Die Registrierungsfunktion ist deaktiviert
Login | Passwort vergessen
Password wiederherstellen
Passwort anfordern
Login | Registrieren
Login | Registrieren
Die Kommentarfunktion ist deaktiviert
Datenschutz und Nutzungsbedingungen
Mit Ihrer Registrierung erklären Sie sich mit unseren Allgemeinen Nutzungsbedingungen einverstanden. Weiters bestätigen Sie, dass Sie unsere Datenschutzinformation zur Kenntnis genommen haben.
Für einen wertvollen Diskurs berücksichtigen Sie bitte auch unsere Community-Richtlinien.
Absenden
Fast geschafft!
Um Ihre Registrierung abzuschließen, geben Sie bitte Ihre Telefonnummer im Format +436641234567 ein. Die Telefonnummer dient zur Verifizierung Ihres Nutzerprofils und ist nicht für andere sichtbar.
Bestätigungscode anfordern
Bitte geben Sie hier Ihren Bestätigungscode ein, den Sie per SMS erhalten haben.
Abschicken
Neuen Code anfordern
Zuletzt veröffentlicht
„Addendum-Podcast“ abonnieren:
Spotify
Apple Podcasts
Google Podcasts
Addendum
Zuletzt veröffentlicht
Neuer DSGVO-Verstoß der Post?
18. April 2019 Datenhandel Lesezeit 3 min
Nach Addendum-Recherchen haben tausende Kunden ein DSGVO-Auskunftsbegehren gestellt. Laut Datenschutzexperten könnten diese aber unzureichend beantwortet worden sein.
Dieser Artikel gehört zum Projekt Datenhandel und ist Teil 12 einer 13-teiligen Recherche.

Update 6. Juni:

Aufgrund unserer Berichterstattung hat ein Wiener Anwalt wegen der Datenweitergabe und der unzureichenden Auskunftsbeantwortung eine Klage gegen die Österreichische Post eingebracht.

Die Post sammelt, speichert und verkauft massenweise (teils auch sensible) Daten ihrer Kunden, wie Addendum Anfang des Jahres aufdecken konnte . Unter anderem wurde auch die Parteiaffinität gespeichert. Nach Protesten vieler Kunden und großem medialen Echo kündigte das Unternehmen an, sensible Daten zur politischen Meinung aus ihren Datensätzen zu löschen. Allerdings reduzierte die Post gleichzeitig bei Datenauskünften die Information, an wen Daten verkauft wurden. Datenschutzexperten sehen diesen Umstand als problematisch an.

Die Parteienaffinität wurde von der Post bei rund 2,2 Millionen Österreichern geschätzt und für Wahlwerbung an Parteien und Interessenvertretungen weiterverkauft. Bekannt wurde das durch DSGVO-Auskunftsbegehren, die von Addendum angefordert wurden. Bei diesen Anfragen ging auch hervor, dass die Daten auch an politische Parteien, also etwa SPÖ, ÖVP Niederösterreich, NEOS Wien und die Salzburger Grünen für ihre Wahlwerbung, weiterverkauft wurden.

0
Kommentare
Kommentieren
Ausschnitt aus einer DSGVO-Auskunft noch vor Jänner. Der Teil Datenweitergabe (inklusive Empfänger) fehlt nun in den aktuellen Auskünften.
Bild: Faksimile | Addendum

Nach Veröffentlichung des Addendum-Berichts hat die Datenschutzbehörde ein Verwaltungsstrafverfahren gegen die Post eingeleitet, das derzeit noch am Laufen ist. In Folge wollten seither tausende Kunden wissen, welche Daten die Post über sie speichert und gegebenenfalls an wen sie weiterverkauft wurden. Einige dieser aktuellen Auskünfte wurden uns von Postkunden zugeschickt.

Das Auffällige dabei: Die Post sagt nun nicht mehr, ob und an wen die Kundendaten mit den Zusätzen wie etwa der Parteiaffinität weiterverkauft wurden. Es werden weder spezifische politische Parteien genannt noch andere Unternehmen aufgelistet, wie das wenige Monate zuvor der Fall war.

0
Kommentare
Kommentieren

Ein neuerlicher Verstoß gegen die DSGVO?

Hier könnte die Post erneut gegen die DSGVO verstoßen. Im Artikel 15 ist klar geregelt, dass zumindest „Kategorien von Empfängern“ angegeben werden müssen, an denen die Daten weiterverkauft wurden. Das tut die Post in der DSGVO-Auskunft aktuell aber nicht direkt. Stattdessen verweist sie bezüglich Empfängerkategorien auf ihre Webseite. Dort steht: „Außerdem können unter bestimmten Voraussetzungen Ihre Daten an werbetreibende Unternehmen weitergegeben werden. Das sind zum Beispiel Unternehmen wie Handelsunternehmen oder Vereine, die Konsumenten ansprechen wollen.“

Dass die Post nun die Empfänger nicht mehr spezifisch nennt, ist laut Datenschutzexperte Axel Anderl rechtlich gedeckt. Die Post müsste aber die Empfängerkategorien direkt nennen: „Wichtig ist, dass die Daten eben unmittelbar und einfach zugänglich sind. Und das ist im konkreten Fall eigentlich das Problem, weil im Schreiben selber kommt die Empfängerkategorie nicht vor.“ Außerdem sehe er es problematisch, dass Post-Kunden nun nicht mehr erfahren, ob die Daten verkauft wurden oder nicht.

Post-Anwalt Stefan Prochaska von PHH Rechtsanwälte sagt zu den neuen Vorwürfen: „Es sei zulässig, die Empfängerkategorien so anzugeben, wie die Post es eben tut.“ Gleichzeitig wirft Prochaska Addendum vor, einen Feldzug gegen die Post zu führen: „Ich sage nur, meines Erachtens wird hier von Ihnen eine Kampagne produziert über ein Thema, das kein so großes Thema ist, wie Sie es gerne haben hätten wollen.“ 

0
Kommentare
Kommentieren

Artikel 15 – Auskunftsrecht der betroffenen Person

(1c) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,
Recherche und Umsetzung
Michael Mayrhofer Michael Mayrhofer
Monika Müller Monika Müller
Mehr zum Thema
Wie funktioniert der Datenhandel in Österreich?
13 Artikel im Projekt Datenhandel
Datenaffäre: Post muss doch keinen Schadenersatz zahlen
Datenhandel
Nun ist es fix: Die Post muss für die Speicherung der Parteiaffinität keinen Schadenersatz zahlen. Das Urteil liegt Addendum exklusiv vor.
Post-Daten: Überraschendes Urteil nach Klage auf Schadenersatz
Datenhandel
Anwalt klagt Post wegen Datenhandel auf Schadenersatz – und bekommt recht. Ein Urteil mit potenziell weitreichenden Folgen.
Die Post weiß auch, wo Sie sich bewegen
Datenhandel
Die Datenschutzbehörde hat ein Verwaltungsstrafverfahren gegen die Post eingeleitet, indes sickern weitere Details zum Datenhandel des Unternehmens durch.
Behörde leitet erneut Verfahren gegen die Post ein
Datenhandel
Die Datenschutzbehörde leitet erneut ein Prüfverfahren gegen die Österreichische Post ein.
Datenschutzbehörde: Post verstößt gegen DSGVO
Datenhandel
Die Datenschutzbehörde hat entschieden: Die Post hat gegen die DSGVO verstoßen.
Das, was bleibt:
das Addendum-Archiv

Stand: 15.9.2020

Hier finden Sie das digitale Archiv von drei Jahren unabhängiger Recherchearbeit: mit 120 Themen und mehr als 1.100 Artikeln, 400 Audio-Artikeln, 300 Videos und 30 Podcasts.

Bitte akzeptieren Sie alle Cookies, um das Addendum-Archiv im vollen Umfang zu nutzen. Nach dem 15.9.2020 werden keinerlei Updates mehr durchgeführt.

Das Addendum-Team, September 2020

Einstellungen bearbeiten
Alle akzeptieren
Cookies-Einstellungen
Notwendige Cookies
Unsere notwendigen Cookies sind zur Funktion der Website nötig und können daher nicht deaktiviert werden.

Hier erfahren Sie, welche Cookies wir setzen und wie Sie Cookies aus Ihrem Browser entfernen können.

Unsere Website verwendet sogenannte Cookies. Diese richten keinen Schaden an.
Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Sie ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen. Wenn Sie dies nicht wünschen, so können Sie Ihren Browser so einrichten, dass er Sie über das Setzen von Cookies informiert und Sie dies nur im Einzelfall erlauben.

Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein, so können Sie zum Beispiel Community-Funktionen wie das Lesen und Schreiben von Kommentaren, das Speichern von Artikeln in Ihrer persönlichen Merkliste oder das „Seamless Reading“-Feature nicht verwenden.

Was sind Cookies?
Unsere Website verwendet sogenannte Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an.
Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten, z.B. zur Analyse von (pseudonymisierten) Interaktionen der User mit unserer Website oder dem Abspeichern von Artikeln auf einer persönlichen Merkliste.

Welche Cookie-Arten gibt es?
First-Party-Cookies: Werden ausschließlich von der Domäne des Diensteanbieters versandt und ausgelesen.

Third-Party-Cookies: Werden von Domänen anderer Diensteanbieter versandt und ausgelesen.

Sitzungscookies(session-id): Temporäre Cookies, die beim Schließen des Browsers automatisch gelöscht werden. Sitzungscookies ermöglichen das Wiedererkennen von Bewegungen des Nutzers auf der Website, sodass Informationen erhalten bleiben. Ohne Cookies haben Websites kein „Erinnerungsvermögen“

Permanente Cookies: Dauerhafte Cookies, die manuell zu löschen sind oder sich nach Ablauf einer bestimmten Zeit löschen. Diese Cookies helfen der Website, sich an den Nutzer und seine Einstellungen zu erinnern; z.B. Sprachauswahl, Menüpräferenzen, interne Lesezeichen oder Favoriten.

Wie können Sie Cookies löschen?
Die gängigen Browser ermöglichen es dem Nutzer (zumeist unter der Rubrik „Einstellungen“ oder „Datenschutz“), bereits gespeicherte Cookies zu löschen.

Internet Explorer: http://windows.microsoft.com/de-DE/windows-vista/Block-or-allow-cookies
Firefox: https://support.mozilla.org/de/kb/cookies-erlauben-und-ablehnen
Chrome: http://support.google.com/chrome/bin/answer.py?hl=de&hlrm=en&answer=95647
Safari: https://support.apple.com/de-at/guide/safari/sfri11471/mac
Opera: http://help.opera.com/Windows/10.20/de/cookies.html

Wann darf ein Diensteanbieter, in dem Fall Addendum, Cookies verwenden?
Der Diensteanbieter ist berechtigt, auf dem Endgerät des (informierten) Nutzers Cookies zu speichern, deren alleiniger Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen (Art 5 Abs 3 ePrivacy-RL).

Die Artikel-29-Datenschutzgruppe hat in der Opinion 4/2012 zur Ausnahme vom Cookie-Zustimmungserfordernisse folgende Cookies für zulässig erklärt:
Benutzer-Cookies (Sitzungs-ID) wie First-Party-Cookies, um die Eingaben des Benutzers beim Ausfüllen von Online-Formularen, Warenkörben usw. für die Dauer einer Sitzung zu verfolgen oder dauerhafte Cookies, die in einigen Fällen auf einige Stunden begrenzt sind
Authentifizierungs-Cookies, um den Benutzer nach der Anmeldung für die Dauer einer Sitzung zu identifizieren

Benutzer-zentrierte Sicherheits-Cookies, die zur Erkennung von Authentifizierungsfehlern für eine begrenzte Dauer verwendet werden

Player-Cookies für Multimedia-Inhalte, die zur Speicherung von technischen Daten zur Wiedergabe von Video- oder Audioinhalten für die Dauer einer Sitzung verwendet werden

Load-Balancing-Cookies für die Dauer der Sitzung
Cookies für die Benutzeroberflächenanpassung, z.B. Einstellungen für Sprache oder Schriftart, für die Dauer einer Sitzung (oder etwas länger)

Social-Plug-in-Cookies zum Teilen von Drittanbietern für eingeloggte Mitglieder eines sozialen Netzwerks.

Darüber hinaus ist eine Einwilligung des Nutzers zur Speicherung von Cookies erforderlich; diese kann auch jederzeit vom User widerrufen werden (siehe oben „Wie können Nutzer Cookies ablehnen“).

Welche Cookies kommen zum Einsatz?

Bezeichnung: CookieConsent
Funktion: Speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domäne.
Speicherdauer: 1 Jahr

Bezeichnung: __cfduid
Funktion: Cloudflare-Ray-ID. Addendum verwendet Cloudflare als Cachingprovider. Dieses Cookie ist notwendig damit Cloudflare Gefahren identifizieren kann. Verwendet vom Content-Netzwerk Cloudflare, um vertrauenswürdigen Web-Traffic zu identifizieren.
Speicherdauer: 1 Jahr

Bezeichnung: __stripe_mid
Funktion: Dieser Cookie ist notwendig, um Kreditkartentransaktionen auf der Webseite durchzuführen und wird nur im Webshop im Paymentprozess gesetzt. Der Dienst wird von Stripe.com bereitgestellt, das Online-Transaktionen ermöglicht, ohne dass Kreditkarteninformationen gespeichert werden.
Speicherdauer: 1 Jahr

Bezeichnung: __stripe _sid
Funktion: Dieser Cookie ist notwendig, um Kreditkartentransaktionen auf der Webseite durchzuführen und wird nur im Webshop im Paymentprozess gesetzt. Der Dienst wird von Stripe.com bereitgestellt, das Online-Transaktionen ermöglicht, ohne dass Kreditkarteninformationen gespeichert werden.
Speicherdauer: 1 Tag

Bezeichnung: https://q.stripe.com/
Funktion: Dieser Cookie ist notwendig, um Kreditkartentransaktionen auf der Webseite durchzuführen und wird nur im Webshop im Paymentprozess gesetzt. Der Dienst wird von Stripe.com bereitgestellt, das Online-Transaktionen ermöglicht, ohne dass Kreditkarteninformationen gespeichert werden.
Speicherdauer: Session

Bezeichnung: m
Funktion: Dieser Cookie von stripe.com bestimmt das Gerät, mit dem auf die Webseite zugegriffen wird und wird nur im Webshop im Paymentprozess gesetzt. Dadurch kann die Webseite entsprechend formatiert werden.
Speicherdauer: 2 Jahre

Bezeichnung: _ga
Funktion: Google Analytics Identifier-Cookie. Notwendig für den Einsatz von Google Analytics. Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.
Speicherdauer: 2 Jahre

Bezeichnung: _gat
Funktion: Notwendig für den Einsatz von Google Analytics. Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken
Speicherdauer: 1 Tag

Bezeichnung: _gid
Funktion: Google ID des Users. Notwendig für den Einsatz von Google Analytics. Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.
Speicherdauer: 1 Tag

Bezeichnung: G_ENABLED_IDPS
Funktion: Wird verwendet um die Anmeldung via Google Funktionalität der Community zu ermöglichen. Verwendet für die sichere Anmeldung auf der Website mit einem Google-Konto.
Speicherdauer: Persistent

Bezeichnung: ads/ga-audiences
Funktion: Wird von Google AdWords verwendet, um Besucher erneut einzubinden, die basierend auf dem Online-Verhalten des Besuchers auf verschiedenen Websites zu Kunden wechseln können.
Speicherdauer: Session

Bezeichnung: NID
Funktion: Anbieter google.com. Registriert eine eindeutige ID, die das Gerät eines wiederkehrenden Benutzers identifiziert. Die ID wird für gezielte Werbung genutzt.
Speicherdauer: 6 Monate

Bezeichnung: v2/tracker
Funktion: Anbieter brightcove.com. Registriert eine eindeutige ID, die das Gerät eines wiederkehrenden Benutzers identifiziert. Die ID wird für gezielte Werbung genutzt. Wird im Zusammenhang mit Videowerbung verwendet. Der Cookie begrenzt die Anzahl der Besuche eines Besuchers mit demselben Werbeinhalt. Der Cookie wird auch verwendet, um die Relevanz der Videowerbung für den spezifischen Besucher sicherzustellen.
Speicherdauer: Session

Mehr über die externen Empfänger von Daten und die Rahmenbedingungen der Datenverarbeitung können Sie in unserer Datenschutzerklärung nachlesen: https://www.addendum.org/datenschutz/

Einstellungen speichern
Alle akzeptieren
Die Redaktion von Addendum hat mit 15. September 2020 ihren Betrieb eingestellt. Zu diesem Zeitpunkt wurde auch diese Website letztmalig aktualisiert. Hier finden Sie das vollständige Archiv unserer Rechercheprojekte.
Wir bitten um Ihr Verständnis, dass manche Funktionen auf manchen Endgeräten nicht mehr verfügbar sind.

Das Addendum-Team, September 2020