Diese Ausführungen des Unternehmens konnte die italienische Datenschutzbehörde nicht überzeugen und verhängte ein Bußgeld in Höhe von 8000 €. Die Aufsichtsbehörde sah in dem Vorgehen des Unternehmens mehrere Datenschutzverstöße und merkte gerade die fehlende Reaktion des Unternehmens auf die Aufforderungen des Beschwerdeführers als besonders kritisch an. Da das Unternehmen nicht innerhalb der gem. Art. 12 Abs. 3 DSGVO vorgesehenen Frist von maximal 30 Tagen geantwortet hat und zudem keine zufriedenstellende Begründung zur Verfügung stellte, wurde ein Verstoß gegen Art. 12, 15 und 17 DSGVO angenommen. Gerade hinsichtlich des Rechts auf Auskunft muss ein Unternehmen innerhalb der 30-Tages Frist dem Betroffenen zumindest Informationen über die Gründe der Ablehnung des Auskunftsantrages zukommen lassen. Darüber hinaus stellte die Behörde mehrere weitere Verstöße fest. Der ehemalige Mitarbeiter wurde nicht darüber informiert, dass sein Postfach weiter genutzt wurde. Damit sah die Behörde den Grundsatz der Transparenz und Fairness gemäß Art. 5 Abs. 1 lit. a DSGVO verletzt.
Zudem lagen Verstöße gegen die Grundsätze der Zweckbindung, der Datenminimierung und der Speicherbegrenzung vor. Die Behörde stellte klar, dass der Zugriff auf sämtlichen eingehenden Nachrichten eine Verarbeitung personenbezogener Daten darstellt – unabhängig davon, ob es sich um private oder geschäftliche Inhalte handelt. Die Datenverarbeitung betrifft dabei nicht nur die Angabe des Nachnamens, wie von dem Unternehmen angeführt, sondern der allgemeine Zugriff auf alle sich dort befindlichen und eingehenden Nachrichten stellt nach der Auffassung der Aufsichtsbehörde bereits eine Verarbeitung personenbezogener Daten dar.
Die genannten Verstöße brachte die italienische Aufsichtsbehörde dazu, ein Bußgeld in der Höhe von 8000 € zu verhängen.
Die Entscheidung im Detail ist abrufbar unter: GDPRhub-italienischer Fall