Was im Strafbescheid der Datenschutzbehörde steht: Die Post hat nicht nur eine Verwaltungsstrafe von 18 Millionen Euro erhalten, sondern muss zusätzlich auch für 1,8 Millionen Euro Verfahrenskosten aufkommen. Das entstammt einer Regelung des Verwaltungsstrafgesetzes. Laut diesem sind die jeweiligen Verfahrenskosten mit jeweils 10 Prozent der verhängten Strafe zu dotieren.
Die Post müsste also bei einem rechtskräftigen Urteil insgesamt 19,8 Millionen Euro zahlen. Auf Nachfrage bei der Post, warum die Verfahrenskosten von 1,8 Millionen Euro in ihrer Aussendung nirgendwo erwähnt werden, heißt es: „Es ist korrekt, dass wir in unserer Aussendung ,nur‘ die verhängte Strafe ohne Verfahrenskosten angegeben haben.“
Die Datenschutzbehörde hat das Verwaltungsstrafverfahren gegen die Post nun abgeschlossen und das Unternehmen zu einer Strafe in der Höhe von 18 Millionen Euro verurteilt, wie die Behörde in einer Aussendung mitteilte. In der Begründung wird einerseits auf die illegale Verarbeitung der Parteiaffinitäten verwiesen und andererseits die nicht legale Weiterverarbeitung der Daten über Paketfrequenz und der Häufigkeit von Umzügen erwähnt. Das Straferkenntnis ist nicht rechtskräftig. Die Post hat angekündigt, gegen den Bescheid Berufung einzulegen.
Der ursprüngliche Artikel vom 13. März 2019:
Die Datenschutzbehörde führt jetzt auch ein Verwaltungsstrafverfahren gegen die Post, bestätigt ein Anwalt des Unternehmens. Grundlage dafür sind die festgestellten Verstöße beim Prüfverfahren, das im Jänner eingeleitet wurde. Konkret geht es um die Speicherung der Parteiaffinität von rund 2,2 Millionen Österreicher durch die Post, die dann für Wahlwerbung an Parteien weiterverkauft wurden.
Mitte Februar hat die Behörde festgestellt, dass die Daten von Millionen Österreichern zur „Parteiaffinität“ nicht von der Post hätten gespeichert werden dürfen. Im Strafverfahren wird jetzt über eine mögliche Strafe gegen die Post entschieden. Dabei gehe es nicht darum, eine Rechtsverletzung zu beseitigen, sondern ein rechtswidriges Verhalten in der Vergangenheit zu sanktionieren, erklärte Matthias Schmidl, stellvertretender Leiter der Datenschutzbehörde, bereits im Februar.
Die Ende Mai 2018 in Kraft getretene DSGVO ermöglicht der Behörde die Verhängung von empfindlichen Geldstrafen. Der mögliche Strafrahmen eines schweren Verstoßes umfasst seither bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes – das wären bei der Post also maximal rund 77 Millionen Euro (basierend auf dem Jahresumsatz 2017). Die höchste Geldstrafe liegt in Österreich aktuell bei 4.800 Euro. Der Post-Anwalt betonte: „Aus heutiger Sicht sehe ich kein Risiko für die Post.“ Generaldirektor Georg Pölzl sagte der APA am Dienstag, dass man sich im „Beantwortungsprozess“ befinde.
Während die Post sich in den kommenden Monaten also gegenüber der Datenschutzbehörde im Rahmen des Strafverfahrens rechtfertigen muss, hat Addendum weitere Details zu der datenschutzrechtlich bedenklichen Lösung „Offline-Retargeting“ erfahren. „Das war ein neues, innovatives Produkt auf Basis legitimierter Daten. Es war ein Test, den wir jetzt einmal eingestellt haben. Das Produkt bieten wir – bis die Rechtslage geklärt ist – so nicht mehr an“, sagte Post-Generaldirektor Georg Pölzl im Interview mit dem Wirtschaftsmagazin Trend am 1. März. Gegenüber Addendum betonte das Unternehmen mehrmals, dass das Offline-Retargeting DSGVO-konform sei, die Datenschutzbehörde leitete diesbezüglich jedoch im Februar ein weiteres Prüfverfahren gegen den Adresshändler ein. Ein Sprecher bestätigt Addendum, dass die Werbelösung nach einer mehrwöchigen „Vertriebspause“ eingestellt wurde.
Addendum liegt jetzt eine weitere Verkaufsunterlage vor, auf dem das Werbeangebot noch einmal im Detail erklärt ist. Zur Erinnerung: Die Post sagte uns im Jänner, dass es keine Produktpräsentationen dazu gäbe, wenige Wochen später widerlegte Addendum diese Aussage mit der Veröffentlichung eines einseitigen Verkaufsblatts. Die neue Marketingunterlage umfasst zwölf Seiten, auf denen die Vermarktung des Surfverhaltens mit personenbezogenen Daten genauer erklärt wird.
In der detaillierten Präsentation, die im Dezember 2018 potenziellen Kunden gezeigt wurde, geht die Post auf die Datenschutzkonformität ein.
Laut dieser Darstellung wird davon ausgegangen, dass die Cookie-Einwilligung als Zustimmung zur Aufhebung der Anonymität durch Matching und Zusammenführung mit den Daten des Adressverlags ausreicht. Das entspricht laut Juristen allerdings nicht der Rechtslage. Alle beteiligten Unternehmer sind der Skizzierung zufolge durch einen Auftragsdatenverarbeitungsvertrag miteinander verbunden, obwohl hier jeder Partner seine eigenen Daten einbringt und daher nicht als Auftragsdatenverarbeiter, sondern als Verantwortlicher anzusehen wäre.
Weder die Post noch die Agentur Twyn Group, für die die Post diese Werbelösung vertreibt, wollten das Adressmatching genau erklären. Bei Zalando, einem Vermarktungspartner von Twyn, fragte Addendum schon vor einigen Wochen mehrmals nach, ob das Offline-Retargeting im Shop eingesetzt wird, wo dafür die Einwilligung der User geholt wird, und warum das Twyn-Cookie nicht in der Datenschutzinformation gelistet ist. Der Shop-Betreiber gab dazu keine Stellungnahme ab.
Noch einmal auf die „Qualitätssicherung“ des Adress-Matchings angesprochen, distanziert sich ein Post-Sprecher: „Unser Beitrag beschränkte sich auf die Prüfung zur Verhinderung unerwünschter Werbezusendungen. Dies erfolgte durch einen Abgleich der von der Twyn gelieferten Adressen gegenüber der Robinsonliste und gegenüber der internen Sperrliste von Personen, die die Datenweitergabe an Dritte untersagt haben. Nach entsprechendem Abgleich wurden die verbleibenden Daten an einen Druckdienstleister im Auftrag unseres Geschäftskunden weitergegeben. Nach erfolgtem Druck nahmen wir die Zustellung des Werbematerials vor.“
Post-Vorstandschef Pölzl betont im zitierten Trend-Interview, dass der Adresshandel durch die Datenaffäre nicht negativ beeinträchtigt wurde. Jedenfalls bieten die Vertriebler weiterhin Produkte an, die die Grenzen des Datenschutzes ausreizen. Addendum liegt eine Verkaufspräsentation von Februar 2019 für standortbasiertes Marketing mit dem Titel „Post Go“ vor. Darin erklärt das Unternehmen, Kunden genau zu lokalisieren, um ihnen relevante Werbebotschaften zu übermitteln.
Für das geobasierte Marketing, das der „Post Go“-Broschüre zufolge seit dem vierten Quartal 2018 im Einsatz ist, hat das Unternehmen bei stationären Handelspartnern mehr als 300 Beacons installiert. Dabei handelt es sich um Bluetooth-Geräte, die sich mit dem Smartphone verbinden und so den Standort erfassen können. Diese Verbindung entsteht über die mobilen Apps „Aktionsfinder“ – die übrigens dem Post-Konzern gehört – und „Mobile Pocket“, einer Anwendung zur Kundenkartenverwaltung. Befindet sich ein Nutzer dieser Apps bei einem Händler, der „Post Go“ nutzt, kann dieser mit Aktionen und Werbebotschaften beschickt werden. Als Beispiele nennt die Post in der Präsentation Bäckereien und Finanzdienstleister. In der Praxis kann das so aussehen: Eine Person befindet sich im Umkreis der Bäckerei und erhält über die App „Aktionsfinder“ eine Push-Nachricht, die je nach Tageszeit variiert: Morgens bekommt der User einen Gutschein für einen Kaffee, mittags für eine Schinkensemmel, nachmittags für eine Jause. Durch diese Werbebotschaft will die Post zum Impulskauf anregen und Nutzer in die Filiale locken.
Der Technologieanbieter Adverserve, den das Unternehmen im Jahr 2017 übernommen hat, soll das standortbasierte Marketing noch treffsicherer machen, heißt es in der aktuellen Produktpräsentation. Durch eine Anbindung zum Adserver – einem Server, über den Online-Werbemittel ausgespielt werden – soll der Standort des Nutzers „um aussagestarke Attribute“ angereichert und „Targeting der User nach Bewerbungsmustern“ ermöglicht werden.
In der Datenschutzinformation der Aktionsfinder-App wird zwar auf die Verarbeitung der Standortdaten für Werbezwecke hingewiesen und auch der Beacons-Lieferant Beaconinside erwähnt, dass die Übermittlung der Werbebotschaften anhand des sogenannten „Geofencing“, also dem Eingrenzen des Standorts durch die Beacon-Verbindung, passiert, geht daraus allerdings nicht hervor. Wie gehen die Adresshändler der Post mit diesen Daten um? Man erhalte lediglich im Falle einer ausgespielten Kampagne Daten über die Frequenzen der Lokalisierungen an einem bestimmten Standort, respektive Ausspielungen am jeweiligen Standort, heißt es in einer Stellungnahme dazu. Die eigene Post-App werde demnach nicht für das Werbeprodukt „Post Go“ verwendet, dort verwende man die Standortdaten der User nur für den Dienst „Sendungsradar“, der Kunden über hinterlegte Pakete informiert.
Elisabeth Oberndorfer (Team Investigative Recherche) 
Michael Mayrhofer (Team Social Media) 
Elisabeth Woditschka (Team Investigative Recherche)
