Unter dem Titel „Meilensteine und Ausblick für 2019 und 2020“ verschickte die Österreichische Post AG gestern ein ganzes Informationspaket an ihre Investoren. Von der Umsatzprognose über Ertragsaussichten bis hin zur Partnerschaft mit der DHL und der mehrheitlichen Übernahme der Grazer Brüll Kallmus spannte sich der Themenbogen. Übrig blieb aber vor allem ein Thema, das auf gerade einmal vier Zeilen abgehandelt wurde: die von der Datenschutzbehörde gegen die Post verhängte, nicht rechtskräftige Strafe über 18 Millionen Euro – in Höhe und Ausgestaltung beispiellos. Hintergrund sind Post-Praktiken, die zu Jahresbeginn bekannt geworden sind und schnell mit dem Etikett „Datenaffäre“ versehen wurden.
Aber der Reihe nach: Anfang Jänner wurde publik, dass die Post unter anderem die Parteiaffinität ihrer Kunden erhebt. Österreichs Datenschutzbehörde leitete vor dem Hintergrund der mit Mai 2018 in Kraft getretenen EU-Datenschutzgrundverordnung (DSGVO) ein Prüf- und später ein Strafverfahren ein. Dessen Ergebnis: Die Behörde sieht es als erwiesen an, dass die Post in mehreren Punkten gegen die Verordnung verstoßen hat.
Einerseits durch ebenjene öffentlich heiß diskutierte „Verarbeitung von personenbezogenen Daten über die vermeintliche politische Affinität“. Gleichzeitig – und das gibt der Causa jetzt weitere Brisanz – sieht die Datenschutzbehörde aber auch eine Rechtsverletzung, weil die Post Daten über „Paketfrequenz“ und die „Häufigkeit von Umzügen“ zum Zwecke des Direktmarketings weiterverarbeitet und -verkauft habe. In Summe würde das eben zu einer Strafe in Höhe von 18 Millionen Euro führen.
Post-Anwalt sieht "Fehler im Bescheid"
Anwalt Stefan Prochaska, der für die Post spricht, weist die neuen Vorwürfe zurück. „Das ist ein Fehler im Bescheid. Das geht an den Aussagen im Verfahren vorbei“, sagt Prochaska zur Kleinen Zeitung. Die Post erhebe weder die Häufigkeit von Umzügen (auch nicht über Nachsendeaufträge) noch, wie viele Pakete jemand erhalte. Tatsächlich gebe es aber, wie es auch bei den Parteiaffinitäten der Fall war, „statistische Erfahrungen“, also Schätzwerte darüber. Diese habe die Post an Unternehmen für das Direktmarketing verkauft. „Das ist eine wichtige Möglichkeit für lokale Händler, Werbung zu machen.“ Zu bedenken gibt Prochaska: „Es muss uns klar sein, dass das, wofür die Post kritisiert wird, Apple, Google, Facebook und Co in viel größerem Stil machen.“ Der Jurist rechnet mit einem Spruch des Bundesverwaltungsgerichts in einigen Monaten. Danach dürfte der Verwaltungsgerichtshof am Zug sein.
Europaweit vierthöchster Strafbescheid
Seit Inkrafttreten der DSGVO gab es bis dato europaweit nur drei Fälle mit höheren Strafen. 205 Millionen Euro muss British Airways nach einem Datenklau zahlen, eine 110 Millionen Euro schwere Strafe wurde der Hotelkette Marriott nach einer Hackerattacke aufgebrummt. 50 Millionen Euro fordert Frankreichs Datenschutzbehörde von Google wegen DSGVO-Verstößen. In Österreich, so heißt es auf Nachfrage der Kleinen Zeitung, verhängte die Datenschutzbehörde bis dato 37 Verwaltungsstrafen, 21 sind rechtskräftig.