Das Österreichische Bundesverwaltungsgericht (BVWG) Wien hat am 27.12.2024 eine Datenschutzstrafe von 16 Millionen Euro gegen ein Adresshandels- und Direktmarketingunternehmen bestätigt. Der Fall betrifft die unrechtmäßige Verarbeitung personenbezogener Daten, insbesondere die Speicherung und der Verkauf von Daten über die politische Affinität von Personen, Paketfrequenzen und Umzugswahrscheinlichkeiten.
Das Urteil (W258 2227269-1/39E) zeigt deutlich, dass Adresshändler und Marketingunternehmen strenge Datenschutzbestimmungen einhalten müssen – insbesondere, wenn es um die Verarbeitung sensibler Daten geht.
Hintergrund des Falls: Verarbeitung sensibler Daten ohne Einwilligung
Ein Unternehmen, das im Bereich Adresshandel und Direktmarketing tätig ist, hatte über Jahre hinweg detaillierte Daten zu Konsumverhalten, Umzugswahrscheinlichkeiten und politischer Orientierung gesammelt und weiterverkauft.
Welche Daten wurden verarbeitet?
Das Unternehmen hat ohne Einwilligung der Betroffenen unter anderem folgende Datenkategorien erfasst und für gezieltes Marketing genutzt:
- Politische Affinitäten (z. B. Nähe zu bestimmten Parteien)
- Paketfrequenz (wie oft eine Person Pakete empfängt)
- Umzugsaffinität (Wahrscheinlichkeit eines Umzugs)
- Konsumverhalten (Bio-Produkte, Luxusmarken, Freizeitverhalten)
- Einkommen, Familienstand, Kinderzahl
Diese Daten wurden genutzt, um für Dritte – darunter politische Parteien – maßgeschneiderte Werbekampagnen zu ermöglichen.
Gerichtliche Entscheidung: Verstöße gegen die DSGVO festgestellt
Das Bundesverwaltungsgericht Wien hat bestätigt, dass das Unternehmen gegen mehrere zentrale Datenschutzvorschriften verstoßen hat, darunter:
- Art. 5 DSGVO (Grundsätze der Verarbeitung)
- Fehlende Transparenz über die Verarbeitung personenbezogener Daten
- Speicherung und Verarbeitung sensibler Daten ohne klare Rechtsgrundlage
- Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung)
- Fehlende Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten
- Art. 9 DSGVO (Besondere Kategorien personenbezogener Daten)
- Speicherung und Weitergabe von politischen Affinitäten, ohne dass eine gesetzliche Grundlage oder eine ausdrückliche Zustimmung der Betroffenen vorlag
- Art. 30 DSGVO (Verzeichnis der Verarbeitungstätigkeiten)
- Fehlende oder unzureichende Dokumentation über die Datenverarbeitung
- Art. 35 DSGVO (Datenschutz-Folgenabschätzung)
- Unzureichende Risikobewertung für die Verarbeitung sensibler Daten
- Art. 14 DSGVO (Informationspflichten)
- Betroffene wurden nicht ausreichend darüber informiert, welche Daten gesammelt und an Dritte weitergegeben wurden
Auswirkungen des Urteils auf die Datenschutzpraxis
Dieses Urteil setzt ein deutliches Zeichen: Die DSGVO wird strikt durchgesetzt, und Verstöße können erhebliche finanzielle Folgen haben.
Für Unternehmen:
- Datenverarbeitung muss transparent, rechtmäßig und nachweisbar sein
- Besondere Kategorien personenbezogener Daten dürfen nicht ohne Rechtsgrundlage verarbeitet werden
- Datenschutz-Folgenabschätzungen müssen sorgfältig durchgeführt werden
Für Betroffene:
- Menschen haben das Recht zu wissen, welche Daten über sie gesammelt und verkauft werden
- Sie können Löschung, Einsicht und Widerruf der Nutzung ihrer Daten fordern
Für Datenschutzbehörden:
- Die Entscheidung bestätigt, dass Aufsichtsbehörden in der EU bereit sind, hohe Geldstrafen für Datenschutzverstöße zu verhängen
- Die Einhaltung der DSGVO wird konsequent kontrolliert
Fazit: Strikte Einhaltung der DSGVO ist entscheidend
Das BVWG-Urteil zeigt klar, dass Unternehmen im Datenhandel und Direktmarketing besonders sorgfältig mit personenbezogenen Daten umgehen müssen. Die Verarbeitung sensibler Daten ohne Einwilligung kann nicht nur hohe Strafen nach sich ziehen, sondern auch massive Imageschäden verursachen.
Um Datenschutzverstöße zu vermeiden, sollten Unternehmen ihre Datenschutzstrategie regelmäßig überprüfen und anpassen. Falls Sie Fragen zur DSGVO oder zur Umsetzung von Datenschutzmaßnahmen haben, stehen wir gern beratend zur Seite.