Die Datenkollekte der Post hat ein Nachspiel, aber nicht für das Unternehmen. Das teilstaatliche Unternehmen hatte ja viele Daten der Österreicher erhoben und vermarktet. Neben Einkommen, Qualifikationen, Bioaffinität oder Spendenbereitschaft zählten beispielsweise auch die Parteipräferenzen zu dem Raster der Konsumenten, der dann zu Geld gemacht wurde. Eine Einwilligung der betroffenen Personen wurde nicht eingeholt.

Aus Datenschutzsicht war das ein No-Go. Die Datenschutzbehörde hat einen Verstoß gegen entsprechende Regeln gesehen. Sie verhängte wegen der Speicherung und Verarbeitung besonders schutzwürdiger Daten wie der politischen Meinung eine Geldbuße von 18 Millionen Euro plus 1,8 Millionen Verfahrenskosten. Dagegen legte die Post Beschwerde ein.

Das Verfahren ist nun entschieden: Gewonnen hat die Post. Das Bundesverwaltungsgericht gelangte zu der Ansicht, dass nur eine natürliche Person als Täterin ausgemacht werden kann. Die Behörde ist hingegen gegen das Unternehmen und damit eine juristische Person vorgegangen.

Fitnesskurs der Post

Pech für die Behörde: Das Bundesverwaltungsgericht beruft sich in der Frage der Täter auf eine jüngere Entscheidung des Verwaltungsgerichtshofs von 2020. Der Adressat der Strafe muss dabei konkret bestimmt sein. Das hat die Datenschutzbehörde unterlassen. Sie verwies lediglich auf die Rolle des Vorstands: Der sei im Rahmen des Projektes "Fitness für die DSGVO" über alle Punkte informiert gewesen und habe das Vorhaben auch beschlossen. Außerdem argumentierte die Behörde mit einer höchstgerichtlichen Entscheidung in Frankreich, wonach die namentliche Nennung von natürlichen Personen nicht erforderlich sei.

Das Bundesverwaltungsgericht ließ sich von dem Argument nicht überzeugen. Das Straferkenntnis der Datenschutzbehörde sei rechtswidrig, weil keine natürlichen Personen benannt worden seien. Es fehle somit nämlich eine Konkretisierung des Tatvorwurfs, heißt es in der Entscheidung, die dem STANDARD vorliegt. Das Gericht stellte das Strafverfahren ein. Da keine Rechtsfragen von grundsätzlicher Bedeutung zu klären sind, ist die Revision unzulässig.

Experten zur Entscheidung

Für Experten hat es die Entscheidung in sich: "Die Datenschutzbehörde hätte zumindest dem Vorstand der Post ein Aufsichts- oder Organisationsverschulden vorwerfen und nachweisen müssen, das zur konkreten Datenschutzverletzung geführt hat", meint der Datenschutzjurist Maximilian Kröpfl.

Sein Kollege Andreas Rohner verweist darauf, dass die vorrangig anzuwendende DSGVO eine direkte Haftung der juristischen Person durchaus vorsehe. Die von der Datenschutzbehörde angeregte Vorlage an den Europäischen Gerichtshof wurde vom Bundesverwaltungsgericht aber abgelehnt. (Andreas Schnauder, 2.12.2020)