DSB verurteilt Post zu Rekordstrafe

30.10.2019 - Michael Kornfeld

Wie derStandard berichtete hat die österreichische Datenschutz-Behörde (DSB) eine Rekordstrafe (nicht rechtskräftig) verhängt: Für die Speicherung und den Verkauf von Partei-Affinitäten muss die Post 18 Mio. zahlen.

 

Doch der Reihe nach.

 

Was war das Vergehen?

Wie heuer bekannt wurde, hatte die österreichische Post für eine große Anzahl an Datensätzen (2,2 Millionen) eine Parteiaffinität gespeichert. Diese wurde nicht persönlich abgefragt oder einzeln ermittelt, sondern auf Basis von Daten wie dem Alter und der Wohngegend hochgerechnet.

 

Damit konnten also Kunden der Post für ihre Direktmarketing-Aktionen auch diese Partei-Affinität für die Segmentierung heranziehen. Es war also möglich, Personen die (vermeintlich) den Grünen nahestehen, gezielt Direkt-Mailings zu schicken.

 

Im Oktober 2019 wurde der Post dafür der Negativpreis Big Brother Award zuerkannt.

 

Die Post hat diese Daten übrigens inzwischen nach eigenen Angaben gelöscht.

 

Wieso die Strafe?

Die Post argumentiert, dass es sich bei den Daten um reine statistische Hochrechnungen handle und nicht um tatsächlich persönliche Daten.

 

Diese Argumentation ist meiner Meinung nach reichlich absurd. Denn die Daten sind nun mal persönlich, weil sie sich ja auf eine einzelne konkrete Person beziehen. Dass die Information nur berechnet wurde, ist da nicht relevant. Denn wenn man beispielsweise das Alter einer Person einfach nur schätzt, ist dieses Datum dennoch bei der Person gespeichert.

 

Ganz abgesehen davon, dass es sich hier ja um recht sensible Daten handelt, die über die (vermeintliche) Weltanschauung einer Person Auskunft gibt.

 

Die Datenschutzbehörde hat nun jedenfalls entschieden, dass die Speicherung und Weitergabe dieser Daten nicht zulässig war und dafür eine Strafe von 18 Mio. angesetzt. Das ist die vierthöchste Strafe, die in Europa jemals für ein datenschutz-rechtliches Vergehen verhängt wurde (die drei höheren Strafen waren 205 Mio. Euro gegen British Airways, 110 Mio. Euro gegen Marriott und 50 Mio. Euro gegen Google).

 

Wie geht es jetzt weiter?

Die Strafe ist nicht rechtskräftig. Die Post hat bereits angekündigt gegen das Urteil und den Strafrahmen Berufung einzulegen. Nun muss der Verwaltungsgerichtshof darüber entscheiden.

 

Was bedeutet das Urteil?

Eines sollte mit dem Urteil wohl nun endgültig klar sein: Der nachlässige Umgang mit dem Datenschutz ist kein Kavaliersdelikt. Das betrifft sowohl große Konzerne als auch kleine KMUs.

 

Daher sind wohl alle Unternehmen gut beraten, sich die Rahmenbedingungen der DSGVO (zum Beispiel das „Prinzip der Datensparsamkeit“ oder „Datenschutz durch Voreinstellung“) wieder in Erinnerung zu rufen – denn bei vielen Unternehmen ist das Thema nach der anfänglichen Hysterie rasch wieder eingeschlafen.

 

Grund für Panik ist keine gegeben. Doch das Thema (weiter) nicht allzu ernst zu nehmen ist wohl auch keine gute Strategie.

 

Gefällt Ihnen dieser Artikel?

Rund 1x/Monat bekommen Sie die besten Artikel kostenlos in Ihre Inbox.

Newsletter abonnieren

 
 
Maus