Post verstößt gegen DSGVO
Die österreichische Post muss 18 Millionen Euro Bußgeld bezahlen. Die Österreichische Datenschutzbehörde hat diese “Verwaltungsstrafe” nach Durchführung eines Verwaltungsstrafverfahrens verhängt. Es geht um den rechtswidrigen Handel mit personenbezogenen Daten mehrerer Millionen Österreicher. Die Österreichische Post AG hat selbst am heutigen Tag die Geldbuße im Zusammenhang mit der Veröffentlichung der Geschäftszahlen öffentlich gemacht. Akzeptieren will sie die Strafe aber nicht. Denn sie hat angekündigt Rechtsmittel einzulegen. Der Datenschutzbehörde zufolge werden der Post mehrere Verstöße gegen die DSGVO vorgeworfen. Das berichtet der ORF.
Was war passiert?
Anfang des Jahres wurde bekannt, dass die Österreichische Post seit einigen Jahren einen schwunghaften Datenhandel betrieb. Dabei wurden personenbezogene Daten weitergegeben. Es ging etwa darum, ob die betroffenen Personen gerne laufen, wie alt sie sind, wie ihre familiäre Situation aussieht oder wie häufig sie Pakete bekommen. Von 2,2 Millionen Österreichern wurde sogar eine Bewertung der “Affinität” zu bestimmten politischen Parteien erstellt und an Dritte verkauft. Die politische Gesinnung ist als besonderes personenbezogenes Datum nach Artikel 9 DSGVO besonders geschützt.
Die Post erklärt dazu, die Daten seien gar nicht unbedingt “tatsächlich zutreffend”, sondern Ableitungen aus anderen Informationen. Es würde sich “bei den Prognosen um statistische Hochrechnungen und nicht um tatsächliche persönliche Daten” handeln. Die Österreichische Datenschutzbehörde hatte nach einer entsprechenden Prüfung des Vorgehens der Post aufgegeben, diese Art der Datenverarbeitung mit sofortiger Wirkung zu unterlassen. Außerdem seien die Daten zu löschen.
Hohes Bußgeld als Ergebnis der Prüfung
Wie der ORF nun berichtet, hält die Datenschutzbehörde es nach mündlicher Verhandlung für erwiesen an, dass die Österreichische Post durch die Datenverarbeitung bzgl. der politischen Affinitäten gegen die DSGVO verstoßen hat. Auch die Weiterverarbeitung von Daten zur konkreten Paketfrequenz und zur Häufigkeit von Umzügen der Betroffenen sei rechtswidrig gewesen.
„Diese Rechtsverletzungen wurden rechtswidrig und schuldhaft begangen, weshalb die Verwaltungsstrafe in oben genannter Höhe angemessen war, um andere bzw. gleichartige Rechtsverletzungen hintanzuhalten“, heißt es in der Mitteilung der Datenschutzbehörde.
Wie gesagt ist die Post mit dieser Ansicht nicht einverstanden, so dass es noch keinen rechtskräftige Entscheidung gibt. Es wird abzuwarten bleiben, wie sich das Verfahren weiter entwickelt und, ob sodann ein Gericht (zuständig ist nach ORF-Angaben wohl das Bundesverwaltungsgericht) zu den in der Praxis wichtigen Fragen Stellung nimmt.
Meine Meinung
Leider fehlen mir Details zu dem Vorgehen der Post und der konkreten Datenverarbeitung im Einzelfall. Nach den Informationen, die über die Österreichischen Medien verbreitet werden, dürfte jedoch der Datenverkauf von personenbezogenen Daten – insbesondere, was die politischen Affinitäten angeht – ohne ausdrückliche Einwilligung der Personen unzulässig sein.
Spannend wird daher zu beobachten sein, wie sich die Post hier argumentativ positioniert und, wie dann rechtskräftig entschieden wird. Ich bleibe jedenfalls an dem Thema dran und werde weiter dazu berichten.
Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man