Pressespiegel

Neue Datenschutzpannen der Österreichischen Post

Die Österreichische Post war in den letzten Monaten bereits wegen Datenschutzpannen in den Medien und vor der Datenschutzbehörde. Nun gibt es weitere Datenschutzpannen, wie auch in den Salzburger Nachrichten vom 4.4.2019 zu lesen ist.

Ein Mandant der Harlander Rechtsanwalt GmbH, einer der zwei Betreiber von (§) Marketingrecht.at, hat bereits am 7.1.2019 von der Post vollständige Auskunft gemäß Art. 15 DSGVO verlangt.

Die Auskunft der Post

Die von der Post am 2.4.2019 übermittelte Auskunft offenbart gravierende Mängel und wirft neue Fragen auf:

Daten zum Sexualleben

Die Daten der Post enthalten das Datenfeld „Partnerschaft: Ehepaar traditionell“.

Nach Ansicht vieler Datenschützer kann bereits das Datum „Ehepaar“ als Hinweis auf das Sexualleben bzw. die sexuelle Orientierung verstanden werden. Dies mag nun, da die Ehe allen sexuellen Orientierungen offensteht, nur noch eingeschränkt gelten.

Umso interessanter ist der Zusatz „traditionell“.

Was damit exakt ausgedrückt werden soll, hat die Post bisher nicht bekanntgegeben. Im SN-Artikel vom 4.4.2019 äußert sich der Pressesprecher wie folgt: „Sie verarbeite keine Daten zur sexuellen Orientierung. Das Merkmal „Partnerschaft sei vom Datenlieferanten AZ Direct Österreich – einer Marketingfirma, die zur Bertelsmann-Printing-Group gehört – zugekauft und so übernommen worden. Es gebe auch keine Ausprägung „Ehepaar untraditionell.“

Diese Antwort stellt nicht zufrieden. Es ist davon auszugehen, dass der Zusatz „traditionell“ irgendeinen Bedeutungsgehalt aufweist. Die Post schuldet hier weiterhin eine Erklärung.

Einerseits errechnet sich das Datum „Ehepaar traditionell“ auf Basis von Geschlecht, Alter und Nachnamen der weiteren im Haushalt lebenden Personen.

Zählt man 1 und 1 zusammen, wird wohl eine weitere ungefähr gleichaltrige Person mit identischem Nachnamen zur Annahme eines Ehepaars führen.

Traditionell könnte darauf hindeuten, dass die weitere Person nicht dasselbe Geschlecht wie die betroffene Person hat.

Dass es noch kein „Ehepaar untraditionell“ gibt, könnte einfach daran liegen, dass die gleichgeschlechtliche Ehe in Österreich noch sehr neu ist und daher die Unterscheidung in der Datenbank zwar bereits vorbereitet wurde, aber zur gleichgeschlechtlichen Ehe noch keine Daten erfasst wurden.

Andererseits existieren weitere Datensätze mit Wahrscheinlichkeitswerten zu „Konservative, Etablierte, Performer, Postmaterielle, Digitale Individualisten, Bürgerliche Mitte, Adaptiv Pragmatische, Konsumorientierte Basis, Hedonisten sowie Traditionelle“. Dabei war der Wert des Datums „Wahrscheinlichkeitswert Traditionelle“ mit nur 1.67 % am geringsten ausgeprägt.

Auszuschließen ist daher, dass „Ehepaar traditionell“ ausdrücken soll, dass es sich um ein sehr traditionsbewusstes Ehepaar handelt. (Wäre das der Fall, wären die Daten widersprüchlich und damit offensichtlich unrichtig, was widerum dem Grundsatz der Richtigkeit der Daten gemäß Art. 5 Abs. 1 lit. d) DSGVO widersprechen würde.

Restlos aufklären wird diese Frage zweifellos die Datenschutzbehörde.

Lässt das Datum „Ehepaar traditionell“ Rückschlüsse auf das Sexualleben oder die sexuelle Orientierung zu, dann liegt ein Datum der besonderen Kategorie gemäß Art. 9 DSGVO vor. Die Verarbeitung dieses Datums zu Marketingzwecken wäre ausschließlich auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a) DSGVO zulässig.

Die Einwilligung wurde in dem uns vorliegenden Fall nicht eingeholt.

Daten zur weltanschaulichen Überzeugung / politische Einstellungen

Die Daten der Post enthalten Wahrscheinlichkeitswerte für diverse Sinus-Milieus, unter anderem für

Diese Sinus-Milieus sind jeweils stark mit Aspekten der Weltanschauung und der politischen Einstellung verbunden. Postmateriell wird beispielsweise wie folgt definiert:

Zum Vergleich: zahlreiche Datenschützer bewerten bereits die Mitgliedschaft in einem Tierschutzverein als weltanschauliche Überzeugung.

Daten zur weltanschaulichen Überzeugung und zur politischen Einstellung stellen Daten der besonderen Kategorie gemäß Art. 9 DSGVO dar. Die Verarbeitung dieser Daten zu Marketingzwecken ist ausschließlich auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a) DSGVO zulässig wäre.

Die Einwilligung wurde in dem uns vorliegenden Fall nicht eingeholt.

Daten zur politischen Einstellung

Wie bereits Recherchen von Addendum im Jänner 2019 aufzeigten, verarbeitete die Post Daten zur „Parteiaffinität“.

In der uns vorliegenden Auskunft lautet das Feld „Mögliche Zielgruppe für Wahlwerbung SPÖ“ (bzw. ÖVP, Neos, Grüne, FPÖ). Warum diese Umbenennung erfolgt ist, ist unklar.

Klar ist jedoch unseres Erachtens, dass sowohl die „Parteiaffinität“ als auch die „Mögliche Zielgruppe für Wahlwerbung einer bestimmten Partei“ Daten der besonderen Kategorie „politische Meinung“ gemäß Art. 9 DSGVO darstellen und daher die Verarbeitung dieser Daten zu Marketingzwecken ausschließlich auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a) DSGVO zulässig wäre.

Die Einwilligung wurde in dem uns vorliegenden Fall nicht eingeholt.

Unvollständige Auskunft

Die Post hat die Auskunft vorsätzlich unvollständig erteilt. Unser Mandant hat um die Beauskunftung aller Daten gemäß Art. 15 DSGVO ersucht.

In der Auskunft weist die Post auf unzählige Verarbeitungszwecke hin. Dennoch schränkt die Post ein: „Im Anhang dürfen wir Ihnen vor dem Hintergrund der aktuellen Medienberichterstattung die Datenauskunft hinsichtlich Ihrer zu Marketingzwecken verarbeiteten Daten sowie in diesem Zusammenhang erstellter statistischer Hochrechnungen übermitteln.“

Auch im Bericht der Salzburger Nachrichten vom 4.4.2019 erklärt der Pressesprecher der Post: „Nachdem die Anfragen aufgrund der medialen Berichterstattung gestellt wurden und sich die Berichterstattung auf die Tätigkeit der Post als Adressverlag bezogen hat, hat die Post diese Daten fokussiert beauskunftet.“ Das mag sein. Unser Mandant hat jedoch keine fokussierte Auskunft, sondern eine Auskunft über alle verarbeiteten Daten gefordert.

Im konkreten Fall ist die Auskunft nachweislich unvollständig. Unser Mandant verfügt beispielsweise über ein Post.at Konto, in welchem ein Nachsendeauftrag erfasst ist. Die dazugehörigen Daten wurden, wohl weil nicht zu Marketingzwecken verwendet, nicht beauskunftet.

Diese willkürliche Einschränkung der Auskunft durch die Post stellt unseres Erachten eine Verletzung der Auskunftspflicht gemäß Art. 15 DSGVO dar.

Website der Post

Vergleicht man den Inhalt der Auskunft der Post mit den Informationen zu den beworbenen Selektionsmöglichkeiten beim Ankauf von Adressen auf der Website der Post, so stellt sich die Frage, ob die Auskunft der zu Marketingzwecken verarbeiteten Daten vollständig ist.

Laut Website der Post (durchklicken, die Infos sind verstreut) bestehen beispielsweise folgende Selektionsmöglichkeiten, welche in den übermitteltenden Daten nicht abgebildet sind:

Das kann bedeuten, dass diese Daten nicht zu allen Personen vorliegen oder dass die Auskunft nicht vollständig ist.

Verarbeitungszwecke

Die Post hat die Verarbeitungszwecke nicht vollständig beauskunftet.

Laut Auskunft der Post bestehen folgende Verarbeitungszwecke:

Bereits die Verlinkung auf weitere Dokumente stellt unseres Erachtens einen unzulässigen Medienbruch dar.

Auf der Website finden sich die vier in der Auskunft enthaltenen sowie sechs weitere, teils sehr umfangreiche Verarbeitungszecke. Ein Suchspiel also, welches so unseres Erachtens nicht zulässig ist.

Ebenfalls unserer Ansicht nach unzulässig ist die mangelnde Festlegung, für welche Zwecke konkret Daten des Betroffenen verarbeitet werden. „Kann sein, kann nicht sein“, ist keine rechtskonforme Auskunft.

Rechtsgrundlage

Die Auskunft der Post enthält teilweise eine Information zur Rechtsgrundlage der Verarbeitung. Es wird auf § 151 Gewerbeordnung verwiesen.

Gemäß der österreichischen Lehrmeinung wäre die Rechtsgrundlage für alle Verarbeitungsvorgänge notwendig:

Zu beauskunften sind die Zwecke der Verarbeitung iSd Art 5 Abs 1 lit b. Die Rechtsgrundlage der Verarbeitung iSd Art 6 Abs 1 oder Art 9 Abs 2 wird nicht ausdrücklich als Bestandteil der Auskunft genannt (so aber noch § 26 Abs 1 DSG 2000). Da ohne diese Information jedoch die Rechtmäßigkeit einer Verarbeitung idR nicht geprüft werden kann, was aber Ziel und Zweck des Auskunftsrechts ist (vgl ErwGr 63 S 1), wird die Rechtsgrundlage wohl mitumfasst sein. Das gilt auch für etwaige Übermittlungen“ (Haidinger in Knyrim (Hrsg), Der DatKomm, 5. Lfg., Art. 15 Rz 37).

Abgesehen davon kann unserer Ansicht nach durch die nur teilweise Angabe der Rechtsgrundlage der (unrichtige) Eindruck entstehen, dass diese Rechtsgrundlage für alle beauskunfteten Daten ausreichend ist. Das ist jedoch nicht der Fall.

Für die Daten der besonderen Kategorie, also insbesondere Daten zum Sexualleben oder zur sexuellen Orientierung, zur weltanschaulichen Überzeugung und zur politischen Meinung gemäß Art. 9 DSGVO ist bei der Verarbeitung eine Einwilligung gemäß Art. 9 Abs. 2 lit. a) DSGVO notwendig.

Die Auskunft ist daher unseres Erachtens nicht eindeutig, sondern irreführend, was unzulässig ist.

Empfänger bzw. Kategorien der Empfänger

Art. 15 DSGVO schreibt die Mitteilung der Empfänger bzw. der Kategorien der Empfänger der Daten vor.

In der Auskunft verweist die Post an zwei Stellen eingeschränkt für die jeweilige Datenkategorie sanfte Hinweise auf mögliche Empfänger: „Geschäftskunden zu Marketingzwecken“ und „zu Marketingzwecken Dritter“.

Geschäftskunden ist gleichzusetzen mit „alle Unternehmen“, da wohl jedes Unternehmen in irgendeiner Form Marketing betreibt. „An wen auch immer“ wäre ähnlich präzise.

Die Angabe „Geschäftskunden“ ist daher ohne jegliche Aussagekraft. Der Betroffene kann sich so kein Bild davon machen, an wen seine Daten übermittelt wurden.

Unseres Erachtens reicht diese Information nicht aus. Wer die Empfänger nennen kann – das ist bei der Post dank Kundendatenbank wohl der Fall – muss die konkreten Empfänger nennen, damit sich der Betroffene ein klares Bild vom Umfang des Handels mit seinen Daten machen kann.

Dauer der Speicherung

Die Auskunft enthält zur Speicherdauer lediglich die Information „Ist die Datenweitergabe gemäß § 151 Gewerbeordnung zulässig, werden die Daten so lange verarbeitet, wie ihr Einsatz für Marketingzwecke Dritter erfolgt oder Sie eine Löschung der Daten begehren“.

Damit ist eine Speicherdauer überhaupt nur für Daten, welche auf der Grundlage von § 151 Gewerbeordnung verarbeitet werden, angegeben. Wie bereits ausgeführt, reicht § 151 Gewerbeordnung jedoch bei weitem nicht für alle verarbeiteten Daten als Rechtsgrundlage aus. Für die anderen Daten ist keine Speicherdauer in der Auskunft enthalten.

Aber auch für jene Daten, die auf Grundlage von § 151 Gewerbeordnung verarbeitet werden, ist die Speicherdauer nicht ausreichend festgelegt. „Solange wir die Daten zu Marketingzwecken Dritter benötigen“ ist mit „bis irgendwann“ gleichzusetzen und daher unseres Erachtens unzureichend.

Verletzung der Informationspflichten

Gemäß Art. 14 DSGVO hat der Verantwortliche den Betroffenen, sofern die Daten nicht bei dem Betroffenen erhoben wurden, binnen einem Monat über die Verarbeitung seiner personenbezogenen Daten zu informieren.

In der Auskunft der Post ist festgehalten, dass Teile der Daten alle drei Monate aktualisiert werden. Spätestens bei der ersten Aktualisierung nach Anwendbarkeit der DSGVO am 25.5.2018 hätte die Post daher unseres Erachtens ihre Informationspflichten erfüllen müssen.

Die Ausnahme von dieser Informationspflicht im Fall des unverhältnismäßigen Aufwandes gemäß Art. 14 Abs. 5 lit. b) greift unseres Erachtens gerade bei der Post nicht.

Die Post ist in der Lage, zwei Mal die Woche das „KUVERT“ (gefüllt mit Werbung) an über 3 Millionen Haushalte zuzustellen. Da wäre doch ein datenschutzrechtliches Informationsschreiben unserer Ansicht nach auch nicht zu viel verlangt.

Fazit

Die Auskunft der Post offenbart gravierende datenschutzrechtliche Versäumnisse und wirft mehr Fragen auf, als sie beantwortet. Es besteht deutlicher Verbesserungsbedarf.

Die Harlander Rechtsanwalt GmbH wird für ihren Mandanten im nächsten Schritt eine vollständige Auskunft von der Post und ihren Datenlieferanten einfordern, Beschwerde bei der Datenschutzbehörde erheben sowie Schadenersatzforderung stellen.

Bist auch Du betroffen?

Um das herauszufinden reicht es folgenden Text via E-Mail kundenservice@post.at, idealerweise mit Ausweiskopie, an die Post zu senden:

Ich fordere gemäß Art. 15 Datenschutz-Grundverordnung (Verordnung (EU) 2016/67 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürliche Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, DSGVO) Auskunft über die von der Österreichischen Post AG von mir verarbeiteten personenbezogenen Daten, insbesondere

Weiters mache ich das Recht auf Kopie der Daten gemäß Art. 15 Abs 3 DSGVO geltend.

Medienberichte dazu

Kostenloses anwaltliches Erstgespräch

Kostenloses anwaltliches Erstgespräch:
 +43 662 623323  office@marketingrecht.eu