) hat gegen WATIUM S.L. ein Bußgeld verhängt, weil das Unternehmen die von der Datenschutzbehörde angeforderten Informationen nicht bereitgestellt hat (ETid-2339). Das ursprüngliche Bußgeld in Höhe von EUR 160.000 wurde aufgrund der freiwilligen Zahlung und der Anerkenntnis der Verantwortung auf EUR 96.000 reduziert.
