Post-Datenskandal betrifft auch Surfverhalten der User

„Wer sich online für XYZ interessiert, ist auch an einer Postsendung dieses Unternehmens interessiert.“ Dies denkt sich die Österreichische Post, die laut einem Bericht von Addendum offenbar Datensätze über das Surfverhalten von Online-Nutzern mit ihrer Adressdatenbank abgeglichen hat. Diese Daten sollen Unternehmen angeboten worden sein, um per Post spezielle Werbung zu verschicken.

Laut dem Rechercheportal Addendum soll der Technologiepartner Twyn Group Cookies auf Partnerwebsites wie Zalando gesetzt haben, um das Surfverhalten der Nutzer zu verfolgen. Dieses Cookie speichert das Surf-Verhalten von registrierten Usern, die ihre Adresse für den Versand beim Online-Shop hinterlegt haben. Auch bei der Post ist eine Adresse hinterlegt, so können die Daten laut dem Bericht "gematcht" werden. So bekam der Nutzer dann auch Werbematerial per Post auf Basis der Seiten, die er angesurft hat.

Die Post soll dem Bericht zufolge diesen Service bei mehreren Marketing-Veranstaltungen, zuletzt bei einer der WKÖ Anfang des Jahres 2019, präsentiert haben.

Service gestoppt

Dies ist laut Datenschutzgrundverordnung allerdings genauso problematisch wie das Vermieten von sensiblen Daten wie zu politischen Vorlieben. Damit war die Post Anfang des Jahres in eine regelrechte Affäre geschlittert und die Sachlage wird gerade von der Datenschutzbehörde untersucht. Aufgrund des großen, medialen Drucks kündigte die Post an, künftig keine Parteiaffinität mehr beim Adressdatensatz speichern zu wollen.

Zu den neuen Datenschutzvorwürfen verweist die Post auf die Twyn Group, die ihren Sitz in Zypern hat. „Es werden keine Daten seitens der Post verkauft“, heißt es in einer Stellungnahme.

Gegenüber der futurezone erklärte die Post zudem: "Insbesondere ist die Behauptung falsch, dass durch den Abgleich der Tracking-Daten mit den Daten der Post eine namentliche Zuordnung der Personen möglich wird. Die namentliche Zuordnung der Cookie-Daten zu Personen findet bei Twyn und deren Partnern statt. Die Behauptung, dass die Post dadurch gegen die DSGVO verstoßen würde, ist daher ebenfalls falsch. Die Post ist Vertriebspartner der Twyn für diese Daten und hat mit der Datenerhebung nichts zu tun."

Allerdings wurde der Vertrieb des entsprechenden Produkts nach Aufkommen der Datenaffäre gestoppt. Dies sei „vorübergehend, um Kunden vor medialen Angriffen zu schützen“, heißt es. Die Sache an sich sei „rechtskonform“.

Update: Stellungnahme der Twyn Group

Die Twyn Group weist sämtliche Vorwürfe komplett von sich: "Weder die Post, wie im Addendum-Beitrag fälschlicherweise behauptet wird, noch Twyn bieten werbetreibenden Unternehmen Online-Nutzerdaten an bzw. verkaufen solche Daten an diese. Ebenso falsch ist die Behauptung, von Twyn erhobene Cookie-Daten würden mit Datensätzen der Post abgeglichen werden."

Unternehmen mit einer Gewerbeberechtigung als Adressverlag seien im Besitz einer gültigen und expliziten Zustimmung ihres Kunden zur Weiterverwendung seiner Daten zu Marketingzwecken und zur Belieferung mit Informationen von dritten werbetreibenden Unternehmen. Nur Kunden bzw. Nutzer, für die sowohl beim Adressverlag (Permission beim Log-In), als auch bei einem dritten werbetreibenden Unternehmen, z.B. bei einem Möbelhaus, durch Zustimmung der Cookie-Verwendung, gleichzeitig Zustimmungen vorliegen, könnten mit postalischen Mailings adressiert werden. "Diese Zustimmungen kann der Nutzer bzw. Kunde übrigens jederzeit widerrufen", heißt es seitens der Twyn Group als Erklärung.