Anfang des Jahres hatte die Recherche-Plattform Addendum aufgedeckt, dass die österreichische Post AG entgegen den Bestimmungen des Datenschutzgesetzes (EU DSGVO, DSG) personenbezogene Daten aggregiert und verkauft, im konkreten Fall sogar sensible Daten: die Affinität zu Parteien. Ist die Post das österreichische Cambridge Analytica? Handelt es sich dabei um ein Erlösmodell, das damit wirbt, mit diesen Daten Einfluss auf Wähler*innen nehmen zu können?

Sieht man davon ab, dass die personenbezogene Zuschreibung von Parteiaffinität durch die Post AG höchst dubios und kaum nachvollziehbar ist, ist die Fehlerquote zudem enorm. Die Post AG schreckt offenbar nicht vor einem vermeintlich lukrativen Datenhandel zurück, auch wenn dieser klar gegen die DSGVO verstößt. Nachdem die Datenschutzbehörde in Österreich ein Verfahren gegen die Post eingeleitet hatte, hat die Post erklärt, sämtliche Informationen zu Parteiaffinitäten zu löschen.

Kaum war dieser Vorfall aus den Tagesmedien verschwunden, deckt Addendum auf, dass die Verletzungen des Datenschutzes bei der österreichischen Post AG noch deutlich weiter gehen. In Verbindung mit einem Technologiepartner soll Nutzerverhalten auf Zalando Österreich, der Unito-Gruppe (u.a. Online-Shops von Otto und Quelle) und weiteren Partnern „getrackt” werden und diese mit den entsprechenden Daten bei der Post AG weiter personalisiert und angereichert werden. Post - Die Affäre weitet sich aus. Nachdem Addendum diesen Missbrauch aufgedeckt hat, hat dem Vernehmen nach die Post AG eine „Vertriebspause” eingelegt. Aufschlussreich sind die Recherchen zu den Vertriebspartnern im Addendum Beitrag.

Für viele Adressverlage wie auch für die Post AG, stellt die noch nicht beschlossene EU ePrivacy Verordnung eine massive Bedrohung ihrer lukrativen Geschäftsmodelle dar. Tracking in dieser Form wird dann zumindest deutlich schwieriger werden. Aber schon jetzt stellt dieses Verhalten einen eklatanten Verstoß gegen das Datenschutzgesetz dar.

Es bleibt abzuwarten, ob die Datenschutzbehörde, die sich in der Vergangenheit als zahm und zahnlos erwiesen hat, in diesem Fall zu deutlichen Strafen kommen wird. Angesichts des möglichen Strafmaßes von vier Prozent des weltweiten vorjährigen Umsatzes und der schwere der Verletzungen sollte eine Strafe im siebenstelligen Bereich Klarheit darüber schaffen, dass Datenmissbrauch kein Kavaliersdelikt ist.

Was ebenso bedenklich ist, ist der Umgang der Post AG mit ihren Kunden. Viele Menschen haben zur Post noch großes Vertrauen. Das wurzelt in Zeiten, als die Post noch staatlich war. Damals waren die Postkunden die Kunden der Post. Heute sind viele Postkunden offenbar nicht mehr wirklich Kunden, sondern eher das Produkt, das verkauft wird. Ein weiteres Indiz für ein gestörtes Kundenverhältnis kann in der Preis- und Produktpolitik der österreichischen Post AG gesehen werden. Auch wenn Österreich mit der ÖBAG (vormals ÖBIB und davor ÖIAG) bei einer Beteiligung von 52.8 Prozent noch die Aktienmehrheit an der Post AG hält, versteht sich die Post offenbar nicht mehr als in der Pflicht der österreichischen Bevölkerung stehend, sondern in der Pflicht der Interessen ihrer Shareholder (wovon einer der Finanzminister ist).

Update (16.8.2019): Die Recherche-Plattform Addendum berichtet, dass das Landesgericht Feldkirch einer Schadensersatzklage gegen die POST AG stattgegeben hat und einem Kläger 800 EUR Schadensersatz wegen immateriellem Schaden zugesprochen hat. Es bleibt zu hoffen, dass die Post gegen dieses Urteil beruft und dieser Vorgang bis in die höchste Instanz ausjudiziert wird. Es ist davon auszugehen, dass das Urteil des Landesgerichts Feldkirch auch im Instanzweg bestätigt werden wird. Dann könnte eine Lawine an Schadensersatzklagen auf die POST AG zukommen, die ihr tatsächlich nur zu wünsche ist, nachdem das Unternehmen völlig uneinsichtig ist, was Datenschutz angeht.  

Update (1.9.2019): Die POST AG hat via Klagsdrohung eine Wissenschaftlerin zur Unterzeichnung einer Unterlassens­erklärung „veranlasst”, nachdem diese im öffentlichen Rundfunk auf Ö1 im Rahmen eines Interviews die Daten­sammelpraxis der POST AG kritisiert hatte. Zum Beitrag: POST AG droht Wissenschafterin mit Klage auf Unterlassung wegen Kritik

Update (29.10.2019): Zu 18 Millionen EUR wurde die POST AG von der Datenschutzbehörde verurteilt. Gegen dieses Urteil hat die POST AG Berufung eingelegt. Es ist damit nicht rechtskräftig.  

Update (1.12.2020): Das Bundesverwaltungsgericht (BVwG) hat den Bußgeldbescheid der Datenschutzbehörde über 18 Millionen EUR mit Verweis auf nationale Verfahrensregeln aufgehoben. Kritik: Die DSB hat im Spruch des Straferkenntnisses die natürliche Person, deren Verstoß gegen die DSGVO der Beschwerdeführerin zugerechnet werden soll, nicht benannt.  

Weitere Informationen

Ausführliche Rechercheergebnisse zum Fall Post und Verletzung des Datenschutzes finden Sie im Projekt „067 Datenhandel” auf Addendum

Diese Beiträge zum Thema könnten Sie ebenfalls interessieren:

Datenschutz in Österreich | Fall POST AG Nach aktuellen höchstgerichtlichen Urteilen des VwGH und BVwG wird in Österreich faktisch die Strafverfolgung bei Datenschutzvergehen von Unternehmen (juristische Personen) nicht nur erschwert, sondern praktisch unwahrscheinlich. Das Datenschutzrecht wird dadurch massiv geschwächt und in Bezug auf Strafverfolgung praktisch ausgehebelt. Mehr lesen...

Die DSGVO und die österreichische POST AG Der POST AG konnte das Recherchenetzwerk Addendum massive Verstöße gegen den Datenschutz, Verletzung der DSGVO nachweisen. Darüber hinaus zeigt sich die POST AG bei der Erfüllung von Vorgaben der DSGVO mehr als unwillig. Damit brüskiert die österreichische. POST AG ihre Kunden durch Missachtung von Datenschutz und Verletzung von Persönlichkeitsrechten. Mehr lesen...

Identitätsfeststellung und Auskunftsverlangen Art. 15 DSGVO sichert Betroffenen ein weitgehendes Auskunftsrecht zu, was Speicherung, Verarbeitung und Weitergabe ihrer personenbezogenen Daten anbelangt. Dabei ist die Frage der Identitätsfeststellung virulent. Das bedeutet aber nicht zwangsläufig, dass die Betroffenen in jedem Fall einen Identitätsnachweis erbringen müssen, schon gar nicht, um so den Zugang zur Auskunft unbillig zu erschweren. Mehr lesen...

Die Auskunftspflicht nach DSGVO Dem Auskunftsrecht Betroffener steht die Auskunftspflicht Verantwortlicher gegenüber, also jener, die personenbezogene Daten verarbeiten. In den Erwägungsgründen und in Artikel 15 DSGVO wird geregelt, welche Auskünfte und in welchem Umfang bei welchen Voraussetzungen der Verantwortliche geben muss. Mehr lesen...