Seit 20 Jahren vergibt der Verein quintessenz einen Datenschutz-Negativpreis an Unternehmen oder Regierungsbehörden, die sich durch die Verletzung unserer Privatsphäre auszeichnen.
Österreich blickt beim Datenschutz auf eine spannende Zeit zurück. Die Datenschutz-Grundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft. Sie brachte neue Spielregeln für den Umgang mit persönlichen Informationen und mehr Rechte für Betroffene. So gab es 2019 einige Unternehmen, die im Umgang mit sensiblen Daten negativ auffielen und durch die neuen Gesetze seither mit höheren Strafen abgemahnt werden können. Prominentester Missetäter ist die Österreichische Post, die ihren Geschäftspartnern neben Zustelladressen auch höchst persönliche Details wie die mutmaßliche politische Gesinnung zum Verkauf anbot – ohne Wissen der Betroffenen. Aber auch Rewe mit dem JÖ-Bonusclub oder das Seebad Weiden am See mit dem Handvenen-Scanner beherrschten die öffentliche Diskussion.
Enorme Mengen an personenbezogenen Daten
Beispiele wie diese zeigen: Unternehmen und Organisationen sammeln enorme Mengen personenbezogener Daten, speichern und verarbeiten diese (oftmals illegal) oder geben sie an Dritte weiter. Die jährlichen „Big Brother Awards“ machen darauf aufmerksam. Im besten Fall erhoffen sich die Initiatoren eine Verbesserung seitens der Unternehmen. Der Name der Auszeichnung ist eine Anspielung auf die Figur des Großen Bruders (Big Brother) in George Orwells Roman „1984“. Orwell entwirft eine beklemmende Welt, in der allumfassende Überwachung durch den großen Bruder Realität ist. „Wir beobachten die Wächter weltweit“, liest man auf der internationalen Website der Big-Brother-Awards. Gemeint sind jene Unternehmen, die ähnlich wie der große Bruder, sorglos mit unseren privaten Daten umgehen.
Am 25.10.2019 wurde im Rabenhof Theater in Wien nun der diesjährige Datenschutz-Negativpreis in insgesamt fünf Kategorien verliehen. Vier Unternehmen und die türkisblaue Regierung wurden in fünf Kategorien "ausgezeichnet".
JÖ-Bonusclub: Profiling und schwierige Kündigung
In der Kategorie "Kommunikation und Marketing" siegte der Jö Bonusclub, das viel diskutierte Kundenbindungsprogramm von Rewe. Das neue Bonusprogramm vereint viele Unternehmen, auch über die Konzerngrenzen der Rewe-Gruppe hinaus (OMV, Merkur, Libro, interio, Verbund, Pagro, Billa, Zgonc, Billa Reisen, Penny, Bipa, Adeg, Bawag PSK, Pearle). Sie löst sämtliche bisherigen Kundenkarten ab. Wenn alle Kundentransaktionen zusammen ausgewertet werden können, seien dem Profiling Tür und Tor geöffnet, so die Begründung der Jury.
Auch Walter Hager, unser Experte für Finanzdienstleistungen, nahm das neue Angebot genauer unter die Lupe und riet zur Vorsicht. Die Ersparnis sei im Schnitt deutlich geringer als angepriesen. Vor allem aber warnte Walter Hager vor dem Kontrollverlust durch die Preisgabe persönlicher Daten. (Jö-Bonusclub: anmelden? - Rabatte mit Daten bezahlen) Zahlreiche Leserinnen und Leser berichten außerdem von einer erschwerten Kündigung. „Auf der Website gibt es keine Möglichkeit, den Account zu löschen“, schreibt ein User auf konsument.at. (Jö-Bonus-Club: Schwierige Kündigung - Nö zu Jö)
Post-Algorithmus: Unzulässige Datenverarbeitung
Die Kategorie "Business und Finanzen" gewann der Post-Algorithmus, mit dem die Parteivorlieben von Bürgern errechnet wurden. Anfang des Jahres sorgte der Datenskandal um die Speicherung dieser Vorlieben von Millionen Post-Kunden und der mutmaßliche Verkauf dieser Daten an wahlwerbende Parteien für Aufregung (Post-Datenskandal: verlangen Sie Auskunft! - Mustertext für Datenauskunft). Die Datenschutzbehörde schob dieser illegalen Praxis einen Riegel vor. Am 12.2.2019 stellte man nach einem Prüfverfahren Verstöße der Post fest: Die Daten hätten in dieser Form nicht verarbeitet werden dürfen. Auch unserer Ansicht nach war die Datenverarbeitung unzulässig.
Wie Ende Oktober bekannt wurde, hat diese Datenschutzaffäre der Post möglicherweise auch teure Folgen. Aus einer Aussendung des Unternehmens geht hervor, dass die Datenschutzbehörde eine Strafe in der Höhe von 18 Millionen Euro ausgesprochen hat. Es ist die vierthöchste bisher in der EU verhängte Strafe. Für Österreich ist der Fall um die Post ein wichtiges Beispiel in Sachen Datenschutzgrundverordnung (DSGVO). Die Post hat angekündigt in Berufung zu gehen.
Hochsicherheits-Technologie im Seebad Weiden
Für Aufregung sorgte im Sommer 2019 auch das Strandbad Weiden am See. Saisonkartenbesitzer müssen sich seither per Handvenen-Scanner registrieren. Dafür gab es den Preis in der Kategorie „Verwaltung und Behörden“. Sensible biometrische Daten werden bis auf Widerruf gespeichert. Mehr als 50.000 Euro wurde in diese Hochsicherheits-Technologie investiert. Laut Gemeinde besteht der Vorteil für Gäste darin, dass diese keine Saisonkarte mehr benötigen würden, Missbrauch könne verhindert werden. Die Jury bezeichnet den Handvenen-Scanner als maßlos übertriebene und überteuerte Sicherheitsmaßnahme. Sie warnte davor, dass hier die Privatsphäre auf der Strecke bleibt.
Microsoft: Datenhunger
Beim "Weltweiten Datenhunger" wurde Microsoft prämiert. Auch wir berichteten schon oft über den Datenhunger des Unternehmens (Microsoft Office sammelt heimlich Daten - Softwarefirma verstößt möglicherweise gegen DSGVO, Windows 10: Datenhunger eindämmen - Werbe-ID, Sprachliste, Apps, Windows 10: Aktivitätsverlauf - Datenfluss reduzieren) Wer seine Sprach- und Videoanrufe mit dem Skype-Translator übersetzen lässt, muss nämlich damit rechnen, dass nicht nur die Gesprächspartner, sondern auch Mitarbeiter des Konzerns zuhören. Skype nimmt private Gespräche auf und analysiert diese zur Weiterentwicklung von Spracherkennungs- bzw. Übersetzungssoftware. Das Unternehmen spricht von einem "maschinellen Lernprozess" und verweist in seinen AGBs darauf. Trotzdem ist dies ohne vorherige Einwilligung in Österreich strafbar. Weiter nominiert waren Amazon sowie Facebook.
Türkis-blaue Regierung: SIM-Karten-Registrierung
Auch die türkis-blaue Regierung ging nicht ohne Preis aus. In der Kategorie „Politik“ erhielt sie den Big Brother Award des Jahres 2019. Die geplante aber nicht mehr umgesetzte Klarnamenpflicht im Internet sorgte für massive Kritik unter Datenschutzexperten. Der Gesetzesentwurf wurde nicht mehr umgesetzt, da die Koalition platzte. Eingeführt wurde wiederum die SIM-Karten-Registrierung (SIM-Karten-Registrierung: Ausweis - Verpflichtend in Österreich).
Die Datenschutzorganisation epicenter.works sprach schon damals von „unverhältnismäßigen Maßnahmen“. Sie warnte in einer Stellungnahme auf der Website: „Damit werden Nutzerinnen und Nutzer unter Generalverdacht gestellt. Der äußerst zweifelhafte Nutzen für die Bekämpfung von Kriminalität steht einem Eingriff in das Recht unzähliger Menschen, frei und unbeobachtet zu kommunizieren, gegenüber.“ Seit 1. September 2019 müssen alle österreichischen SIM-Karten registriert sein - oder sie können nicht mehr aufgeladen werden. Für neu gekaufte Wertkarten gilt die Registrierungspflicht bereits seit dem 1. Jänner. Kunden müssen die Daten beim Kauf angeben.
„Die Verleihung des Big Brother Awards als Datenschutz-Negativpreis, zeigt deutlich wie schamlos viele Unternehmen mit der Privatsphäre ihrer Kunden umgehen.“ sagt Wolfgang Schmitt, Datenschutzbeauftragter des VKI. „Die Nominierten speichern und analysieren ungeniert Privatgespräche, Konsumverhalten, sensible Daten usw. zum eigenen Profit und ohne dabei auf geltendes Recht zu achten. Die vorliegenden Fälle sind keine Seltenheit und betreffen weite Teile der Gesellschaft.“
