Datenschutz und DSGVO

Verwenden Sie unser Formular, um uns unverbindlich einen Datenschutz-Verstoß zu melden:

Viele schimpfen über die DSGVO; manche ziehen sie ins Lächerliche, das Netz ist voll von Witzen über die DSGVO. Den meisten ist sie nur lästig. Aber sehen Sie die Sache doch mal so:

Daten von und über Konsumenten sind der Rohstoff des 21. Jahrhunderts, viel wertvoller als Gold im 19. und Erdöl im 20. Jahrhundert - allemal Grund dafür, ihre Gewinnung zu regulieren! In Europa gibt es jetzt eine Regulierung (DSGVO, GDPR), anderswo auf der Welt kann man nur davon träumen, insbesondere in den USA (vgl. so unterschiedliche Autoren wie Weigend, Data for the People, Zuboff, Das Zeitalter des Überwachungskapitalismus und Harari, Homo Deus). Ja, Regulierungen sind wahrscheinlich immer lästig. Aber uns interessiert vielmehr, wie wir sie zum Wohle der Konsumenten nützen können.


Tipp vom 12.09. 2019

Big Brother is watching you – through the socket

Weiterlesen: Smart Metering und Datenschutz 


Anwendungsbeispiel aus unserer Praxis:

Die Medien berichten am 07.01.2019 über den gewerblichen Adresshandel der Post. Das Empörende daran: Die Österreichische Post AG speichert in ihren Datenbanken anscheinend auch politische Parteiaffinitäten. Vielen ist dabei nicht wohl, aber was kann man tun? Wir verlangen erst einmal Auskunft nach der DSGVO.


 Am 08.01.2019 will der erste unserer Klienten schriftlich von der Post wissen, ob sie personenbezogene Daten, die ihn betreffen, verarbeitet (ein definierter terminus der DSGVO). Zudem ersuchen wir die Post um Informationen bezüglich der Herkunft dieser Daten, den allfälligen Empfänger oder Empfängerkreis der Übermittlungen, falls die Daten an Dritte übermittelt werden und gegebenenfalls, zu welchen Zwecken. Wir setzen der Post die gesetzliche Frist für die Beantwortung dieser Fragen.

Am selben Tag leitet die Datenschutzbehörde ein Prüfverfahren gegen die Post ein. Grund dafür ist ein Bericht, wonach das Unternehmen Daten der Österreicher zur „Parteiaffinität“ sammelt und verkauft. Die Post verwaltet eigenen Angaben zufolge rund drei Millionen Datensätze und Profile. Bei rund 2,2 Millionen Österreichern ist auch die Parteiaffinität abgespeichert, berichtete die Rechercheplattform Addendum. Die Post weist die Vorwürfe zurück. Die politische Präferenz werde lediglich geschätzt, das sei in der Digitalisierung üblich.


Am 09.01.2019 erhalten wir das Antwort E-Mail. Darin kündigt die Post uns zwar ihre Auskunftserteilung an, aber auch, dass die bis zu zwei Monaten dauern könne. Dabei beruft sie sich auf § 26 DSG, der eine Auskunftserteilung innerhalb von acht Wochen vorsieht.


Am 16.01.2019 teilen wir der Post mit, dass aber § 26 DSG schon am 24.05.2018 außer Kraft getreten ist. Das Auskunftsrecht wird jetzt zur Gänze in der DSGVO geregelt. Die Verordnung sieht eine unverzügliche Auskunftserteilung vor. Unverzüglich ist die Auskunftserteilung nur dann, wenn sie ohne ungebührliche bzw. unangemessene Verzögerung erteilt wird. In jedem Fall hat sie aber innerhalb eines Monats nach Eingang des Antrages zu erfolgen. In Ausnahmefällen kann die Frist von einem Monat um maximal zwei weitere Monate verlängert werden. Über die Verlängerung und den Grund der Verlängerung muss die betroffene Person jedoch unverzüglich und genau unterrichtet werden. Erhalten wir nicht noch rechtzeitig eine Begründung, werden wir daher davon ausgehen, dass eine einmonatige Frist zur Erfüllung Ihrer Auskunftspflicht ausreichend ist Und dann schon Klage führen).


Am 06.02.2019 erhalten wir ein Schreiben - mit der Post; Aufgabedatum 04.02.2019 - von der Post, dass sie vor dem Hintergrund der hohen Anzahl an Anfragen im Zusammenhang mit der medialen Berichterstattung mehr Zeit zur Beantwortung braucht: Im Einklang mit der DSGVO wird unsere Anfrage so rasch wie möglich, jedenfalls aber innerhalb von drei Monaten beantwortet. - Ist das zulässig? Ja. Aber: Über die Verlängerung und den Grund der Verlängerung muss die betroffene Person unverzüglich und genau unterrichtet werden. Und wir würden sagen, dass 2 Tage vor Ablauf des ersten Monats nicht "unverzüglich" ist...


Am 13.02.2019 hat die Datenschutzbehörde ihr Prüfverfahren in der Causa Post AG abgeschlossen und kommt zu dem Ergebnis, dass die Post Daten zur Parteiaffinität nicht hätte verarbeiten dürfen.

Zur Erinnerung:
Das Kerngeschäft der Post AG ist die Zustellung von Briefen und Paketen. Zudem übt die Post auch das Gewerbe des Adresshändlers gem. § 151 GewO aus. Das heißt, dass sie zwar bereitgestellte Daten in öffentlichen Listen sammeln kann.

Doch im Gegensatz zu den in den AGB angeführten Daten verkauft die Post nicht nur die erhobenen Daten, sondern reichert diese anhand des Geburtsdatums, des Wohnorts und Ergebnissen von Befragungen eines statistisch repräsentativen Bevölkerungsquerschnitts um Neigungen (die beklagte Partei bezeichnet diese als "Affinitäten") an.

Gem Art 9 DSGVO ist jedoch die Verarbeitung personenbezogener Daten, aus denen die politische Meinung, die weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit hervorgehen, untersagt, solange kein Ausnahmetatbestand gem. Art 9 Abs 2 DSGVO vorliegt. So einen Ausnahmetatbestand sehen wir nicht, und auch die Post nennt uns keinen.

Dass dieser Verarbeitungsvorgang nicht rechtmäßig ist, hat nun eben auch die Datenschutzbehörde festgestellt. Wie erwartet hat die Post jedoch gegen die Entscheidung Einspruch erhoben. Die Entscheidung ist daher nicht rechtskräftig.


Erst nach der obenerwähnten Entscheidung erhalten wir am 09.04.2019 eine Antwort auf unser Auskunftsbegehren:

Zwar besteht das Dokument aus fünf Seiten, es enthält jedoch nur drei Tabellen mit Daten und einen Text, woher diese Daten generiert worden sind: Einige wurden laut Auskunft von der Post selbst erhoben, einige statistisch hochgerechnet und andere zugekauft.

Nach den Angaben zur Parteiaffinität suchen wir freilich vergeblich Jetzt stellt sich daher die Frage, ob sie in diesem gegenständlichen Fall tatsächlich nicht verarbeitet worden ist, oder die Post etwa eine unvollständige Auskunft erteilt hat. Da die Parteiaffinität laut Zeitungsberichten bei rund 2,2, Millionen Österreichern für Wahlwerbung an Parteien und Interessenvertretungen weiterverkauft wurde, nehmen wir an, dass die uns erteilte Auskunft unvollständig ist. Denn noch vor Öffentlichwerden des Datenskandals enthielten die Auskünfte auch eine Tabelle mit der Bezeichnung „Datenweitergabe“ inklusive Empfänger. Diese Tabelle fehlt nun in den aktuellen Auskünften zur Gänze.

Als betroffene Person kann man diese Frage schlichtweg nicht beantworten. Muss man der Auskunft des Verantwortlichen blind vertrauen? Oder kann man auch die Auskunft noch überprüfen lassen?

Jedenfalls steht fest, dass auch eine fehlerhafte Auskunft einen Verstoß gegen die DSGVO darstellt. Außerdem normiert Art 15 DSGVO, dass zumindest „Kategorien von Empfängern“ angegeben werden müssen, an die die personenbezogenen Daten weitergegeben worden sind. Wir bleiben dran.


Seit dem 25.05.2018 ist im Bereich des Datenschutzes nichts mehr so, wie es bisher war! An diesem Tag ist die sogar unter Juristen hitzige Diskussionen auslösende Datenschutzgrundverordnung (DSGVO) europaweit und unmittelbar in Geltung getreten.

Obwohl das österreichische Parlament bei der Beschlussfassung des Datenschutz-Anpassungsgesetzes 2018 schließlich die in der DSGVO vorgesehenen Verbandsklagen doch nicht zugelassen hat, was wohl noch den Europäischen Gerichtshof beschäftigen wird, steht betroffenen Personen immer noch die Möglichkeit offen bei Verstößen gegen die DSGVO durch Einzelklagen Schadenersatz zu verlangen.

Wissen Sie, wer wie viel über Sie weiß?

Wenn Sie z. B. Ihr heißgeliebtes Smartphone in die Hand nehmen und eine App herunterladen, und sei es auch nur eine harmlose Fotobearbeitungs-App, mussten Sie bis dato in den Zugriff auf all Ihre Kontakte, Fotos, usw. einwilligen, obwohl die heruntergeladene App diese Informationen zum Funktionieren gar nicht braucht. Obwohl sich europäische Anwender nach aktuellen Studien mehr als anderswo auf der Welt Sorgen um Datenschutz und Sicherheit machen, willigen viele Anwender, wenn auch mit einem mulmigen Gefühl im Bauch, in diese dreisten Zugriffe ein, da sie sonst die App nicht benutzen könnten.

Die sich in rasendem Tempo weiterentwickelnde Technologie und die damit verbundenen neuen Produkte, die so vermarktet werden, dass wir glauben, dass sie dafür gedacht sind unser Leben zu vereinfachen, stellen jedoch Schwarze Löcher für unsere personenbezogenen Daten dar. Wer Ihre Daten erhält, wofür sie benutzt werden und wieviel Sie von sich bisher schon Preis gegeben haben, sind Fragen, deren Antworten Sie vielleicht nicht einmal wissen wollen.

Was ist neu?

Seit dem 25.05.2018 müssen Ihnen alle Verantwortlichen, die Ihre persönlichen Daten verarbeiten, den Zweck der Verarbeitung genau und verständlich erklären. Wenn die Verarbeitung der persönlichen Daten über die Vertragserfüllung hinausgeht, dann müssen Sie der Verarbeitung zustimmen, sonst ist sie illegal. Diese Zustimmung muss gänzlich freiwillig sein, das heißt, dass Sie auch ohne Zustimmung die Dienstleistung in Anspruch nehmen dürfen (sog. Koppelungsverbot). 

Zudem muss der Verantwortliche, also derjenige, der Ihre Daten verarbeitet, Sie über Ihre Betroffenenrechte präzise, transparent, verständlich und in einer klaren und einfachen Sprache informieren. Ein vorangekreuztes Feld ist für so eine Belehrung nicht mehr ausreichend.

Wenn Sie Verstöße gegen diese Regelungen bemerken, können Sie sich grundsätzlich an die Datenschutzbehörde wenden, aber auch (immateriellen) Schadenersatz, also eine Geldzahlung fordern.

Schreiben auch Sie uns Ihre Erfahrungen mit dem neuen Datenschutz oder rufen Sie uns an, wenn Sie meinen, in Ihren Rechten verletzt zu sein. Für eine kostenlose Anfrage richten Sie bitte ein E-mail mit dem Betreff „Unverbindliche Auskunft“ an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Foto auf dieser Seite: © Thomas Bettinger