Datenschutzskandal von

Post muss 18 Mio. Euro
Verwaltungsstrafe zahlen

Datenschutzskandal - Post muss 18 Mio. Euro
Verwaltungsstrafe zahlen © Bild: APA/Georg Hochmuth

Die Österreichische Post hat im Datenskandal um die Speicherung von Parteiaffinitäten von Millionen Post-Kunden und dem Verkauf dieser Daten an wahlwerbende Parteien eine Verwaltungsstrafe von 18 Mio. Euro von der Datenschutzbehörde wegen Verwendung von Marketingdaten erhalten, geht aus einer Post-Mitteilung hervor. Die Entscheidung ist nicht rechtskräftig, die Post legt Rechtsmittel ein.

Das Straferkenntnis sei nicht rechtskräftig, die Post werde Rechtsmittel gegen diesen Bescheid erster Instanz ergreifen.

Das operative Ergebnis Ebit werde für heuer in Summe stabil angepeilt, nicht darin enthalten sei allerdings eine Rückstellung für diese Verwaltungsstrafe der Datenschutzbehörde, teilte die börsennotierte teilstaatliche Post am Dienstag mit. Sowohl für 2019 als auch für 2020 werde ein Umsatzanstieg prognostiziert.

Post-Anwalt Stefan Prochaska erklärt in einer Stellungnahme an den "Kurier", dass die Datenschutzbehörde mit dem Bescheid klargestellt habe, dass die Post AG im Rahmen ihres Gewerbes Adressverlage und Direktmarketingunternehmen personenbezogene Daten sammeln und verarbeiten muss. Wenn die Post jedoch statistische Wahrscheinlichkeiten über die Parteiaffinität erstelle, sei das eine Rechtsverletzung gemäß der Datenschutzgrundverordnung. Die Post sieht ihr Kerngeschäft der Direktwerbung gefährdet und wird sich an das Bundesverwaltungsgericht wenden."

Strafe völlig überzogen?

Die Datenschutzbehörde teilte am Dienstag mit, sie habe die Verwaltungsstrafe von 18 Mio. Euro gegen die Post nach Durchführung eines ordentlichen Verwaltungsstrafverfahrens mit Straferkenntnis vom 23. Oktober 2019 verhängt. Sie habe es nach Durchführung einer mündlichen Verhandlung aufgrund der Beweislage als erwiesen angesehen, dass die Post durch die Verarbeitung von personenbezogenen Daten über die vermeintliche politische Affinität von Betroffenen gegen die Datenschutzgrundverordnung verstoßen habe, wie die Behörde am Dienstag mitteilte. Darüber hinaus sei unter anderem eine Rechtsverletzung wegen der Weiterverarbeitung von Daten über die Paketfrequenz und die Häufigkeit von Umzügen zum Zweck des Direktmarketings festgestellt, weil dies keine Deckung in der DSGVO findet. "Diese Rechtsverletzungen wurden rechtswidrig und schuldhaft begangen, weshalb die Verwaltungsstrafe in oben genannter Höhe angemessen war, um andere bzw. gleichartige Rechtsverletzungen hintanzuhalten", heißt es in der Mitteilung.

Die Post und Prochaska halten laut "Kurier" die Entscheidung "für inhaltlich falsch und die verhängte Strafe für völlig überzogen. Wir haben stets betont, dass es sich bei den Prognosen um statistische Hochrechnungen und nicht um tatsächliche persönliche Daten handle, die Daten schon gelöscht sind und darüber hinaus diese Entscheidung zu einer Ungleichbehandlung zwischen der Post und Datenverarbeitung durch Internetfirmen führt", heißt es im Online-"Kurier" weiter.

Teilerfolg für die Post

Mit der Entkräftung der weiteren Vorwürfe habe die Post einen Teilerfolg erzielt, werde betont. So habe die Datenschutzbehörde festgehalten, dass die Post als Adressverlag und Direktmarketingunternehmen laut § 151 Gewerbeordnung bestimmte Datenkategorien ohne Zustimmung der betroffenen Personen sammeln und verarbeiten darf, ja dies im Zuge ihrer Tätigkeit sogar muss. Eine Information aller Postkunden - das sind in Österreich alle Haushalte - über die Datenverarbeitung könne aufgrund der Anzahl der betroffenen Personen unterbleiben.

Klägern in Einzelklagen bringe die Entscheidung keine Vorteile, betont Pochaska laut "Kurier". In solchen Fällen habe immer der Kläger zu beweisen, dass sein persönliches Recht auf Datenschutz verletzt wurde und nur dann überhaupt eine Chance auf Schadenersatz bestehe. Die Entscheidung der Datenschutzbehörde spreche aber derartiges nicht aus, so der Post-Anwalt. Auch zukünftige Datenabfragen bei der Post gingen ins Leere, da die Post die entscheidungsgegenständlichen Affinitäten nicht mehr speichert und auch nicht mehr verarbeitet.

Vierthöchste Strafe in der EU

Die Strafe gegen die Österreichische Post zählt zu den höchsten Geldbußen der EU, sagte der auf Datenschutzrecht spezialisierte Anwalt Sascha Jung. Seit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) habe es nur drei höhere Strafen, 205 Mio. Euro gegen British Airways, 110 Mio. Euro gegen Marriott und 50 Mio. Euro gegen Google, gegeben, so Jung.

Der Rechtsanwalt erwartet, dass die Strafe gegen die Post in der zweiten Instanz reduziert wird, weil es Spielraum bei der Auslegung gibt. So seien die Kriterien für die Strafbemessung in der DSGVO "teilweise nicht objektivierbar". Die Strafhöhe von 18 Mio. Euro lasse sich durch die hohe Anzahl Betroffener sowie den Umsatz der Post erklären.

Den Datenschutzbehörden ist es ernst

Für Unternehmen, die bisher davon ausgegangen sind, dass die Datenschutz-Strafen nur Internetkonzerne betreffen, zeige der Fall der Post, dass es den Datenschutzbehörden, auch der in Österreich, ernst ist. Viele Unternehmen hätten sich in falscher Sicherheit gewiegt. "Selbst als Datenschutzbehörden in Großbritannien und Frankreich erste Geldbußen in drei- bzw. zweistelliger Millionenhöhe verhängten, blieben viele gelassen", so Jung, der Partner bei der Wiener Kanzlei Jank Weiler Operenyi und Teil von Deloitte Legal ist.

"Natürlich bedeutet dieser Fall nicht, dass Millionenstrafen nun zum Tagesgeschäft werden", räumte Jung ein. Allerdings könnten auch geringere Strafen für kleinere Unternehmen mehr als schmerzhaft sein. 2018 waren in der EU neue europäischen Datenschutzvorschriften in Kraft getreten, wonach Behörden Unternehmen mit bis zu vier Prozent ihres weltweiten Umsatzes für Datenschutzverletzungen bestrafen können.