Warum die Post mit Politik-Daten gegen das Gesetz verstoßen könnte

Darf die Post wirklich Daten über politische Vorlieben verkaufen? Darüber ist eine Diskussion entbrannt. Die Datenschutzbehörde hat am Dienstag ein entsprechendes Verfahren eingeleitet. Die Post hat sich daraufhin noch einmal für das Datensammeln gerechtfertigt. Laut dem Juristen Walter Hötzendorfer gibt es allerdings noch eine weitere Dimension: Der Datenhandelsparagraph, auf den sich die Post bei ihrer Rechtfertigung bezieht, könnte gegen EU-Recht verstoßen.

Doch worum geht es überhaupt? Vor wenigen Tagen wurde dank einer Recherche von addendum bekannt, dass die Post von rund 2,2 Millionen Österreichern, neben Adressdaten und Paketlieferungen, auch die Parteiaffinität abgespeichert hat. Frau Müller ist im bei der Post gespeicherten und mit Dritten geteilten Datensatz etwa als „SPÖ-affin“ gespeichert, Herr Krause als „ÖVP-affin“. Das geht aus den Antworten zu den Auskunftsbegehren einzelner Personen hervor.

Parteiaffinität und Bio

Die Post „begrüßt die rechtliche Klärung“ der Causa und verschickt zugleich Aussendungen zur „Klarstellung“, wie Adressdaten zu Marketingzwecken verwendet werden. Dabei steckt die Post politische Vorlieben in dieselbe Schublade wie etwa Möbel oder Bioprodukte. "Die Post hat einerseits konkrete, von Personen angegebene Interessen wie zum Beispiel Möbel oder Sport, berechnet andererseits aber auch Affinitäten zu zum Beispiel Bioprodukten oder eben auch eine Parteiaffinität", heißt es in der Aussendung.

Doch bei der Parteiaffinität handelt es sich um „sensible personenbezogene Daten“, die besonders geschützt gehören und nicht ohne Zustimmung der Nutzer verarbeitet werden dürfen. „Wir kennen niemanden, der von der Verarbeitung der Parteiaffinität gewusst hat. Ich kann mir daher nicht vorstellen, dass 2,2 Millionen Menschen wissentlich und damit gültig eingewilligt haben, dass ihre politischen Präferenzen verarbeitet werden“, erklärt Walter Hötzendorfer, Jurist beim Research Institute - Digital Human Rights Center und ehrenamtlich bei der Datenschutz-NGO epicenter.works tätig, im Gespräch mit der futurezone.

Ein Hakerl für eh alles?

Laut dem Bericht von addendum erfolgte die Einwilligung der Nutzer etwa über ein Hakerl bei einem Nachsendeauftrag. Wer bei der Post einen derartigen Auftrag einrichtet, stimme dabei automatisch zu, dass die Daten weiterverkauft werden dürfen, heißt es. Doch davon, dass die Post auch Daten zur Parteiaffinität bei einzelnen Personenprofilen abspeichert und verkauft, steht in der Zustimmungserklärung freilich nichts. Zudem wurden in der Zwischenzeit bereits mehrere Fälle bekannt, bei denen Personen dieser Sammlung bewusst widersprochen hätten und von denen die Daten trotzdem gesammelt worden sind.

Statistik und Wahrscheinlichkeiten

Laut der Post handelt es sich bei Angaben zur Parteiaffinität rein um Statistik und Hochrechnungen. Diese Hochrechnungen seien laut einem Paragrafen in der Gewerbeordnung legal, solange sie nur für Werbezwecke verwendet werden, so die Post. „Die Berechnungen erfolgen mit einem ähnlichen Mechanismus wie Hochrechnungen am Wahlabend. Es handelt sich dabei um statistische Daten, aus denen nicht auf das Verhalten einzelner Personen, aber auf eine Affinität von Zielgruppen, geschlossen werden kann“, heißt es in der neuen Stellungnahme.

Für Hötzendorfer, der sich auch in seiner Dissertation mit diesem Thema auseinandergesetzt hat, ist hingegen klar: „Es spielt keine Rolle, ob eine Aussage über eine Person nur mit einer bestimmten Wahrscheinlichkeit oder mit Sicherheit zutrifft, beides gilt als personenbezogenes Datum.“ In so einem Fall „wisse man mehr, als ohnehin klar sei“ und: „diese Zuschreibung ist, auch wenn sie mit Wahrscheinlichkeiten versehen ist, ein personenbezogenes Datum.“ Damit spielt es auch keinerlei Rolle, wie groß die Trefferquote dieser eigentlich Hochrechnung ist.

Die Datenschutzbehörde wird deshalb nun genau prüfen müssen, wie die Datensammelpraxis der Post und die Zuordnung der Parteiaffinität zu einzelnen Profilen mit den einzelnen gesetzlichen Bestimmungen im Einklang ist.

Ein Datenschutzgesetz für alles

Jurist Hötzendorfer geht unterdessen noch einen Schritt weiter: Er hinterfragt, ob es den Paragrafen 151 der Gewerbeordnung, auf den sich die Post bei ihrer Datensammlung bezieht, überhaupt noch rechtlich geben darf. „Die Frage, die man hier klären müsste, ist, ob dieser Paragraf überhaupt existieren dürfte, also ob Österreich das Recht hat, einen solchen Paragrafen zu erlassen, um Gewerbeinhabern Rechte einzuräumen, die Daten zu verwenden“, so der Jurist.

Der Hintergrund hierzu führt einmal mehr zur Datenschutzgrundverordnung (DSGVO). Diese gilt an und für sich für alle Branchen, also damit auch für den Adresshandel. Doch in der EU-Verordnung gibt es sogenannte „Öffnungsklauseln“, die den EU-Mitgliedsstaaten erlauben, die DSGVO zu präzisieren. Das geschah in Österreich etwa im Bereich der Wissenschaft.

Rüge der EU-Kommission

„Wir bei epicenter.works sehen nicht, dass für den Adresshandel in der DSGVO eine solche Öffnungsklausel bestünde“, argumentiert der Jurist, der auch den Vergleich mit Deutschland zieht. Dort habe es vor der DSGVO einen ähnlichen Paragrafen zum Adresshandel gegeben, der im Zuge der Anpassung der deutschen Gesetze an die DSGVO gestrichen wurde und die Adresshändler müssen sich, wie alle anderen auch, nun in Deutschland an die DSGVO halten.

Laut Hötzendorfer wurde in Österreich neben dem Adresshandel auch eine Bestimmung zur privaten Videoüberwachung geschaffen, obwohl dafür in der DSGVO ebenfalls keine Öffnungsklausel ersichtlich ist und es für diese daher auch dafür keine Sonderregelungen geben dürfte. Hötzendorfer verweist auf eine diesbezügliche Rüge, die Österreich bereits von der EU-Kommission erhalten hat, und rechnet – langfristig betrachtet – mit einem Vertragsverletzungsverfahren gegen Österreich.

Doch was würde das für die Post bedeuten? „Die Post könnte den Adresshandel dann möglicherweise auf die Interessabwägung nach DSGVO stützen,“ so Hötzendorfer, „aber in welchem Umfang, das ist eine schwierige Interpretationsfrage. Klar ist, sensible Daten dürfen nur mit Einwilligung der Betroffenen verarbeitet werden.“

Walter Hötzendorfer wird am Donnerstag, 10.1, ab 19.30 Uhr beim „Netzpolitischen Abend“ im Wiener Metalab (Rathausgasse 6,1010 Wien) einen Vortrag zu dem Thema halten. Der Eintritt ist frei, es gibt keine Anmeldungspflicht.