Die DSGVO und die österreichische POST AG

Apr 10, 2019/Conrad Lienhardt/Kundenbindung, DSGVO

Dem Recherchenetzwerk Addendum ist es zu verdanken, dass massive Verstöße der österreichischen POST AG gegen den Datenschutz bekannt wurden. Die Datenschutzbehörde ist tätig geworden und hat mittlerweile zwei Prüfverfahren gegen die POST AG eingeleitet und es ist nicht davon auszugehen, dass es damit ein Ende hat. Zudem sind zahlreiche Beschwerden gegen die POST AG bei der Datenschutzbehörde anhängig.

Fehlende Professionalität oder passive Auskunftsverweigerung

Einem Unternehmen wie der POST AG darf man weitgehend Professionalität unterstellen, zumindest was sogenannte Geschäftsprozesse angeht. Daher ist es äußerst verwunderlich, dass Prozesse im Zusammenhang mit der Abwicklung von Auskunftsersuchen nach Artikel 15 DSGVO derart unprofessionell abgewickelt werden. Um es vorweg zu nehmen: Es entsteht der Eindruck, als sollte durch Unprofessionalität in der Abwicklung, gewissermaßen durch passiven Widerstand, Betroffenen der Zugang zur gesetzlich garantierten Auskunft erschwert werden.

Von einem Unternehmen dieser Größe und dieses Organisationsgrades wäre zu erwarten, dass es klar definierte Prozesse im Zusammenhang mit der Erfüllung von Betroffenenrechten geben sollte. Das wären Prozesse zum Recht auf Auskunft, zur Einschränkung der Verarbeitung, zur Berichtigung und zur Löschung personenbezogender Daten für den Fall der Geltendmachung von Betroffenenrechten.

Wie sich allerdings zeigt, tut sich die POST AG bereits schwer damit, dem Auskunftsrecht nachzukommen. Und vieles deutet darauf hin, dass es keine klar definierten Prozesse, jedenfalls keine effektiven und effizienten gibt. Das Datenschutzteam der POST AG scheint völlig überfordert zu sein und dürfte kaum einen Überblick über die jeweiligen Anfragen und den jeweiligen Stand der Informationsbeschaffung zur Auskunft zu haben, noch - wie sich zeigt - einen Überblick über die Korrespondenz mit Betroffenen.

Es fehlt ein Ticketsystem, das fast jedes kundenorientierte Unternehmen für Bereiche wie Kundenservice und Beschwerden nutzt. So könnte jede Anfrage zu Betroffenenrechten klar identifiziert werden, Weg und Stand der Bearbeitung sowie Kundenkontakte ermittelt werden. Im Fall der POST ändern sich im Laufe der Korrespondenz Betreffzeilen ohne dass durch eine ID Nummer ein Zusammenhang mit anderen Korrespondenzen herzustellen wäre. Im Mailverkehr lassen sich die Nachrichten noch nicht einmal als Antwort- bzw. Themenbaum darstellen, da immer wieder neue, teils durch Massenaussendungen angestoßene Nachrichten verschickt werden. Es wird in der Korrespondenz auf Antwortschreiben nicht eingegangen, was den Eindruck verstärkt, dass es sich bei den Nachrichten in erster Linie um Push-Mails handelt, die massenweise angestoßen werden.

Instrumentalisierung der Identitätsfeststellung zur Abwehr von Betroffenenrechten

Per Massenaussendung und wohl ohne sorgfältige interne Prüfung zur Identitätsfeststellung werden Betroffene auf Ihre Mitwirkungspflicht aufmerksam gemacht und aufgefordert, zum Identitätsnachweis eine Kopie eines Ausweises, Führerscheins etc. einzuscannen und per E-Mail an das Datenschutzteam der POST AG zu übermitteln. Wörtlich: Damit wir Ihre Identität überprüfen können, legen Sie bitte eine Kopie oder einen Scan eines amtlichen Lichtbildausweises (Reisepass, Personalausweis oder Führerschein) vor, damit wir Ihre Identität zweifelsfrei feststellen können. Nach dem enormen Vertrauensverlust und in Kenntnis des sorglosen und gesetzwidrigen Umgangs mit personenbezogenen Daten, wird sich jede Betroffene und jeder Betroffene hüten, eine Kopie eines amtlichen Ausweises zu übermitteln, zumal die DSGVO zwar eine Identitätsfeststellung verlangt, allerdings nicht zwingend die Kopie eines amtlichen Ausweises. Zudem wird mittlerweile in Frage gestellt, ob eine Kopie eines amtlichen Ausweises für einen sicheren Identitätsnachweis alleine ausreicht. (Erläuterung)

Im Fall der POST AG läge es nahe, das Postident-Verfahren für den Identitätsnachweis zu nutzen. Dieses Verfahren wird von vielen Unternehmen dazu genutzt, um der Verpflichtung durch die DSGVO zur Identitätsfestellung nachzukommen. Für die POST AG müsste dieses Verfahren ohnehin naheliegen, bietet sie dies doch als Briefzusatzleistung an, als die postalische Zustellung „eigenhändig” und mit „Übernahmeschein”.

Das Datenschutzteam der POST AG besteht allerdings auf der Zusendung einer Ausweiskopie und reagiert vielfach gar nicht auf vorgeschlagene Alternativen. Es deutet vieles darauf hin, dass die POST AG mit der Bearbeitung der Anfrage erst beginnt, nachdem der Identitätsnachweis in der geforderten Form vorliegt. Dabei sieht die DSGVO nur vor, dass die Identitätsfestellung bevor die Auskunft gegeben wird, erfolgt sein muss. Jedenfalls gibt es seitens der POST AG dazu keine genaueren Informationen.

Es deutet vieles darauf hin, dass die POST AG auf diese Weise die Auskunft verschleppen möchte und im Fall einer Beschwerde wegen Verstoßes gegen die Auskunftsfrist darauf Bezug nehmen möchte. Mit anderen Worten, die POST AG zielt mit dem Beharren auf einer Ausweiskopie auf eine Eskalation. Das macht das Unternehmen nicht sympathischer oder kundenfreundlicher wobei letztendlich nichts daran vorbeiführen wird, dass die POST AG ihrer Auskunftspflicht im Rahmen der Betroffenenrechte nachkommen muss. Auch hier zeigt sich mangelnde Professionalität.

Beschwerde bei der Datenschutzbehörde zur Durchsetzung von Rechten

Die Verlängerung der Auskunftsfrist von einem Monat auf drei Monate kann angesichts der massenhaften Auskunftsanfragen von Kunden der Post noch Verständnis entgegen gebracht werden. Die Verschleppung der Auskunft, weil eine bestimmte Form des Identitätsnachweises nicht erfüllt wird, ist letztlich kein Grund, dem Betroffenen, bzw. der Betroffenen die Auskunft zu verweigern, zumal es sicherere Möglichkeiten der Identitätsfeststellung gibt.

Es bleibt daher nur die Beschwerde bei der Datenschutzbehörde, da in Österreich der Klagsweg ausgeschlossen ist.

(Im Protokoll zum Auskunftsverlangen wird auch die Bearbeitung der Beschwerde durch die Datenschutzbehörde protokolliert)

Protokoll eines Auskunftsverlangens nach Artikel 15 DSGVO

#	Datum	Von	Betreff / Inhalt	Bemerkung
1	09.01.2019	fokus.genba	Auskunftanfrage nach Art. 15. DSGVO
2	23.01-2009	post.at	Allgemeine Stellungnahme zur aktuellen Medienberichterstattung wegen Dataenschutzverletzungen durch die POST AG. Am Ende des Mail wird in einem Satz auf die Auskunftsanfrage nach Art. 15 DSGVO eingegangen: Zu Ihrer konkreten Anfrage melden wir uns gesondert.
3	05.02.2019	post.at	Standardantwort auf Auskunftsverlagen und Hinweis, dass wegen der großen Zahl von Anfragen die Beantwortung gem. Art. 12 Abs. 3 Satz 2 DSGVO bis zu drei Monate dauern kann.
4	12.2.2019	fokus.genba	Hinweis, dass die Beantwortung des Auskunftsverlangens entsprechend bis spätestens 09.04.2019 erwartet wird.	Lesebestätigung vom 13.02.2019
5	05.03.2019	post.at	Mitwirkung betreffen der Datenschutzanfrage (Identitätsnachweis) Sie haben sich bei der Österreichische Post AG mit einem Anliegen (Betroffenenrecht nach Datenschutzgrundverordnung - DSGVO) gemeldet. Auf Grundlage der von Ihnen zu Ihrer Person mitgeteilten Informationen sind wir nicht in der Lage, Sie zweifelsfrei zu identifizieren. Da wir unserer Pflicht zur Wahrung der Betroffenenrechte (z.B. Auskunft, Löschung, Widerspruch) nur gegenüber eindeutig identifizierten Personen nachkommen dürfen, können wir Ihr Anliegen erst nach Übermittlung Ihrer vollständigen Daten (Adresse und Ausweiskopie) bearbeiten.
6	05.03.2019	fokus.genba	Antwort und Hinweis, dass Identitätsnachweis nicht zwingend durch Zusendung einer Ausweiskopie erfolgen muss, zumal die Überlassung dieser Kopie selbst problematisch ist und zudem dem Grundsatz der Datensparsamkeit und der Datenminimierung widerspricht. Es wurde beispielsweise auf folgende Möglichkeit hingewiesen: Postalische Zustellung der erwünschten Unterlagen mit "eigenhändig" und "mit Übernahmeschein". D.h. der Adressat müsste durch Vorzeigen des Ausweises (nicht Überlassung einer Kopie) seine Identität nachweisen. (Postident-Verfahren → https://www.post.at/geschaeftlich-identbrief.php)
7	04.04.2019	post.at	Feststellung Ihrer Identität: Sie haben sich bei der Österreichische Post AG mit einem Anliegen (Betroffenenrecht nach Datenschutzgrundverordnung - DSGVO) gemeldet. Diesem Anliegen werden wir gerne nachkommen. Damit wir Ihre Identität überprüfen können, legen Sie bitte eine Kopie oder einen Scan eines amtlichen Lichtbildausweises (Reisepass, Personalausweis oder Führerschein) vor, damit wir Ihre Identität zweifelsfrei feststellen können.	Auf das E-Mail vom 05.03.2019 wurde nicht Bezug genommen, die vorgeschlagene Alternative zur Identitätsfeststellung ignoriert.
8	04.04.2019	fokus.genba	Erneuter Hinweis darauf, dass die DSGVO zur Identitätsfeststellung nicht zwingend eine Ausweiskopie verlangt und es die genannte Alternative zum sicheren Identitätsnachweis gäbe. Erneuter Hinweis auf Erledigungsfrist des Auskunftsverlangens bis 09.04.2019	Lesebestägigung vom 04.04.2019
9	05.04.2019	post.at	Der gleiche Hinweis wie schon vom 05.02.2019, dass die Erlediungsdauer der Anfragebeantwortung innerhalb von drei Monaten nach Anfrage erfolgen wird.	(Gehe nicht über Los, gehe zurück zu Start ;-)
10	05.04.2019	fokus.genba	Hinweis, dass das Auskunftsverlagen am 09.01.2019 gestellt wurde und die erweiterte dreimonatige Erledigungsfrist am 09.04.2019 abläuft.	Zusendung einer Kopie der entsprechenden Nachrichten im Anhang
11	09.04.2019	post.at	Gleichlautendes E-Mail wie vom 04.04.2019 bzgl. Identitätsnachweis. Keinerlei Erwähnung des zwischenzeitlichen Mailverkehrs und zur Alternative der Identitätsfeststellung durch die POST AG	déjà vu
12	09.04.2019	fokus.genba	Erneuter Hinweis darauf, dass die DSGVO eine Identitätsfestellung durch Überlassung einer Ausweiskopie nicht zwingend vorschreibt und daher als Alternative die postalische Zustellung mit den Briefzusatzleistungen "eigenhändig" und "mit Übernahmeschein), sprich durch Postident-Verfahren (→ https://www.post.at/geschaeftlich-identbrief.php).	Lesebstätigung vom 09.04.2019
13	10.04.2019	post.at	Standardmail zur erweiterten Erledigungsdauer der Auskunftsanfrage	déjà vu

Tags: Beschwerde Betroffenenrechte DSB Datenschutzvergehen Identitätsfeststellung Identitätsnachweis POST AG

3 Kommentare

Benutzerwertungen

5 Stern:		(2)
4 Stern:		(0)
3 Stern:		(0)
2 Stern:		(0)
1 Stern:		(0)

2 Bewertungen

Durschn. Benutzerwertung:
(5.0)

Kommentar von: Karin Gräbner Besucher

Solange Manager nicht konsequent für Verstöße strafrechtlich zur Verantwortung gezogen werden, wird sich nicht wirklich etwas ändern. Ein grundsätzliches Umdenken ist erforderlich. Zieht die Manager zur Verantwortung!

Kommentar von: gabi Mitglied

Nicht jeder Verstoß gegen die DSGVO /BDSG ist strafrechtlich relevant. Die DSGVO sieht jedoch vor., dass bei Verhängung von Bußgeldern Geschäftsführer zur Verantwortung gezogen werden können, ebenso jeder Mitarbeiter und jede Mitarbeiterin, soweit diese an der Verarbeitung personenbezogener Daten beteiligt waren, die einen Verstoß gegen die DSGVO darstellen (Schadensersatz). Das kann ganz schön teuer werden.
Allerdings würde das voraussetzen, dass die Datenschutzbehörden oder die Gerichte Verstöße gegen die DSGVO entsprechend ahnden. In Österreich ist das zunächst nicht wirklich zu erwarten, nachdem die Politik die DSGVO massiv unterläuft und Konsequenzen bei Verstößen deutlich entschärft hat.
(Siehe auch: https://fokus.genba.org/die-geschaeftsfuehrung-haftet-bei-dsgvo-verstoessen)

Kommentar von: Gundi Mayr Besucher

Die Salzburger Nachrichten veröffentlichten am 4. April dazu einen Artikel: Datenschutz: Salzburger klagt die Post . Im Internet ist der Artikel (allerdings hinter einer Bezahlschranke) nachzulesen: https://www.sn.at/panorama/medien/datenschutz-salzburger-klagt-die-post-68250949

Formular wird geladen...