Neue Datenschutzpannen der Österreichischen Post

Die Österreichische Post war in den letzten Monaten bereits wegen Datenschutzpannen in den Medien und vor der Datenschutzbehörde. Nun gibt es weitere Datenschutzpannen, wie auch in den Salzburger Nachrichten vom 4.4.2019 zu lesen ist.

Peter Harlander
Harlander & Partner Rechtsanwälte GmbH

Neue Datenschutzpannen der Österreichischen Post

Ein Mandant der Harlander Rechtsanwalt GmbH, einer der zwei Betreiber von (§) Marketingrecht.at, hat bereits am 7.1.2019 von der Post vollständige Auskunft gemäß Art. 15 DSGVO verlangt.

Die Auskunft der Post

Die von der Post am 2.4.2019 übermittelte Auskunft offenbart gravierende Mängel und wirft neue Fragen auf:

• ein Datenfeld weist auf die Verarbeitung sensibler Daten zum Sexualleben hin
• mehrere Datenfelder weisen auf die Verarbeitung sensibler Daten zur weltanschaulichen Überzeugung hin
• bereits bekannt war, dass die Post sensible Daten zur Parteiaffinität verarbeitet
• aus der Auskunft geht hervor, dass die Post vorsätzlich nicht alle verarbeiteten Daten beauskunftet hat
• in der Auskunft wurde die Rechtsgrundlage lediglich für jene Daten angegeben, deren Verarbeitung nach § 151 Gewerbeordnung zulässig ist, nicht jedoch für die anderen (deutlich brisanteren) Daten
• ein Vergleich der Datenselektionsangebote im Bereich Adresshandel auf der Website der Post und der erteilten Auskunft weist auf das Vorhandensein deutlich umfangreicherer Datenbestände auch im angeblich beauskunfteten Teilbereich “Datenverarbeitung zu Marketingzwecken” hin
• die Verarbeitungszwecke wurden unseres Erachtens nicht vollständig angegeben
• die Empfänger bzw. die Kategorien der Empfänger der Daten wurden unseres Erachtens unzureichend beauskunftet
• die geplante Dauer, für welche die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer wurden unseres Erachtens nicht ausreichend beauskunftet
• aus der Auskunft der Post ist ableitbar, dass die Post nicht nur ihre Auskunftspflicht, sondern bereits zuvor ihre Informationspflichten gemäß Art. 14 DSGVO verletzt hat

Daten zum Sexualleben

Die Daten der Post enthalten das Datenfeld “Partnerschaft: Ehepaar traditionell”.

Nach Ansicht vieler Datenschützer kann bereits das Datum “Ehepaar” als Hinweis auf das Sexualleben bzw. die sexuelle Orientierung verstanden werden. Dies mag nun, da die Ehe allen sexuellen Orientierungen offensteht, nur noch eingeschränkt gelten.

Umso interessanter ist der Zusatz “traditionell”.

Was damit exakt ausgedrückt werden soll, hat die Post bisher nicht bekanntgegeben. Im SN-Artikel vom 4.4.2019 äußert sich der Pressesprecher wie folgt: “Sie verarbeite keine Daten zur sexuellen Orientierung. Das Merkmal “Partnerschaft sei vom Datenlieferanten AZ Direct Österreich – einer Marketingfirma, die zur Bertelsmann-Printing-Group gehört – zugekauft und so übernommen worden. Es gebe auch keine Ausprägung “Ehepaar untraditionell.”

Diese Antwort stellt nicht zufrieden. Es ist davon auszugehen, dass der Zusatz “traditionell” irgendeinen Bedeutungsgehalt aufweist. Die Post schuldet hier weiterhin eine Erklärung.

Einerseits errechnet sich das Datum “Ehepaar traditionell” auf Basis von Geschlecht, Alter und Nachnamen der weiteren im Haushalt lebenden Personen.

Zählt man 1 und 1 zusammen, wird wohl eine weitere ungefähr gleichaltrige Person mit identischem Nachnamen zur Annahme eines Ehepaars führen.

Traditionell könnte darauf hindeuten, dass die weitere Person nicht dasselbe Geschlecht wie die betroffene Person hat.

Dass es noch kein “Ehepaar untraditionell” gibt, könnte einfach daran liegen, dass die gleichgeschlechtliche Ehe in Österreich noch sehr neu ist und daher die Unterscheidung in der Datenbank zwar bereits vorbereitet wurde, aber zur gleichgeschlechtlichen Ehe noch keine Daten erfasst wurden.

Andererseits existieren weitere Datensätze mit Wahrscheinlichkeitswerten zu “Konservative, Etablierte, Performer, Postmaterielle, Digitale Individualisten, Bürgerliche Mitte, Adaptiv Pragmatische, Konsumorientierte Basis, Hedonisten sowie Traditionelle”. Dabei war der Wert des Datums “Wahrscheinlichkeitswert Traditionelle” mit nur 1.67 % am geringsten ausgeprägt.

Auszuschließen ist daher, dass “Ehepaar traditionell” ausdrücken soll, dass es sich um ein sehr traditionsbewusstes Ehepaar handelt. (Wäre das der Fall, wären die Daten widersprüchlich und damit offensichtlich unrichtig, was widerum dem Grundsatz der Richtigkeit der Daten gemäß Art. 5 Abs. 1 lit. d) DSGVO widersprechen würde.

Restlos aufklären wird diese Frage zweifellos die Datenschutzbehörde.

Lässt das Datum “Ehepaar traditionell” Rückschlüsse auf das Sexualleben oder die sexuelle Orientierung zu, dann liegt ein Datum der besonderen Kategorie gemäß Art. 9 DSGVO vor. Die Verarbeitung dieses Datums zu Marketingzwecken wäre ausschließlich auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a) DSGVO zulässig.

Die Einwilligung wurde in dem uns vorliegenden Fall nicht eingeholt.

Daten zur weltanschaulichen Überzeugung / politische Einstellungen

Die Daten der Post enthalten Wahrscheinlichkeitswerte für diverse Sinus-Milieus, unter anderem für

• Konservative
• Traditionelle
• Postmaterielle
• Bürgerliche Mitte
• Hedonisten

Diese Sinus-Milieus sind jeweils stark mit Aspekten der Weltanschauung und der politischen Einstellung verbunden. Postmateriell wird beispielsweise wie folgt definiert:

• Eintreten für Nachhaltigkeit, Ökologie, soziale Gerechtigkeit; kritische Einstellung gegenüber neoliberalen Tendenzen
• Weltbürgerlich-kosmopolitische Orientierung, Offenheit, Toleranz; Multikulturalität
• Individualismus, Selbstverwirklichung, Work-Life-Balance; Kritik der Wachstums- und Konsumzwänge

Zum Vergleich: zahlreiche Datenschützer bewerten bereits die Mitgliedschaft in einem Tierschutzverein als weltanschauliche Überzeugung.

Daten zur weltanschaulichen Überzeugung und zur politischen Einstellung stellen Daten der besonderen Kategorie gemäß Art. 9 DSGVO dar. Die Verarbeitung dieser Daten zu Marketingzwecken ist ausschließlich auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a) DSGVO zulässig wäre.

Die Einwilligung wurde in dem uns vorliegenden Fall nicht eingeholt.

Daten zur politischen Einstellung

Wie bereits Recherchen von Addendum im Jänner 2019 aufzeigten, verarbeitete die Post Daten zur “Parteiaffinität”.

In der uns vorliegenden Auskunft lautet das Feld “Mögliche Zielgruppe für Wahlwerbung SPÖ” (bzw. ÖVP, Neos, Grüne, FPÖ). Warum diese Umbenennung erfolgt ist, ist unklar.

Klar ist jedoch unseres Erachtens, dass sowohl die “Parteiaffinität” als auch die “Mögliche Zielgruppe für Wahlwerbung einer bestimmten Partei” Daten der besonderen Kategorie “politische Meinung” gemäß Art. 9 DSGVO darstellen und daher die Verarbeitung dieser Daten zu Marketingzwecken ausschließlich auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a) DSGVO zulässig wäre.

Die Einwilligung wurde in dem uns vorliegenden Fall nicht eingeholt.

Unvollständige Auskunft

Die Post hat die Auskunft vorsätzlich unvollständig erteilt. Unser Mandant hat um die Beauskunftung aller Daten gemäß Art. 15 DSGVO ersucht.

In der Auskunft weist die Post auf unzählige Verarbeitungszwecke hin. Dennoch schränkt die Post ein: “Im Anhang dürfen wir Ihnen vor dem Hintergrund der aktuellen Medienberichterstattung die Datenauskunft hinsichtlich Ihrer zu Marketingzwecken verarbeiteten Daten sowie in diesem Zusammenhang erstellter statistischer Hochrechnungen übermitteln.”

Auch im Bericht der Salzburger Nachrichten vom 4.4.2019 erklärt der Pressesprecher der Post: “Nachdem die Anfragen aufgrund der medialen Berichterstattung gestellt wurden und sich die Berichterstattung auf die Tätigkeit der Post als Adressverlag bezogen hat, hat die Post diese Daten fokussiert beauskunftet.” Das mag sein. Unser Mandant hat jedoch keine fokussierte Auskunft, sondern eine Auskunft über alle verarbeiteten Daten gefordert.

Im konkreten Fall ist die Auskunft nachweislich unvollständig. Unser Mandant verfügt beispielsweise über ein Post.at Konto, in welchem ein Nachsendeauftrag erfasst ist. Die dazugehörigen Daten wurden, wohl weil nicht zu Marketingzwecken verwendet, nicht beauskunftet.

Diese willkürliche Einschränkung der Auskunft durch die Post stellt unseres Erachten eine Verletzung der Auskunftspflicht gemäß Art. 15 DSGVO dar.

Website der Post

Vergleicht man den Inhalt der Auskunft der Post mit den Informationen zu den beworbenen Selektionsmöglichkeiten beim Ankauf von Adressen auf der Website der Post, so stellt sich die Frage, ob die Auskunft der zu Marketingzwecken verarbeiteten Daten vollständig ist.

Laut Website der Post (durchklicken, die Infos sind verstreut) bestehen beispielsweise folgende Selektionsmöglichkeiten, welche in den übermitteltenden Daten nicht abgebildet sind:

• Haushaltstyp (Einfamilienhaus, Zweifamilienhaus, Wohnung)
• Anzahl der Personen im Haushalt
• Überwiegende Heizungsart
• Sportlich aktiv (SchwimmerInnen, LäuferInnen, RadfahrerInnen, TennisspielerInnen)
• Reiseaffin
• VersandhandelskäuferInnen
• Schnäppchenjäger
• Tierliebhaber
• Haustiere

Das kann bedeuten, dass diese Daten nicht zu allen Personen vorliegen oder dass die Auskunft nicht vollständig ist.

Verarbeitungszwecke

Die Post hat die Verarbeitungszwecke nicht vollständig beauskunftet.

Laut Auskunft der Post bestehen folgende Verarbeitungszwecke:

• Datenverarbeitung zum Zweck der Beförderung und Zustellung von Sendungen
• Datenverarbeitung zu eigenen Marketingzwecken
• Datenverarbeitung im Rahmen des Adressverlages
• Datenverarbeitung zum Zweck der Bearbeitung ihrer Anfrage
• Weitere Datenverarbeitungszwecke unter post.at/datenschutz-zwecke

Bereits die Verlinkung auf weitere Dokumente stellt unseres Erachtens einen unzulässigen Medienbruch dar.

Auf der Website finden sich die vier in der Auskunft enthaltenen sowie sechs weitere, teils sehr umfangreiche Verarbeitungszecke. Ein Suchspiel also, welches so unseres Erachtens nicht zulässig ist.

Ebenfalls unserer Ansicht nach unzulässig ist die mangelnde Festlegung, für welche Zwecke konkret Daten des Betroffenen verarbeitet werden. “Kann sein, kann nicht sein”, ist keine rechtskonforme Auskunft.

Rechtsgrundlage

Die Auskunft der Post enthält teilweise eine Information zur Rechtsgrundlage der Verarbeitung. Es wird auf § 151 Gewerbeordnung verwiesen.

Gemäß der österreichischen Lehrmeinung wäre die Rechtsgrundlage für alle Verarbeitungsvorgänge notwendig:

„Zu beauskunften sind die Zwecke der Verarbeitung iSd Art 5 Abs 1 lit b. Die Rechtsgrundlage der Verarbeitung iSd Art 6 Abs 1 oder Art 9 Abs 2 wird nicht ausdrücklich als Bestandteil der Auskunft genannt (so aber noch § 26 Abs 1 DSG 2000). Da ohne diese Information jedoch die Rechtmäßigkeit einer Verarbeitung idR nicht geprüft werden kann, was aber Ziel und Zweck des Auskunftsrechts ist (vgl ErwGr 63 S 1), wird die Rechtsgrundlage wohl mitumfasst sein. Das gilt auch für etwaige Übermittlungen“ (Haidinger in Knyrim (Hrsg), Der DatKomm, 5. Lfg., Art. 15 Rz 37).

Abgesehen davon kann unserer Ansicht nach durch die nur teilweise Angabe der Rechtsgrundlage der (unrichtige) Eindruck entstehen, dass diese Rechtsgrundlage für alle beauskunfteten Daten ausreichend ist. Das ist jedoch nicht der Fall.

Für die Daten der besonderen Kategorie, also insbesondere Daten zum Sexualleben oder zur sexuellen Orientierung, zur weltanschaulichen Überzeugung und zur politischen Meinung gemäß Art. 9 DSGVO ist bei der Verarbeitung eine Einwilligung gemäß Art. 9 Abs. 2 lit. a) DSGVO notwendig.

Die Auskunft ist daher unseres Erachtens nicht eindeutig, sondern irreführend, was unzulässig ist.

Empfänger bzw. Kategorien der Empfänger

Art. 15 DSGVO schreibt die Mitteilung der Empfänger bzw. der Kategorien der Empfänger der Daten vor.

In der Auskunft verweist die Post an zwei Stellen eingeschränkt für die jeweilige Datenkategorie sanfte Hinweise auf mögliche Empfänger: „Geschäftskunden zu Marketingzwecken“ und „zu Marketingzwecken Dritter“.

Geschäftskunden ist gleichzusetzen mit „alle Unternehmen“, da wohl jedes Unternehmen in irgendeiner Form Marketing betreibt. „An wen auch immer“ wäre ähnlich präzise.

Die Angabe “Geschäftskunden” ist daher ohne jegliche Aussagekraft. Der Betroffene kann sich so kein Bild davon machen, an wen seine Daten übermittelt wurden.

Unseres Erachtens reicht diese Information nicht aus. Wer die Empfänger nennen kann – das ist bei der Post dank Kundendatenbank wohl der Fall – muss die konkreten Empfänger nennen, damit sich der Betroffene ein klares Bild vom Umfang des Handels mit seinen Daten machen kann.

Dauer der Speicherung

Die Auskunft enthält zur Speicherdauer lediglich die Information “Ist die Datenweitergabe gemäß § 151 Gewerbeordnung zulässig, werden die Daten so lange verarbeitet, wie ihr Einsatz für Marketingzwecke Dritter erfolgt oder Sie eine Löschung der Daten begehren”.

Damit ist eine Speicherdauer überhaupt nur für Daten, welche auf der Grundlage von § 151 Gewerbeordnung verarbeitet werden, angegeben. Wie bereits ausgeführt, reicht § 151 Gewerbeordnung jedoch bei weitem nicht für alle verarbeiteten Daten als Rechtsgrundlage aus. Für die anderen Daten ist keine Speicherdauer in der Auskunft enthalten.

Aber auch für jene Daten, die auf Grundlage von § 151 Gewerbeordnung verarbeitet werden, ist die Speicherdauer nicht ausreichend festgelegt. “Solange wir die Daten zu Marketingzwecken Dritter benötigen” ist mit “bis irgendwann” gleichzusetzen und daher unseres Erachtens unzureichend.

Verletzung der Informationspflichten

Gemäß Art. 14 DSGVO hat der Verantwortliche den Betroffenen, sofern die Daten nicht bei dem Betroffenen erhoben wurden, binnen einem Monat über die Verarbeitung seiner personenbezogenen Daten zu informieren.

In der Auskunft der Post ist festgehalten, dass Teile der Daten alle drei Monate aktualisiert werden. Spätestens bei der ersten Aktualisierung nach Anwendbarkeit der DSGVO am 25.5.2018 hätte die Post daher unseres Erachtens ihre Informationspflichten erfüllen müssen.

Die Ausnahme von dieser Informationspflicht im Fall des unverhältnismäßigen Aufwandes gemäß Art. 14 Abs. 5 lit. b) greift unseres Erachtens gerade bei der Post nicht.

Die Post ist in der Lage, zwei Mal die Woche das “KUVERT” (gefüllt mit Werbung) an über 3 Millionen Haushalte zuzustellen. Da wäre doch ein datenschutzrechtliches Informationsschreiben unserer Ansicht nach auch nicht zu viel verlangt.

Fazit

Die Auskunft der Post offenbart gravierende datenschutzrechtliche Versäumnisse und wirft mehr Fragen auf, als sie beantwortet. Es besteht deutlicher Verbesserungsbedarf.

Die Harlander Rechtsanwalt GmbH wird für ihren Mandanten im nächsten Schritt eine vollständige Auskunft von der Post und ihren Datenlieferanten einfordern, Beschwerde bei der Datenschutzbehörde erheben sowie Schadenersatzforderung stellen.

Bist auch Du betroffen?

Um das herauszufinden reicht es folgenden Text via E-Mail kundenservice@post.at, idealerweise mit Ausweiskopie, an die Post zu senden:

Ich fordere gemäß Art. 15 Datenschutz-Grundverordnung (Verordnung (EU) 2016/67 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürliche Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, DSGVO) Auskunft über die von der Österreichischen Post AG von mir verarbeiteten personenbezogenen Daten, insbesondere

• die verarbeiteten Daten selbst, sowie die Kategorien personenbezogener Daten, die verarbeitet werden;
• die Verarbeitungszwecke inkl. Verweis auf den jeweiligen Datensatz
• die Empfänger und Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
• die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
• wenn die personenbezogenen Daten nicht bei unserem Mandaten erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
• Informationen hinsichtlich des Bestehens einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für unseren Mandanten,
• eine Aufklärung hinsichtlich der Rechte.

Weiters mache ich das Recht auf Kopie der Daten gemäß Art. 15 Abs 3 DSGVO geltend.

Medienberichte dazu

• Salzburger Nachrichten 4.4.2019
• Salzburger Nachrichten 19.4.2019

Kostenloses Erstgespräch jetzt buchen

Online buchen – sofort Wunschtermin samt Link zur Videokonferenz erhalten:

Alternativ telefonisch buchen:

Wien +43 1 2535923
Linz +43 732 210325
Salzburg +43 662 623323
Graz +43 316 459097
Klagenfurt +43 463 519001
München +49 89 21536610

• Marketingrecht
  • Markenrecht
  • Urheberrecht
  • Wettbewerbsrecht
  • Datenschutzrecht
  • IT-Recht
  • E-Commerce-Recht
  • Social Media-Recht
  • Medienrecht
• Wirtschaftsrecht
  • Gesellschaftsrecht
  • AGB und Verträge
  • Haftungsrecht
  • Inkasso
  • Vertretung vor Gericht
  • Wirtschaftsmediation
  • Wirtschaftsstrafrecht
• Jobs

Ihre Ansprechpartner

Peter Harlander
Rechtsanwalt
Geschäftsführer
RAK Salzburg, München Sebastian Riedlmair
Rechtsanwalt
Geschäftsführer
RAK Salzburg, München Eva-Maria Wiesenhofer-Hahn
Rechtsanwältin
Kooperationspartnerin
RAK Steiermark Alexander Putzendopler
Rechtsanwalt
Kooperationspartner
RAK Wien Philippe Aigner
Rechtsanwalt
Kooperationspartner
RAK Oberösterreich Hannes Mautz
Rechtsanwalt
Kooperationspartner
RAK Kärnten Benjamin Schreiber
Rechtsanwalt
Kooperationspartner
RAK München Christine Holzleitner
Rechtsanwaltsanwärterin Andreas Fiedler
Rechtsanwaltsanwärter Maximilian Kindermann
Rechtsanwaltsanwärter Mag. Georgine Berger
Juristin
Datenschutzbeauftragte Marlene Falle
Rechnungswesen Anika Ziegenhain
Jur. Sachbearbeiterin Miriam Springer
Jur. Sachbearbeiterin Tobias Mühlbauer
Jur. Sachbearbeiter Anna Sophie Fötschl
Jur. Sachbearbeiterin Lukas Leitner
Jur. Sachbearbeiter