8 Millionen Euro Bußgeld für die Österreichische Post

Die Österreichische Datenschutzbehörde hat erstmals ein zweistelliges Millionen-Bußgeld unter Anwendung der Datenschutz-Grundverordnung (DSGVO) verhängt. Getroffen hat die 18 Millionen Euro-Strafe die Österreichische Post AG. Nach Ansicht der Datenschützer hatte das Unternehmen unrechtmäßig Informationen zur Parteiaffinität von rund 2,2 Millionen Menschen in Österreich verarbeitet und weitergegeben.

Wie kam es zu dem Bußgeld?

Das österreichische Online-Magazin Addendum initiierte 30 Auskunftsbegehren bei der Österreichischen Post gemäß Art. 15 DSGVO. In den von der Post daraufhin zur Verfügung gestellten Datenkopien wurde deutlich, dass das Unternehmen weit mehr als nur die Adressen von Österreichern speichert. Laut Addendum enthielten die Datenkopien Informationen zu mehr als 50 Merkmalen der betroffenen Personen. Danach speichert die Österreichische Post beispielsweise Daten zu den Merkmalen „Sportaffin“, „Bioaffin“, „Stellung im Haushalt“, „Paketfrequenz“, „Umzugsaffin“ u.v.m. Weitaus brisanter jedoch: Die Post verarbeitet auch Informationen zur Parteiaffinität von Personen, ohne dass diese hierüber informiert wurden, geschweige denn ihre Einwilligung dazu gegeben haben. Aufgrund der Rechercheergebnisse von Addendum leitete die österreichische Datenschutzbehörde ein Prüfverfahren gegen die Post ein und erließ das Bußgeld.

Was macht die Post mit all diesen Daten?

Die Post verarbeitet diese Daten nicht nur für interne, statistische Zwecke. Vielmehr verkauft sie die sensiblen Datensätze ihrer Kunden an Dritte weiter. Aus den Auskünften der Post geht hervor, dass zum Beispiel die IKEA Austria GmbH Daten gekauft hatte.

Doch nicht nur die Wirtschaft zeigt Interesse an den Daten. Im Zuge der Recherchen wurde bekannt, dass die SPÖ – die sozialdemokratische Partei Österreichs – von der Post Daten von rund drei Millionen Österreichern für ein Jahr geleast hatte. Die Daten, insbesondere Informationen zur Parteiaffinität, wurden für den zielgerichteten Versand von Wahlwerbung genutzt.

Der Handel mit Daten ist ein lukratives Geschäft für die Post: Laut Recherchen von Addendum kostet ein Daten-Leasing wie das der SPÖ etwa 300.000 Euro.

Wie berechnet die Post das Merkmal Parteiaffinität?

Die Österreichische Post nutzt laut Addendum ein eigens entwickeltes Rechenmodell zur Bestimmung der Parteiaffinität. Die Post nutzt dafür detaillierte Umfrage- und Wahlergebnisse, Statistiken und Hochrechnungen. Diese verknüpft sie dann mit Informationen zum Namen, Alter, Geschlecht und Wohnort der österreichischen Bevölkerung. Daraus ergebe sich dann ein Wahrscheinlichkeitswert zur Parteiaffinität der Person. Der ermittelte Wert sagt dann aus, mit welcher Wahrscheinlichkeit die Person einer bestimmten Partei zugeordnet werden kann.

Wo liegt das Problem?

Daten, aus denen politische Meinungen hervorgehen, zählen zu den besonderen Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO). Diese Daten unterliegen einem besonderen Schutz und dürfen in der Regel nur mit Einwilligung der betroffenen Person verarbeitet werden. Dies ist im Fall der Österreichischen Post nicht passiert.

Daneben gibt es ein weiteres Problem: Die Recherchen von Addendum haben gezeigt, dass ein hoher Anteil (in der konkreten Fallstudie mit 30 Datensätzen ca. 50 Prozent) der berechneten Parteiaffinitäten nicht zutreffend waren. Ein Großteil der betroffenen Personen muss nicht nur damit leben, dass sie von der Post hinsichtlich ihrer Parteiaffinität bewertet werden. Vielmehr müssen sie darüber hinaus auch noch davon ausgehen, dass sie einer falschen politischen Partei zugeordnet wurden. Durch die (falsche) Zuordnung zu politischen Gruppen werden Grundrechte der betroffenen Personen verletzt, insbesondere eben das Recht auf informationelle Selbstbestimmung einer jeden Person.

Was sagt die Post dazu?

In einer Stellungnahme verteidigt die Post ihr Vorgehen. Das Unternehmen bezieht sich darin auf eine Sonderregelung aus dem Gewerberecht, die es der Post erlaube, personenbezogene Marketinginformationen zu Marketingzwecken zu verwenden. Allerdings ist dort auch geregelt, dass die Verarbeitung von besonderen Kategorien personenbezogener Daten nur auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Person stattfinden darf. Die Post streitet allerdings ab, dass es sich bei dem durch sie berechneten Merkmal zur Parteiaffinität um ein besonderes personenbezogenes Datum handelt. Die Post ist der Ansicht, dass es sich bei den Informationen lediglich um „Wahrscheinlichkeitswerte“ handele, es würde „keine tatsächliche politische Einstellung, Meinung oder das tatsächliche Wahlverhalten abgebildet“, so die Aussage eines Post-Sprechers gegenüber Addendum. Die Österreichische Datenschutzbehörde teilt diese Meinung offensichtlich nicht.

Gibt es vergleichbare Praktiken auch in Deutschland?

Bisher ist nicht bekannt, dass auch die Deutsche Post Informationen zu sensiblen personenbezogenen Merkmalen verarbeitet. Allerdings gab es bereits im vergangenen Jahr Meldungen, dass auch deutsche Parteien Adressdaten der Deutschen Post zur gezielten Wahlwerbung eingekauft haben. Der große Unterschied zu den Praktiken der Österreichischen Post ist jedoch die Tatsache, dass die Deutsche Post öffentlich verfügbare statistische Merkmale lediglich mit den Adressen natürlicher Personen verknüpft, nicht wie die österreichischen Kollegen mit dem Namen, Geschlecht und Alter.

Wie geht es jetzt weiter?

Die Österreichische Post hat angekündigt, Beschwerde gegen die Entscheidung beim zuständigen Bundesverwaltungsgericht einzulegen. Für das Einreichen der offiziellen Beschwerde hat die Post vier Wochen Zeit. Das Bundesverwaltungsgericht entscheidet dann, ob das Bußgeld rechtskräftig ist. Konkret wird es in dieser Entscheidung dann um die Frage gehen, ob das Merkmal der Parteiaffinität in der Ausgestaltung der Österreichischen Post als besonderes personenbezogenes Datum gemäß Art. 9 DSGVO angesehen werden muss. Sollte das Bundesverwaltungsgericht den Aussagen der Datenschutzbehörde folgen und das Merkmal der Parteiaffinität als besonderes Datum ansehen, wird das Bußgeld aller Voraussicht nach bestehen bleiben. Sollte sich das Bundesverwaltungsgericht gegen die Auffassung der Datenschutzbehörde stellen, könnte die Österreichische Post ihre Praktiken wahrscheinlich ohne große Veränderungen fortführen dürfen.

Quellen:

netzpolitik.org vom 29.10.2019: 18 Millionen Euro Strafe für die Österreichische Post

APA-OTS vom 29.10.2019: Strafverfahren gegen Österreichische Post AG

Zeit Online vom 03.04.2018: Die Post ist nicht Facebook