9. November 2009 - Aus den Augen, aus dem Sinn?

Werfen Sie doch mal einen Blick auf den Postausgang!

Während die Datenschutzliteratur vor allem den Posteingang behandelt, wird der Postausgang leider vernachlässigt. Dieser sollte indes ebenso in das Blickfeld des Datenschutzbeauftragten rücken. Denn es fällt unter seine Pflichten, auch beim Postausgang auf die Einhaltung der Datenschutzvorschriften hinzuwirken.

werfen-sie-doch-mal-einen-blick-auf-den-postausgang.jpeg
Prüfen Sie die AGB des Postdienstleisters, bevor Sie personenbezogene Daten über ihn verschicken (Bild: Deutsche Post AG)

Jede nach BDSG verantwortliche Stelle versendet Briefe und Pakete. Aber ist ihr bewusst oder bekannt,

  • was nach der Aufgabe der Sendung bei der Post oder nach dem Einwurf in einen Postkasten damit geschieht,
  • durch wessen Hände sie läuft,
  • wer sie schließlich ausliefert oder
  • was mit ihr im Fall der Unzustellbarkeit passiert?

„Die“ Post mit ihrem Beförderungsmonopol gibt es schon lange nicht mehr

Früher war alles ganz einfach: Da gab es die Deutsche Bundespost. Sie hatte das Brief- und Paketbeförderungsmonopol. Ihre Mitarbeiter waren Beamte, und so musste man darauf vertrauen, dass bei der Postbeförderung schon alles mit rechten Dingen zuginge.

Heute ist das anders: Das Beförderungsmonopol existiert längst nicht mehr. Dafür gibt es einige große und viele kleine bis ganz kleine Postdienstleister, und bei der Beförderung geht die Sendung durch die Hände mehrerer selbstständiger Unternehmen. Derzeit sind über 5.000 Subunternehmer für andere Postdienstleister tätig.

Subunternehmer und Aushilfskräfte sind die Regel

Die Deutsche Post AG setzt von ihnen knapp ein Drittel ein. Und auch der Anteil von Aushilfskräften, die im Postsektor arbeiten, steigt. Bei den Konkurrenzunternehmen der DPAG sind fast die Hälfte der Beschäftigten sogenannte Mini-Jobber.

Wie sicher ist das Verschicken?

Vor diesem Hintergrund drängt sich die Frage nach der Sicherheit förmlich auf. Genaue Zahlen, wie viele Postsendungen nicht beim Empfänger ankommen, gibt es nicht.

Dass die Inhalte der Postsendungen und die näheren Umstände des Postverkehrs, also die Verbindungsdaten (von wem, wann, wie oft, auf welchem Wege, mit welchen Zusatzleistungen, an wen), in der Regel durch das Post- und Briefgeheimnis und durch strafrechtliche Normen geschützt sind, ist ein schwacher Trost.

Anzeige

Das Fachmagazin Datenschutz PRAXIS gibt

Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS

zu testen!


Sensible Sendungen sind nicht sicher!

Natürlich gibt es auch einen zivilrechtlichen Schutz der Postbeförderung aufgrund der vertraglichen Pflichten des Beförderers. Dass dieser sorgsam mit den Sendungen umgehen und auch den Datenschutz wahren muss, sind Nebenpflichten aus dem Beförderungsvertrag. Zudem gibt es für den Datenschutz die Postdienste-Datenschutzverordnung (PDSV).

Aber wie in der gesamten Wirtschaft gibt es auch im Postsektor Schwächen bei der Umsetzung und Kontrolle des Datenschutzes. Das Versenden von sensiblen Sendungen auf dem Postweg muss daher als unsicher bezeichnet werden.

Der Datenschutz gilt auch für den Transport

Im Herrschaftsbereich der verantwortlichen Stelle unterliegen die Inhalte von Postsendungen dem Datenschutz nach den bekannten Datenschutzvorschriften. Muss die verantwortliche Stelle aber den Schutz der Daten auch sicherstellen, wenn diese ihren Herrschaftsbereich verlassen?

Ja, denn sie muss auch für den sicheren Transport zum Empfänger sorgen (Weitergabekontrolle gemäß der Anlage zu § 9 Satz 1 BDSG bei der Übermittlung und Weitergabe im Rahmen einer Auftragsdatenverarbeitung).

Der Versand ist eine Datennutzung

Die Versendung von Daten an den Betroffenen selbst ist zwar keine Übermittlung, da er nicht als Dritter gilt. Aber zum einen gebietet es die Sorgfaltspflicht, auch die Daten bei der Übersendung an den Betroffenen zu schützen. Zum anderen ist die Übersendung an den Betroffenen als Datennutzung anzusehen.

Und damit gilt auch hier § 9 BDSG mit seiner Maßgabe, die erforderlichen Schutzmaßnahmen in einem angemessenen Verhältnis zum angestrebten Schutzzweck zu ergreifen.

Vorsicht bei Geburtstagsgrüßen

Da der Postdienstleister auf die Inhalte der Postsendungen grundsätzlich nicht zugreifen darf, liegt bezüglich der Inhalte keine Übermittlung an den Postdienstleister vor. Der Absender muss allerdings dafür Sorge tragen, einen Postdienstleister einzusetzen, bei dem eine bestimmungsgemäße Leistungserbringung und gesetzeskonformer Umgang mit den Postsendungen zu erwarten sind. Ansonsten kann doch eine Übermittlung vorliegen.

Ein besonderer Fall ist die Versendung von Postkarten oder Sendungen, auf denen personenbezogene Daten von außen lesbar sind. Auf die Unzulässigkeit von Geburtstagsgrüßen auf Briefumschlägen und Postkarten ist in der Datenschutz PRAXIS Juni 2009, S. 10, hingewiesen worden.

Absender- und Empfängeradresse sind personenbezogene Daten!

Aber das sind nicht die einzigen personenbezogenen Daten, die von außen lesbar sind. Die Empfänger- und ebenso die Absenderadresse enthalten sehr häufig personenbezogene Daten (Namen, Titel, Funktion, Privatanschrift). Auch hier muss beim Postversand daran gedacht werden, dass es sich um schutzwürdige Daten handelt.

Beispiele: Post vom Arzt oder von der Gewerkschaft

Bei Absendern wie Arztpraxen, Krankenhäusern oder Selbsthilfegruppen sind es sogar sensible Daten. Schutzwürdig ist z.B. schon allein die Tatsache, dass jemand Patient bei einem Arzt ist. Hier sollten neutrale Briefumschläge mit einem „unverfänglichen“ Absender zum Einsatz kommen.

Ähnlich verhält es sich beim Versand einer Gewerkschaftszeitung an die Mitglieder. Der Versand lässt auf die gemäß § 3 Abs. 9 BDSG als sensibles Datum geltende Gewerkschaftszugehörigkeit des Empfängers schließen.

Achtung: Postdienstleister dürfen Postsendungen öffnen!

Postdienstleister dürfen nach § 5 Abs. 5 PDSV unzustellbare Postsendungen öffnen, wenn auf andere Weise der Absender nicht ermittelt werden kann. Daher muss der Versender von personenbezogenen Daten dafür Sorge tragen, dass eine Absenderadresse auf dem Umschlag vermerkt ist, an die die Rückführung erfolgen kann.

Unterlässt er eine solche Absenderangabe, und die in der Sendung enthaltenen Daten werden von Mitarbeitern des Postdienstleisters zur Kenntnis genommen, trifft den Absender die Verantwortung für diese unbefugte Übermittlung.

Postversendung ist Auftragsdaten­verarbeitung

Die Beförderung von Sendungen durch Post-, Paket- oder Kurierunternehmen ist bezogen auf ihre Inhalte keine Auftragsdatenverarbeitung, wohl aber bezogen auf die von außen angebrachten Adressen. Denn der Postdienstleister nutzt diese im Auftrag des Absenders.

Somit muss ein schriftlicher Auftrag des Versenders an den Postdienstleister gemäß § 11 BDSG ergehen (beachte die seit dem 1.9.09 geltenden Neuregelungen!).

Statt Vertrag: Kopieren Sie die AGB des Dienstleisters

Es ist sicherlich nicht praktikabel, dass jedes Post versendende Unternehmen einem Beförderungsriesen wie der Deutschen Post AG einen Auftrag gemäß § 11 BDSG erteilt.

Bei einem Postdienstleister, mit dem der Beförderungsvertrag durch Einwerfen der Sendung in dessen Postkasten oder durch Abgabe in seiner Filiale zustande kommt, richtet sich die Beförderung in der Regel nach den AGB des Postdienstleisters.

Sofern sie auch die Angaben enthalten, die für die Auftragsdatenverarbeitung seit 1.9.09 zwingend vorgeschrieben sind, dürfte es ausreichen, wenn Sie eine Kopie der AGB zu Ihren Unterlagen nehmen. Sie sind aber verpflichtet, sie kritisch auf Fragen des Datenschutzes und der Datensicherheit zu überprüfen.

Werden die AGB den Anforderungen nicht gerecht, müssen Sie eine Zusatzvereinbarung schließen.

Im Zweifel gegen den Dienstleister

Beachten Sie zudem, welche Subunternehmer zum Einsatz kommen. Die Verantwortung des Erstauftraggebers der Auftragsdatenverarbeitung erstreckt sich auch auf deren Handeln.

Versendet die verantwortliche Stelle Post ins Ausland oder setzt sie dafür ein ausländisches Unternehmen ein, so müssen die Besonderheiten für Auftragsdatenverarbeitung mit Auslandsbezug beachtet werden.

Schließlich müssen Sie bei Stellen, die mit Daten umgehen, die dem Sozialdatenschutz, den Landesdatenschutzgesetzen oder den Gesundheitsdatenschutzgesetzen einiger Bundesländer unterliegen, deren Sonderregelungen für die Auftragsdatenverarbeitung beachten. Sie können die Beauftragung eines privaten Postdienstleisters sogar ganz ausschließen.

Der Postausgang ist also eine sehr dankbare Baustelle für den DSB!

Postausgang – prüfen Sie folgende Punkte:
  1. Welche Arten von Postsendungen versendet die verantwortliche Stelle?
  2. Welchen Schutzbedarf haben die verschiedenen Kategorien von Sendungen bezüglich ihres Inhalts und bezüglich der Adressdaten?
  3. Welche erforderlichen technischen und organisatorischen Maßnahmen gemäß § 9 BDSG sind der Geschäftsleitung vorzuschlagen? Bei besonders sensiblen Sendungen ist die Eigenbeförderung und/oder ein zusätzlicher Schutz (z.B. Versendung nur von verschlüsselten Datenträgern) unumgänglich.
  4. Kann der Geschäftsführung ein den Sicherheitsanforderungen und Risiken angemessener alternativer Versendungsweg vorgeschlagen werden (z.B. verschlüsselte E-Mail)?
  5. Welche der auf den Sendungen befindlichen Daten sind nicht erforderlich und daher wegzulassen?
  6. Stimmt die Absenderangabe (Rückläufer), ist eventuell eine neutrale Absenderangabe und Aufmachung der Sendung erforderlich, damit aufgrund der erkennbaren Informationen nicht auf den Inhalt geschlossen werden kann bzw. sensible Daten unbefugt übermittelt werden?
  7. Welcher Postdienstleister kommt zum Einsatz? Wurde gemäß den Regelungen zur Auftragsdatenverarbeitung eine sorgfältige Auswahl getroffen? Die regelmäßige Prüfung gemäß BDSG-Novelle II nicht vergessen!
  8. Sind die AGB des Postdienstleisters ausreichend (Anforderungen § 11 BDSG), oder muss ein schriftlicher Auftrag – eventuell nur mit den weiteren sich aus § 11 BDSG ergebenden Angaben – ergehen?
  9. Werden vom Postdienstleister Subunternehmer eingesetzt? Wie steht es um deren technische und organisatorische Maßnahmen? Die regelmäßige Prüfung ggf. auch auf diese erstrecken!
  10. Findet eine Versendung ins Ausland oder durch eine Stelle im Ausland statt?
  11. Ist in besonderen Fällen des Postversands eine Mitteilung an die Betroffenen nach § 4 Abs. 3 oder § 33 BDSG notwendig?
  12. Ist eine Einwilligung in die Postbeförderung sinnvoll bzw. erforderlich, die im Falle von sensiblen Daten besonders hervorzuheben wäre?
  13. Machen Sonderregelungen aus dem Sozialgesetzbuch X oder aus Gesundheits- oder Landesdatenschutzgesetzen besondere Maßnahmen erforderlich oder gar eine Versendung von Daten auf dem Postweg unmöglich?
  14. Sind die mit dem Postversand betrauten Mitarbeiter der verantwortlichen Stelle entsprechend zu schulen?


Manuel Cebulla
Dipl.-Wi.jur. Manuel Cebulla, LL.M., ist geprüfter DSB und selbstständiger Datenschutzberater.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln