Italien: 12,5 Mio. € Bußgeld gegen Poste Italiane und Postepay wegen unzulässiger Datenverarbeitung in Banking-Apps

Garante sanktioniert übermäßiges App-Monitoring und mehrfache Datenschutzverstöße

Die italienische Datenschutzbehörde Garante per la protezione dei dati personali (Garante) informierte in ihrer Pressemitteilung vom 20. April 2026 über die Verhängung von zwei Bußgeldern in Höhe von insgesamt 12,5 Mio. € gegen die Poste Italiane S.p.A. (6.624.000 €) und ihre Tochtergesellschaft Postepay S.p.A. (5.877.000 €).

Poste Italiane ist ein großes italienisches Postunternehmen, das auch Finanzdienstleistungen anbietet. Postepay gehört zum Konzern und ist auf digitale Zahlungsdienste spezialisiert.

Die Behörde stellte fest, dass beide Unternehmen personenbezogene Daten von Millionen Nutzern ihrer Banking-Apps unrechtmäßig verarbeitet haben.

Poste Italiane wies die Entscheidung öffentlich zurück und kündigte an, Rechtsmittel gegen die Verfügung einzulegen.

Der Fall: App-Monitoring als Nutzungsvoraussetzung

Auslöser des Verfahrens waren zahlreiche Beschwerden, die ab April 2024 bei der Aufsichtsbehörde eingingen. Gegenstand der Untersuchung war insbesondere die Funktionsweise der Apps BancoPosta und Postepay sowie deren Berechtigungsanforderungen.

Die Nutzung der Apps setzte voraus, dass Nutzer einer weitreichenden Überwachung von Gerätedaten zustimmen. Dazu gehörte insbesondere der Zugriff auf Informationen über sämtliche installierten und aktiven Anwendungen auf dem Endgerät.

Die Unternehmen begründeten dieses Vorgehen mit der Betrugsprävention und der Einhaltung regulatorischer Anforderungen, insbesondere aus der europäischen Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2), die Zahlungsdienstleister zur Gewährleistung sicherer Zahlungsprozesse verpflichtet.

Festgestellte Datenschutzverstöße im Überblick

Die Datenschutzaufsichtsbehörde bewertete das umfassende Monitoring als unverhältnismäßigen Eingriff in die Privatsphäre, da es nach ihrer Auffassung für die Betrugsprävention nicht zwingend erforderlich war.

Darüber hinaus wurden im Rahmen der Untersuchung weitere datenschutzrechtliche Defizite festgestellt:

  • Mängel bei der Transparenz: Unzureichende Informationen zur Datenverarbeitung
  • Fehlende DSFA: Keine angemessene Datenschutz-Folgenabschätzung trotz hohen Risikos
  • Unzureichende Sicherheitsmaßnahmen: Defizite bei technischen und organisatorischen Maßnahmen (Art. 32 DSGVO)
  • Fehlende Löschkonzepte: Keine klaren Speicher- und Aufbewahrungsregelungen
  • Fehler bei der Auftragsverarbeitung: Unzureichende Umsetzung der Anforderungen aus Art. 28 DSGVO

Anordnungen der Aufsichtsbehörde und weiteres Vorgehen der Unternehmen

Neben den Bußgeldern hat die Aufsichtsbehörde den Unternehmen aufgegeben, die beanstandeten Datenverarbeitungen, sofern noch nicht geschehen, einzustellen und die Vorgaben zur Datenaufbewahrung einzuhalten.

Die Poste Italiane S.p.A. kritisierte die Entscheidung sowohl inhaltlich als auch verfahrensrechtlich und sieht diese als fehlerhaft an. Das Unternehmen verweist unter anderem auf eine frühere Entscheidung des Verwaltungsgerichts Latium, in der im Zusammenhang mit demselben Betrugsbekämpfungssystem die Rechtmäßigkeit des Vorgehens bestätigt und keine unlautere Geschäftspraxis festgestellt wurde.

Das Unternehmen kündigte an, gegen die Entscheidung vor dem zuständigen Gericht in Rom vorzugehen.

Rechtlicher Hintergrund: PSD2-Pflichten und Grenzen der DSGVO

Betreiber von Banking-Apps sind auf Grundlage der nationalen Umsetzung der Zahlungsdiensterichtlinie PSD2 verpflichtet, sichere Zahlungsprozesse zu gewährleisten und wirksame Maßnahmen zur Betrugsprävention umzusetzen. Als Richtlinie bedarf die PSD2 der nationalen Umsetzung und gilt nicht unmittelbar; die konkreten Pflichten ergeben sich aus den jeweiligen nationalen Gesetzen. Soweit eine gesetzliche Verpflichtung besteht, kann die dafür erforderliche Datenverarbeitung grundsätzlich auf Art. 6 Abs. 1 lit. c DSGVO gestützt werden.

Das praktische Problem liegt jedoch regelmäßig nicht in der Rechtsgrundlage, sondern in der konkreten Ausgestaltung der Maßnahmen. Die einschlägigen Regelwerke, sowohl im Zahlungsdienste- als auch im Datenschutzrecht, geben häufig keine detaillierten Vorgaben vor, sondern arbeiten mit einem risikobasierten Ansatz.

Unternehmen müssen daher eigenständig bewerten, welche Maßnahmen zur Betrugsprävention erforderlich und zugleich verhältnismäßig sind. Hier entsteht ein zentrales Spannungsfeld: Maßnahmen müssen einerseits wirksam genug sein, um regulatorischen Anforderungen zu genügen, dürfen andererseits aber nicht über das datenschutzrechtlich zulässige Maß hinausgehen.

Da es oft an konkreten Handlungsvorgaben fehlt, führt diese Abwägung in der Praxis zu erheblicher Unsicherheit. Es besteht das Risiko, entweder den regulatorischen Pflichten nicht ausreichend nachzukommen oder durch zu weitgehende Maßnahmen gegen die DSGVO zu verstoßen.

Was das Bußgeld für die Praxis bedeutet

Der Fall unterstreicht die Notwendigkeit, Sicherheitsmaßnahmen sorgfältig zu prüfen und auf das erforderliche Maß zu beschränken. Unternehmen sollten insbesondere hinterfragen, ob die gewählten Maßnahmen tatsächlich geeignet sind, den verfolgten Zweck zu erreichen, und ob sie zur Zielerreichung im Sinne der DSGVO erforderlich sind oder weniger eingriffsintensive Alternativen zur Verfügung stehen.

Gleichzeitig zeigt die Entscheidung, dass die erforderliche Abwägung in der Praxis anspruchsvoll bleibt. Trotz bestehender rechtlicher Rahmenbedingungen besteht häufig Unsicherheit bei der Frage, welche Maßnahmen als angemessen und verhältnismäßig gelten.

Vermehrte Beschwerden zu einem bestimmten Verarbeitungsprozess können ein deutliches Indiz für strukturelle Defizite sein. Unternehmen sollten solche Frühwarnsignale ernst nehmen und ihre Prozesse frühzeitig intern überprüfen und insbesondere im Hinblick auf Wahrnehmung und Akzeptanz durch die Nutzer anpassen.

Unabhängig davon sollten sich Unternehmen auch bewusst machen, dass bereits eine aufsichtsbehördliche Untersuchung ausreichen kann, um weitere, bislang nicht erkannte, Schwachstellen offenzulegen. Entsprechend sollten Prozesse nicht nur anlassbezogen, sondern regelmäßig überprüft werden.

Entscheidend bleibt ein risikobasierter und verhältnismäßiger Ansatz: Maßnahmen müssen wirksam sein, dürfen aber nicht über das zur Zielerreichung erforderliche Maß hinausgehen und sind nachvollziehbar zu dokumentieren.

Praxis-Tipps:

  • App-Berechtigungen auf das Notwendige beschränken: Prüfen Sie, welche Gerätedaten für den verfolgten Zweck tatsächlich erforderlich und geeignet sind. Identifizieren Sie weniger eingriffsintensive Alternativen zur Erreichung Ihres Sicherheitsziels und dokumentieren Sie, warum die gewählte Methode erforderlich und angemessen ist.
  • DSFA frühzeitig und umfassend durchführen: Sobald eine Verarbeitung voraussichtlich ein hohes Risiko begründet, etwa durch das Monitoring von Gerätedaten im großen Maßstab, ist eine Datenschutz-Folgenabschätzung zwingend vor Beginn der Verarbeitung durchzuführen und regelmäßig zu aktualisieren.
  • Transparenz gegenüber Nutzern sicherstellen: Nutzer müssen verständlich und vollständig über die Datenverarbeitung und die Verarbeitungszwecke informiert werden.
  • Auftragsverarbeitung rechtskonform ausgestalten: Prüfen Sie, ob Sie mit allen Dienstleistern, die im Rahmen Ihrer App personenbezogene Daten verarbeiten, einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen haben.
  • Löschkonzepte implementieren: Legen Sie für alle im Rahmen von Sicherheitsmaßnahmen erfassten Daten konkrete Speicherfristen fest und stellen Sie deren technische Umsetzung sicher.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Wir verarbeiten Ihre personenbezogenen Daten zur Bearbeitung Ihrer Anfrage. Weitere Informationen finden Sie in unserer Datenschutzinformation .

Inhalt