Die Post weiß was, was du nicht weißt … (und sie nicht wissen sollte)

 

Wie heute in einigen Medien[1] berichtet wurde, besitzt die Post neben Name, Adresse und Anzahl der zugestellten Pakete noch wesentlich mehr personenbezogene Daten, die in rund drei Millionen[2] Datensätzen und Profilen gespeichert sind.

Die Post ist nicht nur Brief- und Paketzusteller, sondern auch Adresshandel. Demnach darf sie neben der Zustellung von Werbesendungen auch ihre Kunden beim Versand dieser Mailings unterstützen und bietet personenbezogene Zielgruppenadressen (ausschließlich zu Werbezwecken) an. Die rechtliche Grundlage dafür findet sich in § 151 GewO.

In Abs 3 ist normiert, dass Adressverlage personenbezogene Daten für „ihre Tätigkeiten gem. Abs 1 und 2“ ermitteln dürfen:

§ 151 Abs 3 GewO 1994: Die in Abs. 1 genannten Gewerbetreibenden sind berechtigt, für ihre Tätigkeiten gemäß Abs. 1 und 2 personenbezogene Daten aus öffentlich zugänglichen Informationen, durch Befragung der betroffenen Personen, aus Kunden- und Interessentendateisystemen Dritter oder aus Marketingdateisystemen anderer Adressverlage und Direktmarketingunternehmen zu ermitteln, soweit dies unter Beachtung des Grundsatzes der Verhältnismäßigkeit für 
1. die Vorbereitung und Durchführung von Marketingaktionen Dritter einschließlich der Gestaltung und des Versands für Werbemitteln oder
2. das Listbroking
erforderlich und gemäß Abs. 4 und 5 zulässig ist.

Eine Zustimmung der Betroffenen ist hierfür nicht notwendig, da als rechtliche Grundlage für die Verarbeitung ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO herangezogen werden kann.[3]  Soweit ist also alles datenschutzrechtlich konform, wenn auch für viele Betroffenen überraschend und neu – so auch für mich, als ich die Auskunft nach Art 15 DSGVO erhalten habe, die 194 (in Worten einhundertvierundneunzig) Seiten umfasst.

berechtigtes Interesse der Post

Die Post stützt sich bei der Ermittlung und in der Folge bei der Verwertung und dem Verkauf der Daten auf ein berechtigtes Interesse[4] und benötigt also keine Einwilligung.

Ein berechtigtes Interesse ist eine passende Rechtsgrundlage, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann nicht, wenn es sich bei der betroffenen Person um ein Kind handelt.

Diese Rechtsgrundlage greift beispielsweise bei Direktwerbung (Vgl. ErwGr 47 Satz 6 und 7), bei Betrugsbekämpfung oder Gewährleistung der Netz- und Informationssicherheit. Es ist dabei jeweils zu prüfen

  1. ob ein berechtigtes Interesse vorliegt
  2. ob die Verarbeitung für die Erreichung des Ziels erforderlich ist
  3. ob bzw. inwiefern in die Grundrechte der Betroffenen eingegriffen wird und welche Folgen für die Betroffenen bestehen (Wahrscheinlichkeit, Schwere, Art der Daten, Art und Weise der Verarbeitung, …) -> Interessenabwägung
  4. ob geeignete Schutzmaßnahmen gesetzt wurden
  5. ob die Betroffenen entsprechend informiert wurden (transparente Information, Artt 13, 14 DSGVO)
  6. und ob schließlich kein Widerspruch des Betroffenen eingelegt wurde.

Behörden können sich in Erfüllung ihrer Aufgaben übrigens nicht auf ein berechtigtes Interesse stützen.

Daten besonderer Kategorien

Neben Daten wie „Bioaffinität, Selbständigkeit, Investmentaffinität, Lebensphase oder Spendenaffinität“ verarbeitet die Post aber auch Daten über parteipolitische Affinität. Dies ist der Grund für die Aufregung in den Medien, da personenbezogene Daten über die politische Meinung sogenannte „sensible Daten“ (nach der Diktion der DSGVO: Daten besonderer Kategorien) darstellen.

In Art 9 DSGVO wird die Rechtmäßigkeit für Daten besonderer Kategorien etwas strenger geregelt. Demnach dürfen diese Daten nur dann verarbeitet werden, wenn

  1. Der Betroffene ausdrücklich einwilligt
  2. die Verarbeitung aus arbeits- und sozialrechtlichen Gründen erforderlich ist
  3. die Verarbeitung zum Schutz lebenswichtiger Interessen erforderlich ist (und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, einzuwilligen)
  4. die Verarbeitung aufgrund geeigneter Garantien durch bestimmte Stiftungen, Vereinigungen oder sonstigen Organisationen ohne Gewinnerzielungsabsicht durchgeführt wird
  5. die Daten von der betroffenen Person offensichtlich öffentlich gemacht wurden
  6. die Verarbeitung für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist
  7. die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist[5]
  8. die Verarbeitung für Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin erforderlich ist
  9. die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist
  10. die Verarbeitung für wissenschaftliche oder historische Forschungszwecke erforderlich ist.

Ein berechtigtes Interesse wie in Art 6 Abs 1 lit f DSGVO gibt es für Daten besonderer Kategorien allerdings nicht. Dh. wenn nicht eine der oben genannten Voraussetzungen (Art 9 Abs 2 lit a-j DSGVO) vorliegt, dürfen keine „sensiblen Daten“ verarbeitet werden.

Die Post hat bei rund 2,2 Millionen Österreichern auch die Parteiaffinität gespeichert. Die Kernfrage ist nun, ob das Kriterium Partei-XYZ-Affinität (Werte: Ja, Nein, sehr niedrig, niedrig, hoch, sehr hoch) sensible Daten iSd Art 9 DSGVO sind. Eine Definition des Begriffs „politische Meinung“ liefert die DSGVO nicht. Der Begriff wird aber weit auszulegen sein.[6] Schwierig ist auch die Auslegung, ob eine politische Meinung aus einem bestimmten Datum mit hinreichender Wahrscheinlichkeit hervorgeht. Entscheidend ist also die Wahrscheinlichkeit einer richtigen Zuordnung. Die Aggregation vieler Einzeldaten versetzt Unternehmen (wie zB. Facebook) in die Lage, aus einzelnen Nutzerhandlungen relativ sichere Rückschlüsse zu ziehen.[7] Nachdem der Algorythmus der Post für die Berechnung der politischen Affinität nicht offengelegt wird, ist davon auszugehen, dass ein relativ sicherer Rückschluss möglich sein wird. Ansonsten würden sie die Daten nicht an politische Parteien verkaufen (können).

Demnach wird nach strenger Auslegung bereits die parteipolitische Affinität unter den Begriff der „politischen Meinung“ fallen, die Post könnte sich nicht auf ein berechtigtes Interesse stützen und würde gegen die Grundsätze der Datenverarbeitung verstoßen.

Zusammenfassung

Die Post verarbeitet neben Name, Adresse und Anzahl an zugestellten Briefen und Paketen auch noch eine Menge an personenbezogenen Daten, die sie als Adresshandel gem § 151 GewO rechtmäßig – meist auf Grundlage eines berechtigten Interesses gem Art 6 Abs 1 lit f DSGVO – verarbeitet. Unter anderem werden aber auch parteipolitische Affinitäten gespeichert und weiterverkauft, die ggf. als Daten besonderer Kategorien nach Art 9 DSGVO kein berechtigtes Interesse zulassen.

Um zu erfahren, welche personenbezogenen Daten die Post verarbeitet, kann jede natürliche Person das Recht auf Auskunft iSd Art 15 DSGVO geltend machen. Werden parteipolitische Daten gespeichert und ggf. auch weiterverkauft, steht jedem Betroffenen auch das Recht auf Widerspruch (Art 21 DSGVO) bzw. Löschung (Art 17 DSGVO) zu.

Ob die parteipolitische Affinität tatsächlich ein Datum besonderer Kategorien iSd Art 9 DSGVO darstellt und ob die Post gegen die Grundsätze der Datenverarbeitung verstößt, wird wohl die Datenschutzbehörde feststellen müssen.


[1] Vgl. https://www.addendum.org/datenhandel/parteiaffinitaet/, https://diepresse.com/home/Economist/Unternehmen/5556461/Die-Post-verkauft-Daten-zur-Parteiaffinitaet, https://derstandard.at/2000095561878/Die-Post-soll-persoenliche-Informationen-verkaufen?utm_term=Autofeed&utm_medium=Social&utm_source=Facebook&fbclid=IwAR0cCF2jd4FPaozsAX0tTM5SqMF3xvSXjhOm9zw-lRr3UxU5v5-6iQQSuhY#Echobox=1546853372 Abfrage jeweils am 7.1.2019.

[2] lt. eigenen Angaben der Post

[3] So auch in der Auskunft nach Art 15 DSGVO von der Post angegeben.

[4] Ob ein berechtigtes Interesse vorliegt, ist anhand mehrerer Faktoren zu prüfen. Vgl. dazu in meinem Blog den Eintrag https://www.netsystem.at/wann-liegt-eigentlich-ein-berechtigtes-interesse-vor/, bzw. https://www.netsystem.at/produkt/das-berechtigte-interesse/

[5] Vgl. http://www.foev-speyer.de/files/de/downloads/Kuehling_Martini_et_al_Die_DSGVO_und_das_nationale_Recht_2016.pdf Seite 47-55, Abfrage am 7.1.2019.

[6] Vgl. den Schutzzweck des Art 9 DSGVO.

[7] Vgl. Schiff in Ehmann/Selmayr, Datenschutz-Grundverordnung2 (2018),Art 9 Rz 22.