Immer wieder ergehen Urteile zum Datenschutzrecht, die etwas aus dem Rahmen fallen. So auch beim Postsack und der DSGVO.
In unserem Nachbarland Österreich wurde vor einigen Wochen vom Bundesverwaltungsgericht Wien (Urteil als PDF) eine Entscheidung getroffen, die wegen ihrer grundlegenden Bedeutung für das europäische Datenschutzrecht eine besondere Erwähnung verdient.
Dem Urteil lag folgender, so vom Gericht selbst kurz zusammengefasster Sachverhalt zugrunde:
„Verfahrensgegenständlich ist, ob durch das unbeaufsichtigte Abstellen eines Postsacks (Depotsacks), der adressierten Briefsendungen enthält, auf einer öffentlichen Straße durch einen Postdienstleister der Anwendungsbereich der DSGVO eröffnet und die Datensicherheit verletzt wird und eine „Data breach notification“ im Sinne des Art 33 DSGVO an die belangte Behörde zu erstatten ist.“
Derartige Fälle sind gewiss nichts Neues.
Denn es ist mittlerweile bekannt, dass sensible „Post“ und ebenso Dokumente mit personenbezogenen Daten an einem gesicherten Ort aufbewahrt werden müssen.
Zusätzlich müssen diese während des Transports angemessen geschützt sein.
In der Regel gibt es durch die grauen Verteilerkästen hierzulande und auf unterschiedlichen Transportwegen diverse Schutzvorkehrungen.
Aber offenbar verhielt es sich in der hier besprochenen Situation in Österreich etwas anders.
Das Urteil beinhaltet primär zwei interessante Ausführungen zur DSGVO.
1. Findet die DSGVO überhaupt Anwendung?
Zunächst stellten die Richter aus Wien fest, dass ein Postsack (Depotsack) als Dateisystem im Sinne von Art. 4 Ziffer 2 DSGVO gilt. Damit fällt er unter den Begriff der „Verarbeitung“.
Infolgedessen war der Anwendungsbereich der europäischen Verordnung eröffnet, sodass die datenschutzrechtlichen Vorgaben aus der DSGVO auch bei diesen Handlungen einzuhalten sind.
Mit der Folge, dass dem namhaften Post- und Transportunternehmen aus Österreich sogar hohe Bußgelder drohen.
Im Urteil heißt es hierzu:
„Ein Dateisystem ist gemäß Art 4 Z 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
Es reicht aus, wenn die Daten nach bestimmten Kriterien so strukturiert sind, die diese in der Praxis zur späteren Verwendung leicht wiederauffindbar machen.
So ist es gewiss fraglich, ob diese Kriterien der Rechtsprechung bei einem solchen Postsack gegeben sind.
Insbesondere da die Briefe der Empfänger dieser einen Region nur „lose“ zusammen in diesem Beutel gepackt und darin für einen überschaubaren Zeitraum (von einem Tag?) aufbewahrt sind.
Aber schlussendlich bejahten die Richter diese Kriterien wie folgt:
„Für die Beurteilung, ob die in der Datenanwendung „Briefversand“ verarbeiteten Daten derart strukturiert sind, dass sie leichter wiedergefunden werden können, ist daher die Sortierung maßgeblich, welche die Beschwerdeführerin im Rahmen der Bereitstellung der Dienstleistung „Briefzustellung“ vornimmt.
Kommt es zu einer „Last-mile-Zustellung“ sind die Briefsendungen strukturiert.
Besagte Strukturierung erfolgt, indem die Briefsendungen je nach Postleitzahl und Straßenname der Empfängeradresse über allenfalls mehrere Logistikzentren verteilt sind bis sie schließlich am für die Zieladresse zuständigen Logistikzentrum angelangt sind.
Dort werden die für den jeweiligen Zustellbereich adressierten Briefsendungen in Postsäcke eingeordnet und letztlich von Briefzusteller:innen den jeweiligen Empfänger:innen übergeben.
In einem Depotsack befinden sich damit nur mehr Briefsendungen eines bestimmten Zustellbereichs, wodurch es den Briefzusteller:innen möglich ist, die Briefe leicht aufzufinden, um sie ihren Empfänger:innen zuzuordnen und zu übergeben.
Sortierkriterien sind die Postleitzahl und der Straßenname der Empfängeradresse. Im Hinblick auf die Empfänger:innen der Briefsendung sind diese personenbezogen.
Damit gleicht der Sachverhalt aber gerade dem des zuvor zitierten EuGH Urteil zu Grunde liegenden Sachverhalts (EuGH 10.07.2018, C‑25/17), in dem der EuGH im Falle von handschriftlichen Notizen über Bewohner, die auf Grund der Erhebungsmethode bestimmten geographischen Bereichen zugeordnet worden sind, von einer ausreichenden Strukturierung und damit von einer (damals) Datei ausgegangen ist.“
Folglich unterliegt auch das Sammeln von Briefen für eine bestimmte Region kurz vor direkter Zustellung in die Briefkästen in einem solchen blickdichten und zusammengeschnürten Beutel den Anforderungen der DSGVO.
2. Welche TOMs sind zu fordern?
Die zweite — nicht weniger folgenschwere — Frage war, ob durch das unbewachte Abstellen dieses Postsacks auf der öffentlichen Straße, woraufhin Mitarbeiter:innen einer sich dort in der Nähe befindlichen Kanzlei diesen Sack (unbewacht) am Ort stehen sahen und deshalb (aus Sicherheitsgründen) in die Kanzleiräume aufnahmen, eine Verletzung der technisch-organisatorischem Maßnahmen (TOMs) nach Art. 32 DSGVO bestand, aus der im Übrigen auch der theoretisch bußgeldbewährte Datenschutzvorfall resultierte.
Denn wenn die personenbezogenen Daten (Briefe) nicht entsprechend sicher verarbeitet und auf Grund bestimmter Handlungen z.B. zerstört oder aber Unbefugten offenbart sind, liegt gleichermaßen auch noch eine „Datenpanne“ nach Artikel 33 DSGVO vor.
Diese gilt es dann rechtzeitig der zuständigen Aufsichtsbehörde im Datenschutz zu melden.
Diesbezüglich stellte das Gericht fest, dass bereits durch das unbewachte Abstellen dieses Postsacks auf öffentlicher Straße die geforderten, angemessenen technisch-organisatorischen Maßnahmen im Sinne der DSGVO verletzt waren.
Da hilft es auch nicht, dass der Sack blickdicht ist und die „Eigentümer:innen“ erkennen lässt.
Das Gericht führte hierzu aus:
„Beim Abstellen eines Sackes auf einem öffentlichen Gehsteig besteht das Risiko, dass unbefugte Dritte, den vermeintlich herrenlosen Sack – sei es in guter oder in böser Absicht – an sich nehmen, um ihn zu beschädigen oder zu vernichten (Vandalismus), zu öffnen, um sich zu bereichern oder weil der Eigentumshinweis übersehen wird – um den rechtmäßigen Eigentümer zu ermitteln. Dabei würden sie die im Sack enthaltenen Briefe vernichten oder in die Absender und Empfänger der (adressierten) Briefe sowie allenfalls in ihren Inhalt Einsicht nehmen können, wodurch mehrere hundert Betroffenen in ihrem Recht auf Geheimhaltung oder Verfügbarkeit sie betreffender personenbezogener Daten, nämlich Name, Adresse und Inhalt der Korrespondenz, verletzt würden. Das Risiko ist im städtischen Gebiet erhöht, weil es dort zu einem erhöhten Aufkommen vom Passanten kommt. Eine von jedermann zu öffnende Kordel kann davor nicht schützen.“
Und so beurteilt das Bundesverwaltungsgericht aus Wien rechtsdogmatisch korrekt und konsequent die Sachlage unter Anwendung der DSGVO. Sie bejahte damit die Datenschutzverletzung des Postdienstleisters.
Gleichzeitig wurden die Kriterien zur Annahme einer Verarbeitung gem. DSGVO mit diesem Urteil gefestigt wie das Offensichtliche bestätigt:
Das bloße und unbewachte Abstellen eines kaum gesicherten Postsacks mit Briefen vieler Empfänger:innen entspricht nicht den geforderten technisch-organisatorischen Maßnahmen der DSGVO.
Auch dies zeigt, dass selbst bei altgewohnten Verfahren und Abläufen nicht immer an den Datenschutz gedacht ist.
Also lassen Sie sich gut beraten.
