Post verkaufte Daten für Werbung

Die Post und ihr Umgang mit sensiblen Kundendaten sorgt erneut für Aufregung: Zusammen mit einem Partner soll die Post das Surfverhalten der Österreicher ausgewertet und Unternehmen gezielte Werbung ermöglicht haben.

Wer beispielsweise auf der Seite einer bestimmten Autofirma gesurft hatte, konnte dann gezielt von dieser Autofirma mit Werbung beschickt werden. Mit diesem Vorgehen habe die Post die Datenschutzgrundverordnung verletzt, schreibt das Portal Addendum. Laut Addendum hat die Agentur Twyn Group im Onlineshop von Partnerunternehmen Cookies gesetzt, kleine Programme, die das Surfverhalten von Usern speichern. Die Nutzer hatten für ihre Einkäufe auch ihre Adressen hinterlegt.

Das Wissen über das Surfverhalten der Nutzer sei dann mit dem Datensatz der Post abgeglichen worden, der auch die Adresse enthielt. Damit konnte die Post Werbekunden gezielt Adressen anbieten, bei denen auch das Onlinesurfverhalten bekannt war, schreibt die Rechercheplattform Addendum. Erst vor Kurzem war die Post ins Gerede gekommen, weil sie die Parteizugehörigkeit ihrer Kunden berechnet und danach sortierte Adressen verkauft hat - mehr dazu in Post verkauft Daten zu „Parteiaffinität“.

Post sieht Datenschutzproblem bei Partner

Die Post bestätigte der APA auf Nachfrage, dass es so ein Produkt gegeben habe und dass es nach den Addendum-Recherchen eingestellt worden sei, „um Kunden und Mitarbeiter zu schützen“. Schuld an Datenschutzproblemen sei aber der Partner Twyn.

„Es handelt sich hierbei um ein Produkt der Twyn Group, das von der Post im Reselling verkauft wird - Twyn Group agiert dabei als Adressverlag laut Gewerbeschein. Insbesondere ist die Behauptung falsch, dass durch den Abgleich der Tracking-Daten mit den Daten der Post eine namentliche Zuordnung der Personen möglich wird“, so die Post.

„Die namentliche Zuordnung der Cookie-Daten zu Personen findet bei Twyn und deren Partnern statt. Die Behauptung, dass die Post dadurch gegen die DSGVO verstoßen würde, ist daher ebenfalls falsch. Die Post ist Vertriebspartner der Twyn für diese Daten und hat mit der Datenerhebung nichts zu tun“ , hieß es in einer Stellungnahme der Post. Von Twyn lag vorerst keine Reaktion auf eine APA-Anfrage vor.

User namentlich zugeordnet

„Die Österreichische Post soll den Werbepartnern angepriesen haben, dass der Online-User namentlich zugeordnet werden kann. Damit würde die Post personenbezogene Informationen verkaufen - und somit wie bei den Parteiaffinitäten gegen die Datenschutzgrundverordnung verstoßen. Durch die Verwendung des Cookies hebt das Unternehmen die Anonymität der eigenen Kunden im Netz auf“, schreibt Addendum. Kritik kam unter anderen von Datenschützer Max Schrems - mehr dazu in Schrems kritisiert Datenspeicherung der Post.

Die deutsche Post habe ein ähnliches Produkt, bei diesem würden aber einige Haushalte zusammengefasst, sodass keine Personalisierung möglich ist, so Addendum.

Twyn: Keine Datenweitergabe und kein -abgleich

Der Auftragsdatenverarbeiter Twyn widerspricht dem Bericht von Addendum. Weder Post noch Twyn würden werbetreibenden Unternehmen Online-Nutzerdaten anbieten oder verkaufen. „Ebenso falsch ist die Behauptung, von Twyn erhobene Cookie-Daten würden mit Datensätzen der Post abgeglichen werden“ sagte Werner Schediwy, Managing Partner von Twyn, im Gespräch mit der APA.

Die Post vermittle lediglich ihren Kunden die Möglichkeit, gezielte Werbung zu verschicken, ohne jemals selber die Datensätze zu kennen und sei für Twyn ein „Vertriebspartner“. „Die Post kauft gar nichts. Sie bietet nur das Produkt an“, so Schediwy.

Sein Unternehmen verbinde die Informationen aus Cookies von Adressverlagen wie UNITO mit Daten aus eigenen Cookies, die das Surfverhalten von Kunden abspeichern. Die zusammengeführte Information sei aber anonymisiert und keinen bestimmten Personen zuzurechnen. „Twyn ist dabei zu keinem Zeitpunkt im Besitz von personenbezogenen Daten“, so Schediwy. Es lassen sich aber Datensätze herausfiltern, die beispielsweise Interesse an einem Möbelkauf haben könnten.

Dann würden diese Datensätze an einen anderen Auftragsdatenverarbeiter weitergegeben, der seinerseits nur die Adressen und Namen der Nutzer entschlüssele, aber nicht wisse, wofür sich diese interessieren. Mit diesen getrennten Informationen werde dann ein Auftrag an einen Postversender erteilt, Werbebroschüren für ein Möbelhaus an ausgewählte Adressen zu verschicken. „Zu keinem Zeitpunkt weiß irgendwer alles“, nennt es Schediwy.

Schediwy: Kunde kann jederzeit widerrufen

Der ganze Vorgang sei mehrfach von Juristen geprüft und entspreche den Vorgaben der Datenschutzgrundverordnung (DSGVO), weil niemand gleichzeitig sowohl das Surfverhalten als auch die Adressen der Nutzer kenne, sagt Schediwy.

Angeschrieben würden nur Nutzer, die einerseits bei UNITO angegeben haben, dass sie der Weiterverwendung ihrer Daten zu Marketingzwecken und zur Belieferung mit Informationen von dritten werbetreibenden Unternehmen (ausdrücklich auch Twyn) zustimmen und andererseits bei einem werbetreibenden Unternehmen wie einem Möbelhaus die Verwendung von Cookies akzeptiert haben. Diese Zustimmungen könne der Kunde auch jederzeit widerrufen.

Links:

• Post verzichtet auf Daten zu „Parteiaffinität“ (wien.ORF.at; 10.1.2019)
• Datenschützer prüfen Post (wien.ORF.at; 8.1.2019)
• Post verkauft unzustellbare Pakete an Mitarbeiter (wien.ORF.at; 16.1.2019)