Post: So kam es zur Rekordstrafe von 18 Millionen Euro
„Das ist die höchste bisher verhängte Strafe in Österreich“, sagt Matthias Schmidl, stellvertretender Leiter der Datenschutzkommission. Man könnte auch sagen: An der Post AG wurde nun ein erstes Exempel in Sachen Datenschutzgrundverordnung (DSGVO) stationiert.
Als Folge der Affäre um die Weitergabe von Parteiaffinitäten soll das Unternehmen 18 Millionen Euro Strafe bezahlen. Post-Anwalt Stefan Prochaska kündigte daraufhin sofort eine Berufung an.
Dabei hätte die Strafe sogar noch höher ausfallen können. „Vier Prozent des Jahresumsatzes“ beträgt die Höchststrafe“. Da die Post im Vorjahr ihren Umsatz auf knapp zwei Milliarden Euro steigern konnte, wären sogar an die 80 Millionen Euro fällig geworden. „Bei der Urteilsbemessung spielt eine Rolle, ob jemand vorsätzlich handelt oder fahrlässig und ob es Vorstrafen gibt“, erklärt Schmidl.
Daten oder nicht?
Das Urteil selbst ist geheim, Anwalt Prochaska skizzierte aber schon im Vorfeld gegenüber dem KURIER den Kern der Sache: Es geht dabei vor allem um die Weitergabe der so genannten Parteiaffinität. Diese wurde aus Daten wie Adresse und Alter hochgerechnet.
Wer also zum Beispiel 50 Jahre alt ist und in Döbling lebt, werde eher der ÖVP zugerechnet. Lebt er jedoch in Simmering, dann sind die Chancen deutlich höher, dass er FPÖ oder SPÖ wählt. Postinterne Untersuchungen haben ergeben, dass ein und dieselbe Person an unterschiedlichen Adressen auch unterschiedlichen Parteien zugeordnet wurde. Die Daten seien deshalb eben nicht valide, sondern nur eine statistische Berechnung.
Die rechtliche Frage dabei ist nun: Sind das Daten, die hier illegal weitergeben wurden, oder eben nur harmlose Hochrechnungen?
Der Verein für Konsumentenschutz (VKI) hat das heftig kritisiert, die Post wurde deshalb vor wenigen Tagen auch mit dem Überwachungspreis „Big-Brother-Award“ ausgezeichnet.
Die Datenschutzkommission sah das offenbar ähnlich und verhängte deshalb diese österreichische Rekordstrafe. Diese sei allerdings auch wegen der Weitergabe von Daten wie der Häufigkeit von Paketzustellungen verhängt worden, heißt es, nicht ausschließlich wegen der Partei-Affinität.
Die Post, die das Urteil am Montagnachmittag erreichte, musste daraufhin am Dienstag sogar eine Ad-hoc-Warnung an die Aktionäre ausgeben, weil sie dafür Rücklagen bilden muss. Trotz der Millionenstrafe rechnet die Post jedenfalls mit einem steigenden Umsatz und einem stabilen operativen Ergebnis.
„Die Post sieht durch das Urteil ihr Kerngeschäft der Direktwerbung gefährdet und wird sich an das Bundesverwaltungsgericht wenden“, kündigt Prochaska gegenüber dem KURIER an. „Die Post hält die Entscheidung für inhaltlich falsch und die verhängte Strafe für völlig überzogen. Wir haben stets betont, dass es sich bei den Prognosen um statistische Hochrechnungen und nicht um tatsächliche persönliche Daten handle. Die Daten sind schon (seit Februar, Anm.) gelöscht und darüber hinaus führt diese Entscheidung zu einer Ungleichbehandlung zwischen der Post und Datenverarbeitung durch Internetfirmen.“
Post sieht Teilerfolg
Mit der Entkräftung der weiteren Vorwürfe konnte die Post jedenfalls einen Teilerfolg erzielen, wird dort betont. So hielt die Datenschutzbehörde fest, dass die Post als Adressverlag und Direktmarketingunternehmen bestimmte Datenkategorien ohne Zustimmung der betroffenen Personen sammeln und verarbeiten darf, ja dies im Zuge ihrer Tätigkeit sogar muss. Eine Information aller Postkunden könne auf Grund der hohen Anzahl der betroffenen Personen sogar unterbleiben.
Keine Vorteile bringe diese Entscheidung den Klägern in Einzelklagen, die gegen die Post laufen, betont Prochaska. In solchen Fällen hat immer der Kläger zu beweisen, dass sein persönliches Recht auf Datenschutz verletzt wurde und habe nur dann überhaupt eine Chance auf Schadenersatz.
Die Entscheidung der Datenschutzbehörde spräche aber laut dem Anwalt derartiges nicht aus. Auch zukünftige Datenabfragen bei der Post würden ins Leere gehen, da die Post die entscheidungsgegenständlichen Affinitäten nicht mehr speichere und damit natürlich auch nicht mehr verarbeite.
Aktienkurs stabil
Auf den Börsenkurs der Post AG hatte die Nachricht von der Rekordstrafe der Datenschutzkommission jedenfalls wenig Auswirkung. In den drei Stunden nach der Ad-hoc-Meldung unter dem Titel „Meilensteine und Ausblick für 2019 und 2020“ gab er um nicht einmal ein Prozent nach und blieb weiter auf über 33 Euro.
________________________________
Die Tücken der Datenschutzgrundverordnung
Die EU hat die Datenschutzgrundverordnung im Mai 2018 für alle Unternehmen verbindlich gemacht. Seit diesem Stichtag wird gestraft und es gibt keine Gnade.
Die bisherige Höchststrafe musste dabei die Fluglinie „British Airways“ berappen. Sie musste umgerechnet rund 205 Millionen Euro bezahlen, obwohl sie gar nicht wissentlich gehandelt hat. Durch eine Sicherheitslücke im Buchungssystem konnten unbekannte Hacker die Daten von 500.000 Kunden stehlen – Reiseinfos und die Daten der Kreditkarten. Dafür waren 1,5 Prozent des Jahresumsatzes fällig.
Zum Vergleich: Die Post bekam für die wissentliche Weitergabe der Daten einen „Strafzettel“ über knapp ein Prozent des Jahresumsatzes.
Die US-Kette Marriott wurde ebenfalls kürzlich zu 110 Millionen Euro Strafe verdonnert. Ihr Vergehen: Durch ein Datenleck flossen die Daten von 339 Millionen Kinde ab. Erschwerend war offenbar, dass dies über vier Jahre lang geschah.
Die österreichische Rekordstrafe (die vierthöchste in der EU bisher) übertrifft bisher jedenfalls auch unseren nördlichen Nachbarn. Laut Informatik Aktuell gab es in Deutschland bisher 100 Fälle mit einem Gesamtschaden von einer halben Million Euro. Oft minderte sich dabei das Strafmaß, weil die Unternehmen die Datenpanne selbst meldeten, Fehlerquellen sofort behoben oder direkt mit den Behörden kooperierten.
Die bisher höchste Strafe verhängte die Berliner Datenschutzbehörde: Das Lieferunternehmen Delivery Hero, das Marken wie Foodora betrieb, musste 195.000 Euro zahlen. Mangelhafte Datenauskunft, nicht gelöschte Kundendaten und Werbemails, die trotz Widerspruchs versendet wurden, werden als Gründe genannt.
Doch auch die großen Giganten kommen nicht straffrei davon. Google etwa musste 50 Millionen Euro bezahlen, weil die Nutzer nicht über die Datennutzung informiert wurden und es keine Einwilligung für die Verarbeitung der Daten für Werbezwecke gab.
Kommentare