Addendum hat in einer monatelangen Recherche herausgefunden, dass die Post „Parteiaffinitäten“ von vielen ihrer Kunden berechnet und speichert . Das heißt, Kundendaten wurden mit Präferenzen zu einer möglichen Parteinähe erweitert, die angereicherten Datensätze wurden an wahlwerbende Parteien verkauft. Die Post sprach in einer ersten Stellungnahme davon, dass der Umgang mit der Speicherung laut Gewerbeordnung erlaubt ist. Dennoch kündigte das Unternehmen an, dass man sämtliche parteibezogenen Daten löschen wird.
Ein jetzt abgeschlossenes Prüfungsverfahren der Datenschutzbehörde kommt freilich zu einem anderen Schluss. Nämlich dass bei der Post tatsächlich Verletzungen der DSGVO festgestellt worden sind. Der Post wurde am 12. Februar 2019 ein Bescheid mit der Aufforderung zugestellt, dass mit sofortiger Wirkung die Berechnung und Speicherung der „Parteiaffinitäten“ zu unterlassen ist. Daten zur „Parteiaffinität“ hätte die Post nicht verarbeiten dürfen, teilte die Datenschutzbehörde mit. Gegen den Bescheid hat die Post nun Einspruch erhoben.
[…] Das Prüfverfahren hat hervorgebracht, dass die Post tatsächlich im Rahmen des Gewerbes „Adressverlage und Direktmarketingunternehmen“ mittels statistischer Verfahren u.a. die Parteiaffinitäten von Personen ermittelt.
Die Datenschutzbehörde hat festgestellt, dass diese Daten ohne Einwilligung der betroffenen Personen nicht verarbeitet werden dürfen. Es wurde angeordnet, diese Datenverarbeitung mit sofortiger Wirkung zu unterlassen und die Daten zu löschen, sofern im Einzelfall kein Grund für eine weitere Verarbeitung gegeben ist. […]
Von dieser Regelung gibt es zwei Ausnahmen:
Gegen diesen Bescheid der Datenschutzbehörde hat die Österreichische Post AG allerdings sofort Einspruch erhoben.
Die Datenschutzbehörde arbeitet bei möglichen DSGVO-Vergehen in fünf Schritten. Zunächst (1) braucht es eine Meldung eines möglichen DSGVO-Vergehens bei der Datenschutzbehörde – dabei kann die Datenschutzbehörde auch von sich selbst aus aktiv werden, so wie sie es bei der Österreichischen Post gemacht hat.
Sofern nun diese Meldung über eine DSGVO-Übertretung vorliegt, (2) entscheidet die Datenschutzbehörde, ob überhaupt mit einer weiteren Überprüfung gestartet wird. Verläuft dieser Schritt positiv, wird (3) ein sogenanntes Prüfverfahren eingeleitet.
In diesem Verfahren – auch Verwaltungsverfahren oder Administrativverfahren genannt – wird eine mögliche Übertretung der DSGVO überprüft und analysiert. Im Fall der Österreichischen Post AG verlief dieses Verfahren positiv: Am 12. Feber 2019 wurde der Post ein Bescheid zugestellt, in dem Verletzungen im Zuge der Sammlung und Speicherung der „Parteiaffinitäten“ festgestellt wurden.
„Mit diesem Teil hat die Behörde jetzt die rechtliche Grundlage gelegt. Sie hat festgestellt, dass die Verarbeitung, Speicherung und der Weiterverkauf der Parteiaffinität unzulässig war. Sie hat auch festgestellt, dass es bei der Dokumentation von der Post dazu Mängel gab und insbesondere auch an der Folgeabschätzung. Die Datenschutzbehörde hat aufgetragen hier nachzubessern und hat gleichzeitig auch die weitere Verwendung dieser Daten untersagt und die Löschung beauftragt. Die Entscheidung ist noch nicht rechtskräftig – dagegen ist ein Rechtsmittel möglich. Die Post hat ja angekündigt, ein solche einlegen zu wollen”, erklärt der auf Datenschutz spezialisierte Rechtsanwalt Axel Anderl (DORDA).
Das beklagte Unternehmen – in diesem Fall die Post – hat gegen den Bescheid der Datenschutzbehörde Einspruch erhoben. Dieser Einspruch wird nun innerhalb von vier Wochen überprüft. Wird der Bescheid rechtskräftig vollstreckt, muss die Post die Datensätze löschen.
Gleichzeitig nimmt sich (4) die Datenschutzbehörde zwei Wochen Zeit um die Einleitung eines Verwaltungsstrafverfahren intern zu überprüfen. Verläuft dieser Schritt positiv, wird in einem nachfolgendem Verfahren (5) über ein mögliches Strafmaß entschieden.
„Es gibt mehrere Instanzen. In der ersten Instanz wird entschieden ob etwas rechtswidrig ist und ob eine Strafe verhängt wird. Es ist eher unüblich, dass das nicht sofort geschieht, hat aber bei der Datenschutzbehörde wohl verwaltungsverfahrensrechtliche Gründen: Das Ermittlungsverfahren – ob etwas rechtswidrig ist – wird nach dem AVG (Allgemeinen Verwaltungsgesetz) abgehandelt und die Frage, ob eine Strafe zu verhängen ist nach dem VStG (Verwaltungsstrafgesetz). Das sind zwei unterschiedliche Rechtsgrundlagen. Das macht die Datenschutzbehörde an sich regelmäßig, dass sie hier in zwei Schritten vorgeht. Nämlich zuerst die dringendere Sache: abstellen, wenn etwas abzustellen ist und darüber zu entscheiden. Und dann im zweiten Schritt zu überlegen, ob eine Strafe erforderlich und notwendig ist”, so Anwalt Axel Anderl.
Die Höchststrafe beträgt bis zu vier Prozent vom gesamten weltweiten Jahresumsatz eines Unternehmens. Die bisher in Österreich maximal verhängte Strafe lag bei 4.800 Euro zuzüglich 480 Euro Verfahrenskosten.
Darüber hinaus stellte die Datenschutzbehörde fest, dass die Datenschutz-Folgenabschätzung für diese Datenverarbeitung und der Eintrag in das interne Verzeichnis der Verarbeitungstätigkeiten mangelhaft sind.“
„Das heißt, die Post hat offensichtlich Versäumnisse bei der Grundumsetzung der Datenschutz-Grundverordnung, nämlich bei ihrer eigenen Dokumentation. Und hat sich offensichtlich zu wenig Gedanken über die Risiken einer kritischen Datenverarbeitung gemacht, was die Konsequenzen sein können und ob sie auf dieser Basis die Datenverarbeitung überhaupt und wenn ja mit welchen begleitenden, risikominimierenden Maßnahmen durchführen darf“, beschreibt Rechtsanwalt Axel Anderl die Datenschutz-Folgenabschätzung.
„Das sind die wesentlichen Pflichten, die jedes Unternehmen intern sicherstellen muss. Das ist der große Unterschied zwischen dem alten Datenschutz-Regime und der neuen DSGVO: Nach dem alten Regime hat man eine Meldung an die Behörde gemacht und mitgeteilt, dass und welche Datenverarbeitung vorgenommen werden soll. Die Behörde hat geprüft, ob das rechtmäßig ist und sie in ein Register eingetragen. Diese Vorab-Meldungen gibt es jetzt nur in ganz seltenen Ausnahmefällen. Stattdessen ist das neue System, dass jeder Verantwortliche diese umfassend in einem Verarbeitungsverzeichnis dokumentieren muss, in dem sämtlichepersonenbezogene Daten, die verarbeitet werden, erfasst werden: Woher kommen diese Daten; wofür werden sie verwendet; auf welche Rechtsgrundlage stützt sie sich; wie lange werden die Daten gespeichert. Bei kritischen Datenverarbeitungen muss zusätzlich eine Folgenabschätzung gemacht werden, in der die damit einhergehenden Risiken beleuchtet und minimiert werden.Laienhaft ausgedrückt wird nach der Feststellung, dass mit der Verarbeitung ein Risiko für die Betroffenen einhergeht, genau geprüft, welche Maßnahmen gesetzt werden können, um dieses Risiko zu minimieren, damit – falls sich dieses Risiko verwirklicht – der Schaden möglichst gering ist“, setzt Axel Anderl seine Beschreibung der Datenschutz-Folgenabschätzung fort.
Im Zuge der Post-Recherche fand Addendum weiters heraus, dass gemeinsam mit einem Technologiepartner der Konzern personenbezogene Informationen aus der Online-Nutzung für postalische Werbung vermarktet wurden . Die Post sieht die Verantwortung bei ihrem Partner – und stoppt den Verkauf des Produkts. „Die Datenschutzbehörde prüft innerhalb der kommenden zwei Wochen, ob ein Administrativverfahren (Prüfverfahren) eingeleitet wird”, so Matthias Schmidl von der Datenschutzbehörde.
Markus „Fin“ Hametner 
Michael Mayrhofer 
Dieter Zirnig 
Monika Müller
