Die Datenschutzbehörde IMY führte Untersuchungen in den Unternehmen CDON, Coop, Dagen Industri und Tele2 durch, nachdem die NGO None of Your Business eine Beschwerde eingereicht hatte. Der Grund für die Untersuchungen war die Übermittlung personenbezogener Daten in die USA über das Statistik-Tool Google Analytics, das auf den Websites der Unternehmen verwendet wurde. Obwohl die Übermittlung auf Standardvertragsklauseln gestützt wurde, fehlten angemessene technische Schutzmaßnahmen, die einen Zugriff auf die Daten durch US-Geheimdienste verhindern könnten. Besonders Tele2 hatte das Google Analytics-Tool von 2020 bis Mai 2023 auf seiner Website verwendet, entschied sich aber später im Jahr 2023, die Nutzung des Tools eigenständig einzustellen.
Die Datenschutzbehörde IMY begründete das verhängte Bußgeld aufgrund des Schrems II - Urteils des Europäischen Gerichtshofs, dass die Datenübermittlung in Länder außerhalb der EU regelt und angemessene Schutzmaßnahmen vorschreibt, um die Privatsphäre der Bürger zu wahren.
AUTOSTRADE PER L'ITALIA SPA 1.000.000 EUR
Ein Verbraucherverband meldete der italienischen Datenschutzbehörde einen Verstoß im Zusammenhang mit einer Mauterstattungs-App. Die Behörde leitete daraufhin Untersuchungen ein und stellte fest, dass Autostrade per l'Italia spa (Aspi) falsche Angaben zu den für die Datenverarbeitung Verantwortlichen gemacht hatte. Statt als Auftragsverarbeiter wurde Aspi als Verantwortlicher eingestuft. Aspi regelte verschiedene Aspekte der Datenverarbeitung, während Free to X Srl lediglich mit dem Erstellen und Verwalten der App beauftragt war. Die Verträge zwischen Aspi und Free to X hätten Aspi als tatsächlichen Eigentümer der Dienstleistung angeben und weitere Informationen zur Verarbeitung personenbezogener Daten enthalten müssen. Auch hatte Aspi es versäumt, Free to X Srl als Datenverarbeiter für den Rückerstattungs-Service der App zu benennen.
Diese Verstöße gegen die Datenschutzgrundverordnung (DSGVO) betrafen etwa 100.000 Nutzer der App und hatten Auswirkungen auf deren Datenschutz.
LA RINASCENTE SPA 300.000 EUR
Die Behörde intervenierte nach einer Beschwerde eines Kunden, der berichtete, dass seine vor Jahren ausgestellte Treuekarte entwertet und unaufgefordert eine neue Karte ausgestellt wurde, nachdem er sich mit einem Mitarbeiter des Ladens auseinandergesetzt hatte. Die Behörde führte umfassende Untersuchungen bei La Rinascente SpA durch, in Zusammenarbeit mit der Spezialeinheit für Datenschutz und Technologiebetrug der Guardia di Finanza. Dabei wurden weitere Datenschutzverstöße festgestellt.
Im Zuge der Untersuchung wurde festgestellt, dass in den Informationen zur Treuekarte namens "friendscard" keine Angaben zu den Aufbewahrungsfristen der Daten für Marketing- und Profilierungszwecke gemacht wurden. Zudem wurde die Weiterleitung von E-Mail-Adressen der Kunden an ein amerikanisches Unternehmen über Facebook-Meta nicht angegeben.
Des Weiteren hatte das Unternehmen keine gültige Datenschutz-Folgenabschätzung durchgeführt.
OPEN BANK, SA 2.500.000 EUR
Die spanische Datenschutzbehörde und das Bayerische Landesamt für Datenschutzaufsicht verhängten ein umfangreiches Bußgeld, da sowohl spanische als auch deutsche Kunden der Bank von einer unsicheren Maßnahme betroffen waren.
Die Bank OPEN BANK forderte ihre Kunden auf, einen Herkunftsnachweis für auf ihren Konten eingegangene Beträge vorzulegen, um Geldwäschevorschriften zu erfüllen. Allerdings stellte die Bank keinen sicheren Mechanismus zur Verfügung, um die Übermittlung der angeforderten Unterlagen zu gewährleisten. Die einzige Kommunikationsmethode war die Antwort auf die per E-Mail verschickte Aufforderung.
Als Folge wurden hochsensible Daten ohne ausreichende Sicherheitsmaßnahmen versendet. Die Datenschutzbehörden sahen darin einen schwerwiegenden Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), da über 65.000 Personen betroffen waren.