Post verstößt gegen DSGVO

Die österreichische Post hat gegen die DSGVO verstoßen und muss 18 Millionen Euro Bußgeld bezahlen. Verhängt hat diese „Verwaltungsstrafe“ nach Durchführung eines Verwaltungsstrafverfahrens die Österreichische Datenschutzbehörde. Es geht um den rechtswidrigen Handel mit personenbezogenen Daten mehrerer Millionen Österreicher. Öffentlich gemacht hat die Geldbuße im Zusammenhang mit der Veröffentlichung der Geschäftszahlen die Österreichische Post AG selbst. Akzeptieren will sie die Strafe aber nicht, denn sie hat angekündigt Rechtsmittel einzulegen. Der Datenschutzbehörde zufolge werden der Post mehrere Verstöße gegen die DSGVO vorgeworfen. Das berichtet der ORF.

Was war passiert?

Bereits Anfang des Jahres wurde bekannt, dass die Österreichische Post seit einigen Jahren einen schwunghaften Datenhandel betrieb. Personenbezogene Daten wurden weitergegeben. Es ging etwa darum, wie alt die betroffenen Personen sind, ob sie gerne laufen, wie ihre familiäre Situation aussieht oder wie häufig sie Pakete bekommen. Von 2,2 Millionen Österreichern wurde sogar eine Bewertung der „Affinität“ zu bestimmten politischen Parteien erstellt und an Dritte verkauft. Die politische Gesinnung ist als besonderes personenbezogenes Datum nach Artikel 9 DSGVO besonders geschützt.

Die Daten seien gar nicht unbedingt „tatsächlich zutreffend“, sondern Ableitungen aus anderen Informationen, erklärt die Post dazu. Es würde sich „bei den Prognosen um statistische Hochrechnungen und nicht um tatsächliche persönliche Daten“ handeln. Die Österreichische Datenschutzbehörde hatte nach einer entsprechenden Prüfung des Vorgehens der Post aufgegeben, diese Art der Datenverarbeitung mit sofortiger Wirkung zu unterlassen. Außerdem seien die Daten zu löschen.

Hohes Bußgeld als Ergebnis der Prüfung

„Diese Rechtsverletzungen wurden rechtswidrig und schuldhaft begangen, weshalb die Verwaltungsstrafe in oben genannter Höhe angemessen war, um andere bzw. gleichartige Rechtsverletzungen hintanzuhalten“, heißt es in der Mitteilung der Datenschutzbehörde.

Wie der ORF nun berichtet, hält die Datenschutzbehörde es nach mündlicher Verhandlung für erwiesen an, dass die Österreichische Post durch die Datenverarbeitung bzgl. der politischen Affinitäten gegen die DSGVO verstoßen hat. Auch die Weiterverarbeitung von Daten zur konkreten Paketfrequenz und zur Häufigkeit von Umzügen der Betroffenen sei rechtswidrig gewesen.

Wie gesagt, ist die Post mit dieser Ansicht nicht einverstanden, sodass es noch keine rechtskräftige Entscheidung gibt. Es wird abzuwarten bleiben, wie sich das Verfahren weiter entwickelt und, ob sodann ein Gericht (zuständig ist nach ORF-Angaben wohl das Bundesverwaltungsgericht) zu den in der Praxis wichtigen Fragen Stellung nimmt.

Meine Meinung dazu, können Sie in meinem Beitrag auf unserem Portal rund um das Datenschutzrecht und die DSGVO nachlesen.

Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man

Urheberangabe für das Foto für diesen Beitrag:

  • Erbschaftssteuer: © eyetronic – Fotolia.com