Die Post, der Datenskandal und die (möglichen) Folgen
Die Post verarbeitet(e) zu Marketingzwecken die „Parteienaffinität“ von natürlichen Personen. Verarbeitet werden neben: „SPÖ Affinität, ÖVP Affinität, Neos Affinität, Grün Affinität und FPÖ Affinität“, auch andere Datenkategorien, die aber mE weniger „sensibel“ sind.
Was ist die Folge - Können betroffene Personen Schadenersatz fordern?
Parteienaffinität als „politische Meinung“?
Nach Art 9 Abs 1 DSGVO fallen folgende Datenkategorien in die „besonderen Kategorien von Daten“, die nach der DSGVO einen erhöhten Schutz genießen, dann Art 9 Abs 1 DSGVO verbietet die Verarbeitung der besonderen Datenkategorien:
„Die Verarbeitung personenbezogener Daten, aus denen
die rassische und ethnische Herkunft,
politische Meinungen,
religiöse oder weltanschauliche Überzeugungen
oder die Gewerkschaftszugehörigkeit hervorgehen,
sowie die Verarbeitung von
genetischen Daten,
biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
Gesundheitsdaten oder
Daten zum Sexualleben oder der sexuellen Orientierung
einer natürlichen Person ist untersagt.“
Die „Parteienaffinität“ ist mE ein derartiges besonderes Datum, da es geeignet ist, eine politische Meinung einer natürlichen Person zu beschreiben. Das ist nach Art 9 Abs 1 DSGVO ausreichend, um in die Kategorie der besonderen Daten zu fallen.
Verarbeitung für „Werbezwecke“ mit „berechtigtem Interesse“
Bemerkenswert ist, dass die Verarbeitung derartiger Datenkategorien des Art 9 Abs 1 DSGVO besonderen Kriterien nach Art 9 Abs 2 DSGVO unterliegt. In Art 9 Abs 2 DSGVO findet sich keine Möglichkeit, die Verarbeitung derartiger Daten auf ein „berechtigtes Interesse“ iSd Art 6 Abs 1 lit f DSGVO zu stützen, wie diese im Marketing sehr oft der Fall ist, da kein direkter Kontakt zu den betroffenen Personen besteht, und eine Einwilligung (oder bei besonderen Datenkategorien iSd Art 9 eine ausdrückliche Einwilligung) nicht eingeholt werden kann.
So bezieht sich zB ErwG 47 S 7 explizit auf Werbung und das berechtigte Interesse:
„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“
Unzulässigkeit der Verarbeitung der „Parteienaffinität“ und Ersatz des immateriellen Schadens?
Meines Erachtens ist daher die Verarbeitung der Parteienaffinität unzulässig, da es nicht auf eine taugliche Rechtsgrundlage iSd Art 9 Abs 2 DSGVO gestützt werden kann.
Eine mögliche Konsequenz normiert Art 82 Abs 1 DSGVO.
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Art 82 Abs 1 DSGVO gibt jeder Person, deren personenbezogene Daten rechtswidrig, dh nicht in Übereinstimmung mit den Bestimmungen der DSGVO verarbeitet werden, einen Anspruch auf Ersatz des materiellen oder immateriellen Schadens.
Der „immaterielle“ Schaden, den jemand erleidet, wird in der DSGVO bzw. in den ErwG in einer Art und Weise erwähnt, der eine weite Auslegung zulässt:
„Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“
Auch in ErwG 85, der sich mit der Meldung von Datenschutzverletzungen beschäftigt, gibt es Anhaltspunkte, welche Sachverhalte einen Anspruch auslösen können, nämlich:
„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“
Die Frage, die sich letztlich stellt, ist ob die betroffenen Personen einen „imateriellen“ Schaden dadurch erleiden, dass die Post die Parteienaffinität einer betroffenen Person speichert, auswertet und auch an dritte Organisationen weiterverkauft, ohne dass dies iSd der restriktiven Bestimmungen der DSGVO zulässig ist.
Geht man davon aus, dass es in Österreich nach wie vor ein Wahlgeheimnis gibt, das zB in Art 26 Bundesverfassungsgesetz (B-VG) verankert ist, dann ist das Recht auf Geheimhaltung der „Parteienaffinität“ evident, und :
Artikel 26. (1) Der Nationalrat wird vom Bundesvolk auf Grund des gleichen, unmittelbaren, persönlichen, freien und geheimen Wahlrechtes der Männer und Frauen, die am Wahltag das 16. Lebensjahr vollendet haben, nach den Grundsätzen der Verhältniswahl gewählt.
Die eigentliche Frage, die sich stellt, ist, ob jemand, dessen „Parteiaffinität“ ohne Rechtsgrundlage verarbeitet und „verkauft“ wird, damit eine Organisation dieser betroffenen Person einen „Schaden“ iSd Gesetzes hat, oder nicht. Dazu gibt es aus derzeitiger Sicht kaum Rechtsprechung.
Ein Gericht in Deutschland hat in einem Verfahren festgestellt, dass die rechtswidrige Verarbeitung von Kontaktdaten (Email-Adresse) zur Zusendung von Emailwerbung per se (noch) keinen Schaden darstellt. Bei diesen Daten handelte es sich aber nicht um Daten besonderer Kategorien iSd Art 9 Abs 1 DSGVO, die einen besonderen Schutz genießen.
In einem Verfahren vor dem OGH (17.12.2009, 6 Ob 247/08d) wurde für die rechtswidrige Aufnahme in eine öffentlich zugängliche Bonitätsdatenbank einen pauschaler Betrag von 750,-- Euro an immateriellem Schaden zugesprochen.
Das LG Innsbruck (4.11.2011, 12 Cg 72/10) hat für die rechtswidrig nicht erfolgte Löschung aus einer Bonitätsdatenbank, die knapp ein Jahr andauerte und aus der die Daten an zehn Unternehmen bekanntgegeben wurden 1.000,-- Euro an immateriellem Schaden zugesprochen.
In beiden Entscheidungen ging es um Bonitätsdaten, die an sich nach DSG 2000 keine „sensiblen“ Daten darstellten, aber deren Verarbeitung einer Vorabkontrolle unterlagen. Diese Daten hatten daher ebenfalls einen besonderen Schutz nach DSG 2000.
Schon daraus, dass die DSGVO der „politischen Meinung“ (und damit auch der Parteienaffinität) als „besonderer Datenkategorie des Art 9 Abs 1 DSGVO“ einen besonderen Schutz angedeihen lässt, und daher die Vertraulichkeit dieser personenbezogenen Daten in einem besonderen Licht zu sehen ist, lässt sich ableiten, dass alleine die rechtswidrige Verarbeitung der Daten, insbes. aber die rechtswidrige Weitergabe der Daten einen immateriellen Schaden für die betroffene Person auslösen kann, da ein an sich besonders geschütztes Datum einem größeren Personenkreis zugänglich wurde. Die betroffene Person, deren politische Meinung in einer Datenbank eines großen Adresshändlers verarbeitet wird, und deren personenbezogene Daten an Interessenten „verkauft“ werden, verliert die Kontrolle über diese Daten, und kann sich nicht sicher sein, dass diese Daten nur unter den strengen Voraussetzungen des Art 9 Abs 2 DSGVO verarbeitet werden.
Der OGH hat in einer (frühen) Entscheidung (6 Ob 9/88) festgehalten, dass „[D]er Umstand, daß der Beklagte einer gesetzlichen Verpflichtung gegenüber dem Kläger nicht nachkam, […] für sich allein noch keinen Nachteil des Klägers dar, der als ideeller Schaden bezeichnet werden könnte“ darstellt, wobei es sich in diesem Verfahren um einen akademischen Grad gehandelt hat, und nicht um Art 9 Daten. Nach dieser Entscheidung ist davon auszugehen, dass ein ideeler Schaden nur dann vorliegt, wenn die betroffene Person einen „Nachteil“ erleidet.
Ob der Verlust der Vertraulichkeit der politischen Meinung sowie die Weitergabe und damit die rechtswidrige Verbreitung derselben bereits einen Nachteil iSd Gesetzes darstellt, der einen ideelen Schadenersatz rechtfertigt kann daher nicht abschließend beurteilt werden.
Festzuhalten ist daher, dass derzeit dazu keinerlei Judikatur besteht, und fraglich ist, ob die Gerichte Argumentation folgen, dass der Verlust der Vertraulichkeit von besonders geschützten Datenkategorien bereits einen Nachteil für die betroffene Person darstellt, oder nicht.
Kommentar schreiben
Allo, allo! (Samstag, 02 März 2019 20:35)
Eine "Sammelklage" scheint schon unterwegs zu sein:
http://cobinclaims.at/sammelaktion-post-ag
Andererseits, wie ernst kann denn das mit dem Verfahren der DSchB schon sein? Die Post ist eine an der Wiener Börse gelistete AG. Troubles mit einer Aufsichtsbehörde können den Börsenkurs beeinflussen (haben ihn auch schon beeinflusst). Mir ist aber keine keine einzige Ad-hoc-Meldung der Post zu dieser Affäre bekannt. Wenn demnächst vielleicht ein Geldbußenverfahren ins Haus steht, müsste das am nächsten Tag in der Zeitung stehen, sonst könnte es Ärger mit der FMA geben.
Und da noch nichts in der Zeitung war....