loading...
Neuer DSGVO-Verstoß der Post?
18. April 2019 Datenhandel Lesezeit 3 min
Nach Addendum-Recherchen haben tausende Kunden ein DSGVO-Auskunftsbegehren gestellt. Laut Datenschutzexperten könnten diese aber unzureichend beantwortet worden sein.

Update 6. Juni:

Aufgrund unserer Berichterstattung hat ein Wiener Anwalt wegen der Datenweitergabe und der unzureichenden Auskunftsbeantwortung eine Klage gegen die Österreichische Post eingebracht.

Die Post sammelt, speichert und verkauft massenweise (teils auch sensible) Daten ihrer Kunden, wie Addendum Anfang des Jahres aufdecken konnte . Unter anderem wurde auch die Parteiaffinität gespeichert. Nach Protesten vieler Kunden und großem medialen Echo kündigte das Unternehmen an, sensible Daten zur politischen Meinung aus ihren Datensätzen zu löschen. Allerdings reduzierte die Post gleichzeitig bei Datenauskünften die Information, an wen Daten verkauft wurden. Datenschutzexperten sehen diesen Umstand als problematisch an.

Die Parteienaffinität wurde von der Post bei rund 2,2 Millionen Österreichern geschätzt und für Wahlwerbung an Parteien und Interessenvertretungen weiterverkauft. Bekannt wurde das durch DSGVO-Auskunftsbegehren, die von Addendum angefordert wurden. Bei diesen Anfragen ging auch hervor, dass die Daten auch an politische Parteien, also etwa SPÖ, ÖVP Niederösterreich, NEOS Wien und die Salzburger Grünen für ihre Wahlwerbung, weiterverkauft wurden.

0
Kommentare
Kommentieren
Ausschnitt aus einer DSGVO-Auskunft noch vor Jänner. Der Teil Datenweitergabe (inklusive Empfänger) fehlt nun in den aktuellen Auskünften.

Nach Veröffentlichung des Addendum-Berichts hat die Datenschutzbehörde ein Verwaltungsstrafverfahren gegen die Post eingeleitet, das derzeit noch am Laufen ist. In Folge wollten seither tausende Kunden wissen, welche Daten die Post über sie speichert und gegebenenfalls an wen sie weiterverkauft wurden. Einige dieser aktuellen Auskünfte wurden uns von Postkunden zugeschickt.

Das Auffällige dabei: Die Post sagt nun nicht mehr, ob und an wen die Kundendaten mit den Zusätzen wie etwa der Parteiaffinität weiterverkauft wurden. Es werden weder spezifische politische Parteien genannt noch andere Unternehmen aufgelistet, wie das wenige Monate zuvor der Fall war.

0
Kommentare
Kommentieren

Ein neuerlicher Verstoß gegen die DSGVO?

Hier könnte die Post erneut gegen die DSGVO verstoßen. Im Artikel 15 ist klar geregelt, dass zumindest „Kategorien von Empfängern“ angegeben werden müssen, an denen die Daten weiterverkauft wurden. Das tut die Post in der DSGVO-Auskunft aktuell aber nicht direkt. Stattdessen verweist sie bezüglich Empfängerkategorien auf ihre Webseite. Dort steht: „Außerdem können unter bestimmten Voraussetzungen Ihre Daten an werbetreibende Unternehmen weitergegeben werden. Das sind zum Beispiel Unternehmen wie Handelsunternehmen oder Vereine, die Konsumenten ansprechen wollen.“

Dass die Post nun die Empfänger nicht mehr spezifisch nennt, ist laut Datenschutzexperte Axel Anderl rechtlich gedeckt. Die Post müsste aber die Empfängerkategorien direkt nennen: „Wichtig ist, dass die Daten eben unmittelbar und einfach zugänglich sind. Und das ist im konkreten Fall eigentlich das Problem, weil im Schreiben selber kommt die Empfängerkategorie nicht vor.“ Außerdem sehe er es problematisch, dass Post-Kunden nun nicht mehr erfahren, ob die Daten verkauft wurden oder nicht.

Post-Anwalt Stefan Prochaska von PHH Rechtsanwälte sagt zu den neuen Vorwürfen: „Es sei zulässig, die Empfängerkategorien so anzugeben, wie die Post es eben tut.“ Gleichzeitig wirft Prochaska Addendum vor, einen Feldzug gegen die Post zu führen: „Ich sage nur, meines Erachtens wird hier von Ihnen eine Kampagne produziert über ein Thema, das kein so großes Thema ist, wie Sie es gerne haben hätten wollen.“ 

0
Kommentare
Kommentieren

Artikel 15 – Auskunftsrecht der betroffenen Person

(1c) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,

loading...