Das österreichische Bundesverwaltungsgericht hat eine hohe Geldbuße gegen die Österreichische Post bestätigt. Das Unternehmen hat Daten zu politischen Meinungen („Affinitäten“) ohne rechtliche Grundlage verarbeitet und für Direktmarketing genutzt. Das Urteil zeigt, welche Fehler Unternehmen im Umgang mit sensiblen Daten begehen können und welche Folgen Verstöße gegen die DSGVO haben.
Sachverhalt und Verfahrensverlauf
Die Österreichische Post AG betrieb eine umfangreiche Datenbank mit Zielgruppenadressen, die für gezielte Marketingmaßnahmen genutzt wurde. Dabei wurden verschiedene personenbezogene Merkmale analysiert und gespeichert, um individuell zugeschnittene Werbekampagnen zu ermöglichen. Ein zentrales Element war die Berechnung sogenannter „Affinitäten“, die die Wahrscheinlichkeiten angaben, mit denen sich eine Person für die Werbung bestimmter politischer Parteien interessieren könnte. Diese Affinitäten wurden aus soziodemographischen Daten, dem bisherigen Kaufverhalten und anderen Kriterien abgeleitet und in der Datenbank hinterlegt. Die errechneten Werte wurden nicht nur für interne Analysezwecke verwendet, sondern auch an Drittunternehmen verkauft.
Darüber hinaus sammelte das Unternehmen weitere personenbezogene Daten, darunter Informationen über die Paketfrequenz, d.h. wie oft eine Person in einem bestimmten Zeitraum Pakete erhalten hat. Diese Daten wurden durch eine Verknüpfung mit Logistikdienstleistungen gewonnen. Darüber hinaus analysierte das Unternehmen Umzugswahrscheinlichkeiten, die unter anderem auf Nachsendeaufträgen basierten. Diese Informationen wurden zur weiteren Segmentierung der Zielgruppen verwendet.
Die Datenschutzbehörde wurde auf das Unternehmen aufmerksam, nachdem in den Medien über einen möglichen Missbrauch sensibler Daten berichtet worden war. Im Januar 2019 leitete sie ein Prüfverfahren ein, um die Rechtmäßigkeit der Datenverarbeitung zu untersuchen. Die Untersuchung ergab, dass das Unternehmen keine Einwilligung der betroffenen Personen für die Verarbeitung ihrer Daten eingeholt hatte. Auch eine Datenschutz-Folgenabschätzung war nicht ordnungsgemäß durchgeführt worden.
Aufgrund dieser Feststellungen wurde ein Verwaltungsstrafverfahren eingeleitet, das mit einer beträchtlichen Geldbuße endete. Die Datenschutzbehörde verhängte wegen Verstößen gegen die DSGVO eine Strafe in Höhe von 18 Millionen Euro. Das Unternehmen legte daraufhin Beschwerde beim Bundesverwaltungsgericht ein, das den Fall neu bewertete und den rechtlichen Rahmen der Datenverarbeitung eingehend prüfte. In der Folge wurde die Höhe des Bußgeldes angepasst, während die festgestellten Datenschutzverstöße im Wesentlichen bestätigt wurden.
Verarbeitung politische Affinitäten verstößt gegen DSGVO
Das Gericht stellte fest, dass die Verarbeitung der politischen Affinitäten gegen Art. 9 DSGVO verstößt. Diese Bestimmung verbietet grundsätzlich die Verarbeitung personenbezogener Daten, aus denen politische Meinungen hervorgehen. Es sei denn, es liegt eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen vor. Da keine ausdrückliche Einwilligung der Betroffenen vorlag und auch keine andere legitime Rechtsgrundlage für die Verarbeitung bestand, wurde diese als unzulässig eingestuft. Das Unternehmen hatte mit Hilfe statistischer Verfahren Wahrscheinlichkeiten für politische Präferenzen errechnet und diese zum Zwecke gezielter Wahlwerbung an Dritte weitergegeben. Dies stellt nicht nur einen Verstoß gegen das Verbot der Verarbeitung sensibler Daten dar, sondern auch gegen das Transparenzgebot und das Gebot der Fairness nach Art. 5 Abs. 1 DSGVO.
Ein weiterer schwerwiegender Verstoß betraf die Verarbeitung von Paketfrequenzen. Das Unternehmen verwendete Daten über empfangene Pakete aus dem Geschäftsbereich Paketzustellung, um Hochrechnungen für Marketingzwecke zu erstellen. Diese Daten wurden ohne Wissen oder Einwilligung der Betroffenen für einen neuen, ursprünglich nicht vorgesehenen Zweck weiterverarbeitet. Das Gericht sah darin eine unzulässige Zweckänderung nach Art. 6 Abs. 4 DSGVO, da die neue Verwendung der Daten nicht mit dem ursprünglichen Zweck der Paketzustellung vereinbar war.
Ebenso problematisch war die Ermittlung der Umzugswahrscheinlichkeit. Das Unternehmen nutzte Daten aus Nachsendeaufträgen, um Wahrscheinlichkeiten für zukünftige Umzüge bestimmter Personen oder Haushalte zu berechnen. Diese Informationen wurden dann für gezieltes Direktmarketing verwendet. Da die Betroffenen in diese Weiterverarbeitung nicht ausdrücklich eingewilligt hatten und ihnen keine klaren Informationen über die Verwendung der Daten gegeben wurden, sah das Gericht auch hier einen Verstoß gegen die DSGVO. Besonders relevant war in diesem Zusammenhang Art. 14 DSGVO, der Unternehmen dazu verpflichtet, die Betroffenen über die Herkunft und den Zweck der verwendeten Daten zu informieren, sofern diese nicht direkt bei ihnen erhoben wurden. Die unzureichende Information der Betroffenen stellte somit einen Verstoß gegen die Informationspflichten dar.
Vernachlässigung von DSGVO-Basics
Darüber hinaus stellte das Gericht fest, dass das Unternehmen kein vollständiges und den Anforderungen entsprechendes Verzeichnis von Verarbeitungstätigkeiten geführt hatte. Nach Art. 30 DSGVO müssen Verantwortliche eine umfassende Dokumentation ihrer Datenverarbeitungstätigkeiten zur Verfügung stellen. Das vorliegende Verzeichnis wies erhebliche Mängel auf, insbesondere bei der Beschreibung der Datenkategorien und deren Verwendungszwecke. Eine fehlerhafte oder unvollständige Dokumentation erschwert nicht nur die Kontrolle durch die Aufsichtsbehörden, sondern verstößt auch gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Auch die Datenschutz-Folgenabschätzung, die nach Art. 35 DSGVO für Datenverarbeitungen mit besonders hohem Risiko erforderlich ist, wurde als unzureichend beurteilt. Die Einschätzung des Unternehmens, dass kein hohes Risiko für die Rechte und Freiheiten der Betroffenen bestehe, wurde vom Gericht nicht geteilt. Insbesondere die Verarbeitung der politischen Affinität wurde als hohes Risiko eingestuft, da sie geeignet ist, eine gezielte politische Einflussnahme zu ermöglichen und im Falle einer unbefugten Offenlegung erhebliche Auswirkungen auf die Privatsphäre der Betroffenen haben kann. Das Fehlen einer umfassenden und angemessenen Risikoanalyse wurde daher als weiterer Verstoß gegen die DSGVO angesehen.
Konsequenzen für Unternehmen
Das Urteil zeigt, dass Datenschutzverstöße erhebliche rechtliche und wirtschaftliche Folgen haben können. Insbesondere die Verarbeitung sensibler Daten (Zum Beispiel politische Affinitäten) ohne klare Rechtsgrundlage birgt erhebliche Risiken für Unternehmen. Im vorliegenden Fall verhängte die Datenschutzbehörde eine Geldstrafe in Höhe von 18 Millionen Euro, die das BVwG bestätigte, aber auf 16 Millionen Euro reduzierte. Die Strafe wurde aufgrund mehrerer schwerwiegender Verstöße gegen die DSGVO verhängt: insbesondere in Bezug auf die rechtswidrige Verarbeitung von Daten über politische Neigungen, die Weiterverarbeitung von Paketfrequenzen und Umzugswahrscheinlichkeiten sowie die mangelhafte Datenschutz-Folgenabschätzung.
Unternehmen müssen sicherstellen, dass ihre Datenschutz-Folgenabschätzungen realistische Risiken erfassen und auf einer soliden Rechtsgrundlage beruhen. Eine transparente Information der Betroffenen ist dabei unerlässlich, um den Anforderungen der DSGVO gerecht zu werden. Die Verordnung verlangt eine klare und nachweisbare Rechtsgrundlage für jede Zweckänderung der Datenverarbeitung. Werden personenbezogene Daten ohne gültige Einwilligung oder eine andere zulässige Rechtsgrundlage verarbeitet, drohen hohe Geldstrafen sowie mögliche zivilrechtliche Ansprüche der Betroffenen.
Das BVwG hat auch festgestellt, dass Unternehmen für Verstöße gegen die DSGVO haftbar gemacht werden können, ohne dass die Verstöße direkt einer natürlichen Person zugerechnet werden können. Diese Entscheidung folgt der Rechtsprechung des Europäischen Gerichtshofs (EuGH) und stellt klar, dass juristische Personen für Datenschutzverstöße in vollem Umfang haftbar gemacht werden können, auch wenn keine einzelne verantwortliche natürliche Person identifiziert werden kann. Dies unterstreicht die Notwendigkeit einer umfassenden und präventiven Datenschutzstrategie in Unternehmen, um mögliche Bußgelder und Reputationsverluste zu vermeiden.
Lese-Tipp: Das sind die höchsten DSGVO-Bußgelder im Januar 2025
Hohe DSGVO-Anforderungen an Direktmarketing
Das Urteil unterstreicht die hohen Anforderungen an die Datenverarbeitung im Direktmarketing und verdeutlicht die gravierenden Folgen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Unternehmen müssen nicht nur sicherstellen, dass ihre Datenverarbeitungsprozesse den gesetzlichen Anforderungen entsprechen, sondern auch ihre Datenschutzmaßnahmen kontinuierlich überprüfen und anpassen.
Verstöße gegen die DSGVO können nicht nur hohe Bußgelder nach sich ziehen, sondern auch gravierende Reputationsschäden verursachen, die das Vertrauen von Kunden und Geschäftspartnern nachhaltig beeinträchtigen. Besonders problematisch ist die unrechtmäßige Verarbeitung sensibler Daten, wie z.B. politische Affinitäten oder personenbezogene Informationen aus Nachsendeaufträgen, da diese die Privatsphäre der Betroffenen erheblich verletzen können.
Unternehmen sollten daher proaktiv handeln und umfassende Datenschutz-Folgenabschätzungen durchführen, um mögliche Risiken frühzeitig zu erkennen und zu minimieren. Eine transparente Kommunikation mit den Betroffenen und die Einhaltung aller Informationspflichten sind dabei unerlässlich. Darüber hinaus sind klare interne Richtlinien und Schulungen der Mitarbeiter erforderlich, um die korrekte Umsetzung der Datenschutzbestimmungen zu gewährleisten.
Letztlich zeigt das Urteil, dass Datenschutz kein reines Compliance-Thema ist, sondern eine strategische Herausforderung für Unternehmen darstellt. Nur durch eine konsequente und verantwortungsvolle Umsetzung der DSGVO können Unternehmen langfristig das Vertrauen ihrer Kunden erhalten und rechtliche Sanktionen vermeiden.
Quelle: Urteil (W258 2227269-1/39E) des österreichischen Bundesverwaltungsgerichts
German 
English 
Italian 
French