Es handelt sich bei der „politischen Affinität“ einer Person – unabhängig davon, ob dies eine „Durchschnittswahrscheinlichkeit für eine Marketinggruppe“ darstellt – jedenfalls um personenbezogene Daten iSv Art 4 Z 1 DSGVO. So sind Daten mit Bezug zu einer Person personenbezogen, auch wenn sie unzutreffend sind. Die solcherart auch nur geschätzte oder prognostizierte politische Affinität eines Menschen gehört zu den sensiblen Daten iSv Art 9 Abs 1 DSGVO, handelt es sich doch um politische Meinungen oder weltanschauliche Überzeugungen. Wenn die dafür berechneten Werte im Datensatz der betroffenen Person faktisch abgespeichert und damit zuordenbar sind, wird dieser Person eine politische Affinität konkret zugeschrieben. Der Wahrheitsgehalt ist für die Betrachtung unerheblich. Marketinganalyseverfahren (hier: die Verarbeitungstätigkeit „DAM Zielgruppenadressen“ der Österreichischen Post AG) unterscheiden sich im Ergebnis nicht von „herkömmlichen“ Profiling-Vorgängen bzw sonstigen automatisierten Entscheidungsfindungen, etwa durch Kreditauskunfteien. In all diesen Fällen werden mit statistischen Verfahren, teilweise angereichert durch konkrete Erfahrungswerte zu bestimmten Personen, Werte ermittelt, die einer bestimmten oder bestimmbaren Person zugeordnet werden. Die Zulässigkeit der Verarbeitung von Daten nach Art 9 Abs 1 DSGVO richtet sich ausschließlich nach den in Art 9 Abs 2 leg cit taxativ aufgezählten Tatbeständen. Demnach wird zur Verarbeitung besonderer Kategorien von Daten iSv Art 9 Abs 1 DSGVO auch gemäß § 151 Abs 4 GewO 1994 im Zuge der Ausübung des Gewerbes für Adressverlage und Direktmarketingunternehmen ein ausdrückliches Einverständnis der betroffenen Personen vorausgesetzt. Liegt dieses nicht vor, ist die Verarbeitung auch mangels anderer Rechtsgrundlagen unrechtmäßig. Verarbeitet ein Verantwortlicher massenhaft sensible Daten (hier: tatsächliche Vermarktung von ca. 3,1 Mio Datensätzen, die politische Affinitäten zuordnen), ist er verpflichtet vor Verarbeitungsaufnahme eine Datenschutz-Folgenabschätzung nach Art 35 DSGVO durchzuführen. Hat er diese unterlassen, ist eine weitere Ausführung der Verarbeitungstätigkeit untersagt und sind die vorhandenen Datensätze zu löschen. Redaktionelle Leitsätze