Übersicht  
067_02   gelesen
067_04   gelesen

Datenschutzbehörde: Post verstößt gegen DSGVO

Die Datenschutzbehörde hat ihr Prüfverfahren gegen die Post abgeschlossen und Verstöße festgestellt: Daten zur „Parteiaffinität“ hätten nicht verarbeitet werden dürfen. Die Post hat dagegen Einspruch erhoben. Wird dem nicht stattgegeben, könnte es zu einer Verurteilung kommen.

13.02.2019
Artikel zum Anhören

Addendum hat in einer monatelangen Recherche herausgefunden, dass die Post „Parteiaffinitäten“ von vielen ihrer Kunden berechnet und speichert01. Das heißt, Kundendaten wurden mit Präferenzen zu einer möglichen Parteinähe erweitert, die angereicherten Datensätze wurden an wahlwerbende Parteien verkauft. Die Post sprach in einer ersten Stellungnahme davon, dass der Umgang mit der Speicherung laut Gewerbeordnung erlaubt ist. Dennoch kündigte das Unternehmen an, dass man sämtliche parteibezogenen Daten löschen wird.

Entscheidung der Datenschutzbehörde: Speicherung der Parteiaffinität nicht zulässig

Ein jetzt abgeschlossenes Prüfungsverfahren der Datenschutzbehörde kommt freilich zu einem anderen Schluss. Nämlich dass bei der Post tatsächlich Verletzungen der DSGVO festgestellt worden sind. Der Post wurde am 12. Februar 2019 ein Bescheid mit der Aufforderung zugestellt, dass mit sofortiger Wirkung die Berechnung und Speicherung der „Parteiaffinitäten“ zu unterlassen ist. Daten zur „Parteiaffinität“ hätte die Post nicht verarbeiten dürfen, teilte die Datenschutzbehörde mit. Gegen den Bescheid hat die Post nun Einspruch erhoben.

icon-bubble

Top Kommentar

Datenschutzbehörde beendet Prüfverfahren gegen Post und stellt Rechtsverletzungen fest

[…] Das Prüfverfahren hat hervorgebracht, dass die Post tatsächlich im Rahmen des Gewerbes „Adressverlage und Direktmarketingunternehmen“ mittels statistischer Verfahren u.a. die Parteiaffinitäten von Personen ermittelt.

Die Datenschutzbehörde hat festgestellt, dass diese Daten ohne Einwilligung der betroffenen Personen nicht verarbeitet werden dürfen. Es wurde angeordnet, diese Datenverarbeitung mit sofortiger Wirkung zu unterlassen und die Daten zu löschen, sofern im Einzelfall kein Grund für eine weitere Verarbeitung gegeben ist. […]

Quelle: https://www.ots.at/presseaussendung/OTS_20190212_OTS0174/datenschutzbehoerde-beendet-pruefverfahren-gegen-post-und-stellt-rechtsverletzungen-fest

Von dieser Regelung gibt es zwei Ausnahmen:

  • Bestehenden DSGVO-Auskunftsbegehren muss die Post die „Parteiaffinitäten“ – sofern sie zur jeweiligen Person berechnet wurden – inkludieren.
  • Sofern Kunden die Einwilligung zur Berechnung und Speicherung der Parteiaffinität der Post gegeben haben, darf der Datensatz auch weiterhin verwendet werden.

Gegen diesen Bescheid der Datenschutzbehörde hat die Österreichische Post AG allerdings sofort Einspruch erhoben.

icon-bubble

Top Kommentar

Wie geht es nun weiter?

Die Datenschutzbehörde arbeitet bei möglichen DSGVO-Vergehen in fünf Schritten. Zunächst (1) braucht es eine Meldung eines möglichen DSGVO-Vergehens bei der Datenschutzbehörde – dabei kann die Datenschutzbehörde auch von sich selbst aus aktiv werden, so wie sie es bei der Österreichischen Post gemacht hat.

Sofern nun diese Meldung über eine DSGVO-Übertretung vorliegt, (2) entscheidet die Datenschutzbehörde, ob überhaupt mit einer weiteren Überprüfung gestartet wird. Verläuft dieser Schritt positiv, wird (3) ein sogenanntes Prüfverfahren eingeleitet.

In diesem Verfahren – auch Verwaltungsverfahren oder Administrativverfahren genannt – wird eine mögliche Übertretung der DSGVO überprüft und analysiert. Im Fall der Österreichischen Post AG verlief dieses Verfahren positiv: Am 12. Feber 2019 wurde der Post ein Bescheid zugestellt, in dem Verletzungen im Zuge der Sammlung und Speicherung der „Parteiaffinitäten“ festgestellt wurden.

„Mit diesem Teil hat die Behörde jetzt die rechtliche Grundlage gelegt. Sie hat festgestellt, dass die Verarbeitung, Speicherung und der Weiterverkauf der Parteiaffinität unzulässig war. Sie hat auch festgestellt, dass es bei der Dokumentation von der Post dazu Mängel gab und insbesondere auch an der Folgeabschätzung. Die Datenschutzbehörde hat aufgetragen hier nachzubessern und hat gleichzeitig auch die weitere Verwendung dieser Daten untersagt und die Löschung beauftragt. Die Entscheidung ist noch nicht rechtskräftig – dagegen ist ein Rechtsmittel möglich. Die Post hat ja angekündigt, ein solche einlegen zu wollen”, erklärt der auf Datenschutz spezialisierte Rechtsanwalt Axel Anderl (DORDA).

Das beklagte Unternehmen – in diesem Fall die Post – hat gegen den Bescheid der Datenschutzbehörde Einspruch erhoben. Dieser Einspruch wird nun innerhalb von vier Wochen überprüft. Wird der Bescheid rechtskräftig vollstreckt, muss die Post die Datensätze löschen.

Gleichzeitig nimmt sich (4) die Datenschutzbehörde zwei Wochen Zeit um die Einleitung eines Verwaltungsstrafverfahren intern zu überprüfen. Verläuft dieser Schritt positiv, wird in einem nachfolgendem Verfahren (5) über ein mögliches Strafmaß entschieden.

„Es gibt mehrere Instanzen. In der ersten Instanz wird entschieden ob etwas rechtswidrig ist und ob eine Strafe verhängt wird. Es ist eher unüblich, dass das nicht sofort geschieht, hat aber bei der Datenschutzbehörde wohl verwaltungsverfahrensrechtliche Gründen: Das Ermittlungsverfahren – ob etwas rechtswidrig ist – wird nach dem AVG (Allgemeinen Verwaltungsgesetz) abgehandelt und die Frage, ob eine Strafe zu verhängen ist nach dem VStG (Verwaltungsstrafgesetz). Das sind zwei unterschiedliche Rechtsgrundlagen. Das macht die Datenschutzbehörde an sich regelmäßig, dass sie hier in zwei Schritten vorgeht. Nämlich zuerst die dringendere Sache: abstellen, wenn etwas abzustellen ist und darüber zu entscheiden. Und dann im zweiten Schritt zu überlegen, ob eine Strafe erforderlich und notwendig ist”, so Anwalt Axel Anderl.

Die Höchststrafe beträgt bis zu vier Prozent vom gesamten weltweiten Jahresumsatz eines Unternehmens. Die bisher in Österreich maximal verhängte Strafe lag bei 4.800 Euro zuzüglich 480 Euro Verfahrenskosten.

icon-bubble

Top Kommentar

Post: Auch Mangel bei der Datenschutz-Folgenabschätzung festgestellt

Darüber hinaus stellte die Datenschutzbehörde fest, dass die Datenschutz-Folgenabschätzung für diese Datenverarbeitung und der Eintrag in das interne Verzeichnis der Verarbeitungstätigkeiten mangelhaft sind.“

„Das heißt, die Post hat offensichtlich Versäumnisse bei der Grundumsetzung der Datenschutz-Grundverordnung, nämlich bei ihrer eigenen Dokumentation. Und hat sich offensichtlich zu wenig Gedanken über die Risiken einer kritischen Datenverarbeitung gemacht, was die Konsequenzen sein können und ob sie auf dieser Basis die Datenverarbeitung überhaupt und wenn ja mit welchen begleitenden, risikominimierenden Maßnahmen durchführen darf“, beschreibt Rechtsanwalt Axel Anderl die Datenschutz-Folgenabschätzung.

icon-bubble

Top Kommentar

„Das sind die wesentlichen Pflichten, die jedes Unternehmen intern sicherstellen muss. Das ist der große Unterschied zwischen dem alten Datenschutz-Regime und der neuen DSGVO: Nach dem alten Regime hat man eine Meldung an die Behörde gemacht und mitgeteilt, dass und welche Datenverarbeitung vorgenommen werden soll. Die Behörde hat geprüft, ob das rechtmäßig ist und sie in ein Register eingetragen. Diese Vorab-Meldungen gibt es jetzt nur in ganz seltenen Ausnahmefällen. Stattdessen ist das neue System, dass jeder Verantwortliche diese umfassend in einem Verarbeitungsverzeichnis dokumentieren muss, in dem sämtlichepersonenbezogene Daten, die verarbeitet werden, erfasst werden: Woher kommen diese Daten; wofür werden sie verwendet; auf welche Rechtsgrundlage stützt sie sich; wie lange werden die Daten gespeichert. Bei kritischen Datenverarbeitungen muss zusätzlich eine Folgenabschätzung gemacht werden, in der die damit einhergehenden Risiken beleuchtet und minimiert werden.Laienhaft ausgedrückt wird nach der Feststellung, dass mit der Verarbeitung ein Risiko für die Betroffenen einhergeht, genau geprüft, welche Maßnahmen gesetzt werden können, um dieses Risiko zu minimieren, damit – falls sich dieses Risiko verwirklicht – der Schaden möglichst gering ist“, setzt Axel Anderl seine Beschreibung der Datenschutz-Folgenabschätzung fort.

Weiterer Fall: Vermarktung postalischer Werbung mit der Twyn-Group

Im Zuge der Post-Recherche fand Addendum weiters heraus, dass gemeinsam mit einem Technologiepartner der Konzern personenbezogene Informationen aus der Online-Nutzung für postalische Werbung vermarktet wurden08. Die Post sieht die Verantwortung bei ihrem Partner – und stoppt den Verkauf des Produkts. „Die Datenschutzbehörde prüft innerhalb der kommenden zwei Wochen, ob ein Administrativverfahren (Prüfverfahren) eingeleitet wird”, so Matthias Schmidl von der Datenschutzbehörde. 

icon-bubble

Top Kommentar

13.02.2019

Das Rechercheteam

Markus „Fin“ Hametner

Markus Hametner hat Informatik studiert, baut seit 2011 Brücken zwischen Technologie und Journalismus und beschäftigt sich seit 2014 als Datenjournalist mit internationalen Datenrecherchen und interaktiven Visualisierungsformen. In seiner Freizeit betreibt er als Mitgründer des Forum Informationsfreiheit die Plattform FragDenStaat.at und trägt erfolgreich Rechtsstreite mit Behörden aus, die Auskünfte verweigern.

Michael Mayrhofer

Michael Mayrhofer hat an der Universität Wien Politikwissenschaft und Volkswirtschaftslehre studiert. Während verschiedener Praktika im Journalismus bei Puls4 und ORF entdeckte er seine Liebe zum Social-Media-Journalismus. Die Menschen mit Information zu verführen – das ist sein Motto. Nebenbei war er auch Teil des Interview-Podcasts „Was soll das?“. Zuletzt war er freier Mitarbeiter im Social-Media-Team der Zeit im Bild.

Dieter Zirnig

Hat in den letzten zehn Jahren mit neuwal.com Politik und Politikverständnis in neuen digitalen Formaten innovativ aufbereitet, um sie Bürgern näherzubringen. Er ist Absolvent der FH Hagenberg (Medientechnik und -design), studierte Organisationsentwicklung, war bei Hewlett Packard und Electrolux in digitalen Funktionen tätig und brachte als Selbstständiger Unternehmen ins Digitale Zeitalter. Im Jahr 2013 erhielt er den Dr.-Karl-Renner-Publizistikpreis 2013 (Online), im Jahr 2014 den Medienzukunftspreis.

Monika Müller

Monika Müller hat in den vergangenen vier Jahren die Nachrichtensendung 24 Stunden Wien auf W24 moderiert und zuvor sechs Jahre lang ein Sendeformat für die Stadt Wien geleitet und produziert. In ihrer selbstständigen Arbeit war und ist sie als Trainerin tätig und hat im Team eines international anerkannten und Latin-Grammy-nominierten Musikers gearbeitet.

x

Folgende Artikel gehören zum Projekt 067 Datenhandel

067_01 Gelesen

Wenn die Post Partei ergreift

067_02 Gelesen

Der Weg der Daten

Daten
067_03 Gelesen

Ist die Post das österreichische Cambridge Analytica?

067_04 Gelesen

Die Post und ihre Datenprofile

mit Video
067_05 Gelesen

Datenschutzbehörde leitet Verfahren gegen die Post ein

067_06 Gelesen

Nach Addendum-Bericht: Post löscht alle Informationen zu Parteiaffinitäten

067_07 Gelesen

Post: Die Datenaffäre weitet sich aus

067_08 Gelesen

Die Post bringt nicht allen die Wahrheit

067_09 Gelesen

Datenschutzbehörde: Post verstößt gegen DSGVO

067_10 Gelesen

Behörde leitet erneut Verfahren gegen die Post ein

Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Addendum ist nicht werbefinanziert und nutzt Cookies, um mehr über das Nutzerverhalten zu erfahren und so das Angebot zu verbessern.
Hier erfahren Sie mehr über Cookies und Datenschutz bei Addendum.

QVV Siegel

Zum Newsletter anmelden

Jede Woche informieren wir Sie über unser aktuelles Projekt mit tiefgründigen Recherchen.

Zum Newsletter angemeldet

Bitte bestätigen Sie die Newsletter-Anmeldung in Ihrer Mailbox.