Die DSGVO und die österreichische POST AG

10. Apr 2019/Conrad Lienhardt /DSGVO / 30. Jul 2019

Dem Recherchenetzwerk Addendum ist es zu verdanken, dass massive Verstöße der österreichischen POST AG gegen den Datenschutz bekannt wurden. Die Datenschutzbehörde ist tätig geworden und hat mittlerweile zwei Prüfverfahren gegen die POST AG eingeleitet und es ist nicht davon auszugehen, dass es damit ein Ende hat. Zudem sind zahlreiche Beschwerden gegen die POST AG bei der Datenschutzbehörde anhängig.

Fehlende Professionalität oder passive Auskunftsverweigerung

Einem Unternehmen wie der POST AG darf man weitgehend Professionalität unterstellen, zumindest was sogenannte Geschäftsprozesse angeht. Daher ist es äußerst verwunderlich, dass Prozesse im Zusammenhang mit der Abwicklung von Auskunftsersuchen nach Artikel 15 DSGVO derart unprofessionell abgewickelt werden. Um es vorweg zu nehmen: Es entsteht der Eindruck, als sollte durch Unprofessionalität in der Abwicklung, gewissermaßen durch passiven Widerstand, Betroffenen der Zugang zur gesetzlich garantierten Auskunft erschwert werden.

Von einem Unternehmen dieser Größe und dieses Organisationsgrades wäre zu erwarten, dass es klar definierte Prozesse im Zusammenhang mit der Erfüllung von Betroffenenrechten geben sollte. Das wären Prozesse zum Recht auf Auskunft, zur Einschränkung der Verarbeitung, zur Berichtigung und zur Löschung personenbezogender Daten für den Fall der Geltendmachung von Betroffenenrechten.

Wie sich allerdings zeigt, tut sich die POST AG bereits schwer damit, dem Auskunftsrecht nachzukommen. Und vieles deutet darauf hin, dass es keine klar definierten Prozesse, jedenfalls keine effektiven und effizienten gibt. Das Datenschutzteam der POST AG scheint völlig überfordert zu sein und dürfte kaum einen Überblick über die jeweiligen Anfragen und den jeweiligen Stand der Informationsbeschaffung zur Auskunft zu haben, noch - wie sich zeigt - einen Überblick über die Korrespondenz mit Betroffenen.

Es fehlt ein Ticketsystem, das fast jedes kundenorientierte Unternehmen für Bereiche wie Kundenservice und Beschwerden nutzt. So könnte jede Anfrage zu Betroffenenrechten klar identifiziert werden, Weg und Stand der Bearbeitung sowie Kundenkontakte ermittelt werden. Im Fall der POST ändern sich im Laufe der Korrespondenz Betreffzeilen ohne dass durch eine ID Nummer ein Zusammenhang mit anderen Korrespondenzen herzustellen wäre. Im Mailverkehr lassen sich die Nachrichten noch nicht einmal als Antwort- bzw. Themenbaum darstellen, da immer wieder neue, teils durch Massenaussendungen angestoßene Nachrichten verschickt werden. Es wird in der Korrespondenz auf Antwortschreiben nicht eingegangen, was den Eindruck verstärkt, dass es sich bei den Nachrichten in erster Linie um Push-Mails handelt, die massenweise angestoßen werden.

Instrumentalisierung der Identitätsfeststellung zur Abwehr von Betroffenenrechten

Per Massenaussendung und wohl ohne sorgfältige interne Prüfung zur Identitätsfeststellung werden Betroffene auf Ihre Mitwirkungspflicht aufmerksam gemacht und aufgefordert, zum Identitätsnachweis eine Kopie eines Ausweises, Führerscheins etc. einzuscannen und per E-Mail an das Datenschutzteam der POST AG zu übermitteln. Wörtlich: Damit wir Ihre Identität überprüfen können, legen Sie bitte eine Kopie oder einen Scan eines amtlichen Lichtbildausweises (Reisepass, Personalausweis oder Führerschein) vor, damit wir Ihre Identität zweifelsfrei feststellen können. Nach dem enormen Vertrauensverlust und in Kenntnis des sorglosen und gesetzwidrigen Umgangs mit personenbezogenen Daten, wird sich jede Betroffene und jeder Betroffene hüten, eine Kopie eines amtlichen Ausweises zu übermitteln, zumal die DSGVO zwar eine Identitätsfeststellung verlangt, allerdings nicht zwingend die Kopie eines amtlichen Ausweises. Zudem wird mittlerweile in Frage gestellt, ob eine Kopie eines amtlichen Ausweises für einen sicheren Identitätsnachweis alleine ausreicht. (Erläuterung)

Im Fall der POST AG läge es nahe, das Postident-Verfahren für den Identitätsnachweis zu nutzen. Dieses Verfahren wird von vielen Unternehmen dazu genutzt, um der Verpflichtung durch die DSGVO zur Identitätsfestellung nachzukommen. Für die POST AG müsste dieses Verfahren ohnehin naheliegen, bietet sie dies doch als Briefzusatzleistung an, als die postalische Zustellung „eigenhändig” und mit „Übernahmeschein”.

Das Datenschutzteam der POST AG besteht allerdings auf der Zusendung einer Ausweiskopie und reagiert vielfach gar nicht auf vorgeschlagene Alternativen. Es deutet vieles darauf hin, dass die POST AG mit der Bearbeitung der Anfrage erst beginnt, nachdem der Identitätsnachweis in der geforderten Form vorliegt. Dabei sieht die DSGVO nur vor, dass die Identitätsfestellung bevor die Auskunft gegeben wird, erfolgt sein muss. Jedenfalls gibt es seitens der POST AG dazu keine genaueren Informationen.

Es deutet vieles darauf hin, dass die POST AG auf diese Weise die Auskunft verschleppen möchte und im Fall einer Beschwerde wegen Verstoßes gegen die Auskunftsfrist darauf Bezug nehmen möchte. Mit anderen Worten, die POST AG zielt mit dem Beharren auf einer Ausweiskopie auf eine Eskalation. Das macht das Unternehmen nicht sympathischer oder kundenfreundlicher wobei letztendlich nichts daran vorbeiführen wird, dass die POST AG ihrer Auskunftspflicht im Rahmen der Betroffenenrechte nachkommen muss. Auch hier zeigt sich mangelnde Professionalität.

Beschwerde bei der Datenschutzbehörde zur Durchsetzung von Rechten

Die Verlängerung der Auskunftsfrist von einem Monat auf drei Monate kann angesichts der massenhaften Auskunftsanfragen von Kunden der Post noch Verständnis entgegen gebracht werden. Die Verschleppung der Auskunft, weil eine bestimmte Form des Identitätsnachweises nicht erfüllt wird, ist letztlich kein Grund, dem Betroffenen, bzw. der Betroffenen die Auskunft zu verweigern, zumal es sicherere Möglichkeiten der Identitätsfeststellung gibt.

Es bleibt daher nur die Beschwerde bei der Datenschutzbehörde, da in Österreich der Klagsweg ausgeschlossen ist.

(Im Protokoll zum Auskunftsverlangen wird auch die Bearbeitung der Beschwerde durch die Datenschutzbehörde protokolliert)

Protokoll eines Auskunftsverlangens nach Artikel 15 DSGVO

#	Datum	Von	Betreff / Inhalt	Bemerkung
1	09.01.2019	fokus.genba	Auskunftanfrage nach Art. 15. DSGVO
2	23.01-2009	post.at	Allgemeine Stellungnahme zur aktuellen Medienberichterstattung wegen Dataenschutzverletzungen durch die POST AG. Am Ende des Mail wird in einem Satz auf die Auskunftsanfrage nach Art. 15 DSGVO eingegangen: Zu Ihrer konkreten Anfrage melden wir uns gesondert.
3	05.02.2019	post.at	Standardantwort auf Auskunftsverlagen und Hinweis, dass wegen der großen Zahl von Anfragen die Beantwortung gem. Art. 12 Abs. 3 Satz 2 DSGVO bis zu drei Monate dauern kann.
4	12.2.2019	fokus.genba	Hinweis, dass die Beantwortung des Auskunftsverlangens entsprechend bis spätestens 09.04.2019 erwartet wird.	Lesebestätigung vom 13.02.2019
5	05.03.2019	post.at	Mitwirkung betreffen der Datenschutzanfrage (Identitätsnachweis) Sie haben sich bei der Österreichische Post AG mit einem Anliegen (Betroffenenrecht nach Datenschutzgrundverordnung - DSGVO) gemeldet. Auf Grundlage der von Ihnen zu Ihrer Person mitgeteilten Informationen sind wir nicht in der Lage, Sie zweifelsfrei zu identifizieren. Da wir unserer Pflicht zur Wahrung der Betroffenenrechte (z.B. Auskunft, Löschung, Widerspruch) nur gegenüber eindeutig identifizierten Personen nachkommen dürfen, können wir Ihr Anliegen erst nach Übermittlung Ihrer vollständigen Daten (Adresse und Ausweiskopie) bearbeiten.
6	05.03.2019	fokus.genba	Antwort und Hinweis, dass Identitätsnachweis nicht zwingend durch Zusendung einer Ausweiskopie erfolgen muss, zumal die Überlassung dieser Kopie selbst problematisch ist und zudem dem Grundsatz der Datensparsamkeit und der Datenminimierung widerspricht. Es wurde beispielsweise auf folgende Möglichkeit hingewiesen: Postalische Zustellung der erwünschten Unterlagen mit "eigenhändig" und "mit Übernahmeschein". D.h. der Adressat müsste durch Vorzeigen des Ausweises (nicht Überlassung einer Kopie) seine Identität nachweisen. (Postident-Verfahren → https://www.post.at/geschaeftlich-identbrief.php)
7	04.04.2019	post.at	Feststellung Ihrer Identität: Sie haben sich bei der Österreichische Post AG mit einem Anliegen (Betroffenenrecht nach Datenschutzgrundverordnung - DSGVO) gemeldet. Diesem Anliegen werden wir gerne nachkommen. Damit wir Ihre Identität überprüfen können, legen Sie bitte eine Kopie oder einen Scan eines amtlichen Lichtbildausweises (Reisepass, Personalausweis oder Führerschein) vor, damit wir Ihre Identität zweifelsfrei feststellen können.	Auf das E-Mail vom 05.03.2019 wurde nicht Bezug genommen, die vorgeschlagene Alternative zur Identitätsfeststellung ignoriert.
8	04.04.2019	fokus.genba	Erneuter Hinweis darauf, dass die DSGVO zur Identitätsfeststellung nicht zwingend eine Ausweiskopie verlangt und es die genannte Alternative zum sicheren Identitätsnachweis gäbe. Erneuter Hinweis auf Erledigungsfrist des Auskunftsverlangens bis 09.04.2019	Lesebestägigung vom 04.04.2019
9	05.04.2019	post.at	Der gleiche Hinweis wie schon vom 05.02.2019, dass die Erlediungsdauer der Anfragebeantwortung innerhalb von drei Monaten nach Anfrage erfolgen wird.	(Gehe nicht über Los, gehe zurück zu Start ;-)
10	05.04.2019	fokus.genba	Hinweis, dass das Auskunftsverlagen am 09.01.2019 gestellt wurde und die erweiterte dreimonatige Erledigungsfrist am 09.04.2019 abläuft.	Zusendung einer Kopie der entsprechenden Nachrichten im Anhang
11	09.04.2019	post.at	Gleichlautendes E-Mail wie vom 04.04.2019 bzgl. Identitätsnachweis. Keinerlei Erwähnung des zwischenzeitlichen Mailverkehrs und zur Alternative der Identitätsfeststellung durch die POST AG	déjà vu
12	09.04.2019	fokus.genba	Erneuter Hinweis darauf, dass die DSGVO eine Identitätsfestellung durch Überlassung einer Ausweiskopie nicht zwingend vorschreibt und daher als Alternative die postalische Zustellung mit den Briefzusatzleistungen "eigenhändig" und "mit Übernahmeschein), sprich durch Postident-Verfahren (→ https://www.post.at/geschaeftlich-identbrief.php).	Lesebstätigung vom 09.04.2019
13	10.04.2019	post.at	Standardmail zur erweiterten Erledigungsdauer der Auskunftsanfrage	déjà vu
14	11.06.2019	fokus.genba an DSB	Beschwerde nach Art. 77 DSGVO gegen die POST AG eingereicht, wegen Missachtung des Rechts auf Auskunft nach Artikel 15 DSGVO	Anschreiben per signiertem E-Mail Beschwerde samt urspr. Anforderungs-E-Mail zur Auskunft nach Art.15. DSGVO Gesamte Korrespondenz
15	11.06.2019	dsg.gv.at		Automatisierte Lesebestätigung als Antwort auf die Option Empfangsbestätigung beim Versand der Beschwerde
16	22.7.2019	POST AG	E-Mail mit folgendem Hinweis: leider kann Ihre Anfrage auf diesem Wege nicht bearbeitet werden. Bitte nutzen Sie dafür ausschließlich unser Kontaktformular unter datenschutzanfrage.post.at.	Absenderadresse des E-Mail: noreply Adresse
17	22.7.2019	fokus.genba an DSB	Weiterleitung der E-Mail an die Datenschutzbehörde zur Aktualisierung der Beschwerde Unterlagen	Automatische Lesebestätigung am 30.7.2019
18	22.7.2019	fokus.genba	E-Mail Hinweis an die POST AG, dass die Nichtbearbeitung einer Anfrage nach Artikel 15 DSGVO wegen Nutzung eines nicht vorgesehenen Kanals der DSGVO widerspricht.

Dieser Beitrag könnte Sie zum Thema Post und Datenschutz auch interessieren:

Verkauft die österreichische Post ihre Kunden? Addendum hat skandalösen Datenmissbrauch personalisierter Daten aufgedeckt und Verstöße gegen den Datenschutz (DSGVO, DSG) aufgezeigt. Das Geschäftsmodell der Post AG wird immer fragwürdiger, trotz einer Beteiligungsmehrheit der ÖBAG, also des Bundes. Mehr lesen...

Tags: Beschwerde Betroffenenrechte DSB Datenschutzvergehen Identitätsfeststellung Identitätsnachweis POST AG

Editionsgeschichte:

Eingetragen von Conrad Lienhardt am 10.04.2019 in DSGVO – Last touched: 30.07.2019 – Contents updated: 30.07.2019

9 Kommentare, 1 webmention

Benutzerwertungen

5 Stern:		(3)
4 Stern:		(1)
3 Stern:		(0)
2 Stern:		(1)
1 Stern:		(0)

5 Bewertungen

Durschn. Benutzerwertung:
(4.2)

Webmention von: fokus.genba.org Besucher

https://fokus.genba.org/dsgvo-konsequentes-strafen-weniger-panikmache Eine konsequente Umsetzung des Datenschutzes setzt einen entsprechenden politischen Willen und eine unabhängige, konsequente Rechtsdurchsetzung durch die Datenschutzbehörde voraus. In Österreich darf beides bezweifelt werden.

Kommentar von: Martha Gensbein Besucher

Hat die Aufsichtsbehörde den Eingang der Beschwerde bestätigt oder gibt es sonst Reaktionen?

Vielen Dank für den Schilderung, wie die POST AG mit ihren Kunden und Kundendaten umgeht. Kaum zu glauben.

Kommentar von: cal Mitglied

Sehr geehrte Frau Gensbein,

vorerst nur für registrierte Nutzer von fokus.genba.org habe ich folgende Seite angelegt: https://fokus.genba.org/die-beschwerde-nach-dsgvo
Hier wird ein Beschwerdeverlauf - am Beispiel der Beschwerde gegen die POST AG - protokolliert und kommentiert. Die Informationen dort sind tagesaktuell.

Nach Abschluss des Verfahrens wird die Seite samt allfälliger Empfehlungen an die Datenschutzbehörde allgemein öffentlich zugänglich sein. Bitte haben Sie etwas Geduld, Lt. Artikel 78 Abs. 2 hat die Behörde drei Monate Zeit, auf die Beschwerde zu reagieren. Ende September wird es spätestens soweit sein.

Kommentar von: cal Mitglied

Peter Klimitsch hat auf seinem Blog über seine Erfahrungen zur Auskunftanforderung nach Artikel 15 DSGVO und die Antwort, die er von der Post AG erhalten hat, einen aufschlussreichen Beitrag verfasst: EXTRA – Liebe Post, wie hältst du es mit meinen Daten?

Kommentar von: Markus Besucher

Nachdem ich bereits im Februar bei der Post das Ansuchen um Auskunftsbegehren gestellt, was auch akzeptiert wurde (unter Beilage der Legitimationsdaten) - die Information zur Fristverlängerung erfolgte dann ja auch zeitgerecht (am letzten Tag der Einmonatsfrist) - nur seither ist Funkstille. Nachdem die DSGVO und die Einhaltung der gesetzlichen Vorgaben auch mich selbst gequält hat, habe ich durchaus auch Verständnis für die Fristverlängerung. Nachdem ich bis zum heutigen Tage aber absolut keine Antwort erhalten habe, die Einhaltung der gesetzlichen Vorgaben aber essentiell in einem Rechtsstaat sind, habe ich heute zumindest einmal die Datenschutzbehörde darüber informiert und um weitere Informationen gebeten. Es kann nicht sein, dass man hier seitens der Post einfach die gültigen Normen ignoriert - zumal das vermutlich auch kein Einzelfall sein wird. Vielleicht spielt man bewusst aus, dass doch einige der Auskunftsansuchenden auf eine Antwort "vergessen", die ihnen zusehen würde,… Umso schlimmer für ein börsenotiertes Unternehmen, denn die Strafen für Verstöße sind doch gravierend!

Kommentar von: Conrad Lienhardt Mitglied

Zunächst Danke für Ihren Kommentar und dass Sie Ihre Erfahrungen hier teilen.

Wie Ihnen ist es nicht nur mir so gegangen, sondern vielen anderen auch, allein schon aus meinem Kollegen und Bekanntenkreis.

Mir ist nicht bekannt, dass die Datenschutzbehörde gegen die Post AG Strafen verhängt hätte. Sie folgt wohl der Vorgabe des Datenschutz-Deruglierungsgesetzes 2018, das der Datenschutzbehörde, die ja eigentlich weisungsfrei sein sollte, folgendes vorgibt: Bei „Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen. (§ 11 DSG)” Ich selbst bin noch nicht dazu gekommen, eine Beschwerde bei der DSB einzureichen. Das wird aber kommen, wenn die Zeit es erlaubt. Sie schreiben, dass Sie die Datenschutzbehörde informiert haben.

Erlauben Sie mir dazu eine Anmerkung: Eine Information wird nicht zwingend als Beschwerde aufgefasst und nur auf eine Beschwerde hin wird die DSB tätig werden. Bei Beschwerden, so die DSB, legt man Wert darauf, dass diese den Form- und Inhaltserfordernisse des § 24 Abs. 2 DSG entspricht, wobei dies, so wird betont, „streng gehandhabt” wird. Vielleicht komme ich dazu, zum Thema Beschwerden an die Aufsichtsbehörde in Österreich einen Beitrag zu verfassen. Auch mit Individualberatungen und Auskünften außerhalb von Verfahren an welchen man beiteiligt ist, ist die Datenschutzbehörde (wie im Beitrag ausführlich dargestellt) zurückhaltend. Wäre fein, wenn Sie uns hier den Ausgang der Angelegenheit mitteilen könnten. Ein Beitrag, der Sie vielleicht auch interessieren könnte. Verkauft die österreichische Post ihre Kunden?

Kommentar von: Florian Besucher

Ich dachte immer, dass die Datenschutzbehörde bei einem begründeten Hinweis auf eine Verletzung des Datenschutzes dem Vorgang nachgehen müsste. Es ist ja schließlich keine Angelegenheit des Zivilrechts. Dass die Behörde dann Beschwerden, nur weil sie nicht ganz dem strengen formalen Maßstab entsprechen, abweisen oder gar nicht behandelt halte ich schlicht für einen Skandal. Wen eigentlich schützt die Datenschutzbehörde?

Kommentar von: Karin Gräbner Besucher

Solange Manager nicht konsequent für Verstöße strafrechtlich zur Verantwortung gezogen werden, wird sich nicht wirklich etwas ändern. Ein grundsätzliches Umdenken ist erforderlich. Zieht die Manager zur Verantwortung!

Kommentar von: gabi Mitglied

Nicht jeder Verstoß gegen die DSGVO /BDSG ist strafrechtlich relevant. Die DSGVO sieht jedoch vor., dass bei Verhängung von Bußgeldern Geschäftsführer zur Verantwortung gezogen werden können, ebenso jeder Mitarbeiter und jede Mitarbeiterin, soweit diese an der Verarbeitung personenbezogener Daten beteiligt waren, die einen Verstoß gegen die DSGVO darstellen (Schadensersatz). Das kann ganz schön teuer werden.
Allerdings würde das voraussetzen, dass die Datenschutzbehörden oder die Gerichte Verstöße gegen die DSGVO entsprechend ahnden. In Österreich ist das zunächst nicht wirklich zu erwarten, nachdem die Politik die DSGVO massiv unterläuft und Konsequenzen bei Verstößen deutlich entschärft hat.
(Siehe auch: https://fokus.genba.org/die-geschaeftsfuehrung-haftet-bei-dsgvo-verstoessen)

Kommentar von: Gundi Mayr Besucher

Die Salzburger Nachrichten veröffentlichten am 4. April dazu einen Artikel: Datenschutz: Salzburger klagt die Post . Im Internet ist der Artikel (allerdings hinter einer Bezahlschranke) nachzulesen: https://www.sn.at/panorama/medien/datenschutz-salzburger-klagt-die-post-68250949

Formular wird geladen...