DSB verurteilt Post zu Rekordstrafe

Wie Anfang 2019 bekannt wurde, hatte die österreichische Post für eine große Anzahl an Datensätzen (2,2 Millionen) eine Parteiaffinität gespeichert. Diese wurde nicht persönlich abgefragt oder einzeln ermittelt, sondern auf Basis von Daten wie dem Alter und der Wohngegend hochgerechnet. Diese Daten wurden in Folge an interessierte Unternehmen für gezielte Marketingaktivitäten verkauft.

Die Datenschutzbehörde hat nun entschieden, dass die Speicherung und Weitergabe dieser Daten nicht zulässig war und dafür eine Strafe von 18 Millionen Euro angesetzt. Das ist die vierthöchste Strafe, die in Europa jemals für ein datenschutzrechtliches Vergehen verhängt wurde (die drei höheren Strafen waren 205 Mio. Euro gegen British Airways, 110 Mio. Euro gegen Marriott und 50 Mio. Euro gegen Google).

Die Strafe ist nicht rechtskräftig und die Post hat bereits angekündigt gegen das Urteil und den Strafrahmen Berufung einzulegen. Damit liegt die endgültige Entscheidung nun beim Verwaltungsgerichtshof.

Weitere Verfahren sind noch anhängig
In diesem Zusammenhang gibt es noch weitere Verfahren gegen die Post AG, weil die Post AG bei Auskunftsbeantwortungen zwar angibt, dass und welche Daten gespeichert wurden aber nicht, an wen diese Daten weitergegeben wurden. Auch die Plattform Cobin Claims bereitet eine Sammelklage vor und hat schon über 1.500 Beschwerden gesammelt. Das Landegericht Feldkirch hat einem Kläger deswegen 800 Euro Schadenersatz zugesprochen. Das Urteil ist nicht rechtskräftig, da Kläger und beklagte Partei dagegen Einspruch erhoben haben.

 

Datenschutzbehörde leitet Verfahren gegen Post ein

Anfang dieser Woche hat die Rechercheplattform
“addendum” darüber berichtet, dass die Post bei rund 2,2 Millionen
Österreichern auch die Parteiaffinität abgespeichert hat und diese Daten an
Dritte weiterverkauft. Datenschützer halten das für illegal. Dies hat eine
Welle der Empörung ausgelöst und eine Unmenge von Anträgen auf Auskunft laut
der DSGVO sind bei der Post eingelangt. Die Post verwaltet eigenen Angaben
zufolge rund drei Millionen Datensätze und Profile.

Die Post selbst kann die Kritik nicht verstehen und wies die
Vorwürfe zurück. Georg Mündl, Leiter des Adressmanagements, erklärte gestern im
“OE1 Mittagsjournal”, dass es üblich sei, Wahrscheinlichkeiten zu
berechnen, damit Firmen zielgenaue Angebote aussenden können. Die politische
Präferenz werde lediglich geschätzt, dies sei in der Digitalisierung üblich.
Mündl betonte weiters, dass man sich zu 100 Prozent an die Gewerbeordnung und
die Datenschutzgrundverordnung halte.

Anders sieht dies Dietmar
Jahnel vom Institut für Verfassungs- und Verwaltungsrecht an der Uni Salzburg.
Er erklärte im „OE1 Mittagsjournal“, dass die politische Meinung nicht zu jenen
Daten zähle, deren Speicherung laut Gewerbeordnung zulässig sei. Dem
Unternehmen könnten Strafen drohen, denn die Datenspeicherung sei weder von der
Gewerbeordnung noch von der Datenschutzgrundverordnung gedeckt.
Heute hat die Datenschutzbehörde laut seiner Leiterin Andrea Jelinek ein
Prüfverfahren eingeleitet. Die Post müsse nun innerhalb von zwei bis drei
Wochen zu den Vorwürfen Stellung nehmen.

Das erste Bußgeld nach Datenschutz-Grundverordnung in Deutschland wurde verhängt

Wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit hatte die Bußgeldstelle des LfDI (Landesbeauftragter für Datenschutz und Informationsfreiheit) Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000 Euro verhängt.

„Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Dr. Brink. Wie die Aufsichtsbehörde mitteilte, konnte man in konstruktiver Zusammenarbeit mit dem Unternehmen für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten sorgen.