Der Postsack als Dateisystem iSd DSGVO



Wissen Sie was ein „Postsack“ ist? Darin werden Briefe für die Zusteller*Innen deponiert.

 

 

Die DSGVO ist darauf anwendbar, und wenn er „verloren“ geht, dann ist das als Data Breach gem. Art 33 DSGVO der DSB zu melden. So das BVwG und die DSB in einer aktuellen Entscheidung vom 22.12.2020 (W258 2225293-1)


Der „Postsack“ oder Depotsack

 

Ein Postsack (Depotsack) wird von der Post verwendet. Die Post hat absperrbare Depots eingerichtet, und dort können Zusteller*Innen die Postsäcke, die dort deponiert werden entnehmen, und die Post, die sich im Depotsack befindet, in ihrem Adressbereich zustellen.

 

Der in der Entscheidung vorkommende Postsack (Depotsack) war „blickdicht, schwarz, konnte mit einer Doppelkordel verschlossen werden und enthielt im unteren Bereich den gelben Schriftzug „ XXXX “, sohin einen Hinweis auf den Eigentümer bzw. Verfügungsberechtigten.

 

 

 

Anwendbarkeit der DSGVO - strukturierte Verarbeitung von personenbezogenen Daten in einem Dateisystem

 

Sind „analoge Daten“, nämlich Briefsendungen, aus denen Empfänger und Absender hervorgehen, personenbezogene Daten, die in einem „Dateisystem“ (engl: filing system) gespeichert bzw. abgelegt sind, wie dies ErwG 15 S 2 für die Anwendbarkeit der DSGVO vorsieht?

 

Briefsendungen werden für die „last-mile-Zustellung“ strukturiert, indem sie je nach Postleitzahl und Straßenname der Empfängeradresse über allenfalls mehrere Logistikzentren verteilt werden, bis sie schließlich am für die Zieladresse zuständigen Logistikzentrum eingelangt sind. Dort werden die für den jeweiligen Zustellbereich adressierten Briefsendungen in Postsäcke eingeordnet. Dieser Depotsack wird von den Zusteller*Innen übernommen und die Briefsendungen werden an die Empfänger zugestellt.

 

In einem Depotsack befinden sich damit nur mehr Briefsendungen eines bestimmten Zustellbereichs, wodurch es dem Briefzusteller ermöglicht wird, die Briefe leicht aufzufinden, um sie ihren Empfängern zuzuordnen und übergeben zu können. Sortierkriterium sind die Postleitzahl und der Straßenname der Empfängeradresse, die in Hinblick auf den Empfänger der Briefsendung personenbezogen sind.“

 

Nach Ansicht des BVwG kommt es nicht auf die „Ordnungsstruktur im Postsack selbst“ an, sondern die Ordnungsstruktur ist nach dem gesamten Zustellvorgang, dh der Übergabe der Sendungen an die Post bis zur Aushändigung an den Empfänger zu beurteilen. (siehe Pkt. 3.1.1. der Enscheidung).

 

Das BVwG verweist auf die Entscheidung des EuGH (10.07.2018, C25/17) zu handschriftlichen Notizen der Zeugen Jehovas aus dem Jahr 2018, und subsumiert die Briefsendungen im Postsack unter den Anwendungsbereich der DSGVO.


 

Verletzung von Datensicherheitsmaßnahmen

 

Wenn eine Zustellerin den Postsack im Zustellgebiet für einige Minuten unbewacht auf dem Gehsteig abstellt, dann stellt dies einen Verstoß gegen die notwendige technischen und organisatorischen Maßnahmen zur Verhinderung des Verlustes der Vertraulichkeit dar.

 

Das BVwG beschreibt das Risiko anschaulich und sehr plakativ und geht dabei von einem „worst-case-Szenario“ aus.

 

Beim Abstellen eines Sackes auf einem öffentlichen Gehsteig besteht das Risiko, dass unbefugte Dritte, den vermeintlich herrenlosen Sack – sei es in guter oder in böser Absicht – an sich nehmen, um ihn zu beschädigen oder zu vernichten (Vandalismus), zu öffnen, um sich zu bereichern oder weil der Eigentumshinweis übersehen wird – um den rechtmäßigen Eigentümer zu ermitteln. Dabei würden sie die im Sack enthaltenen Briefe vernichten oder in die Absender und Empfänger der (adressierten) Briefe sowie allenfalls in ihren Inhalt Einsicht nehmen können, wodurch mehrere hundert Betroffenen in ihrem Recht auf Geheimhaltung oder Verfügbarkeit sie betreffender personenbezogener Daten, nämlich Name, Adresse und Inhalt der Korrespondenz, verletzt würden. Das Risiko ist im städtischen Gebiet erhöht, weil es dort zu einem erhöhten Aufkommen vom Passanten kommt. Eine von jedermann zu öffnende Kordel kann davor nicht schützen. Strafrechtliche Sanktionen, etwa bei Verletzung des Briefgeheimnisses, wirken nur gegen böswillige Zugriffe und können diese Risiken lediglich mindern, weil auch gegen strafrechtliche Normen verstoßen wird. Die von der Beschwerdeführerin angezogene berufliche Verschwiegenheitspflicht würde sich nur auf Informationen beziehen, die im Rahmen der beruflichen Tätigkeit erhalten worden sind. Zufällig auf der Straße gefundene Postsäcke sind davon nicht umfasst. Ein Hinweis auf die Eigentumsverhältnisse kann nur vor gutgläubigen Zugriffen schützen. Er ist in der derzeitigen Form aber leicht zu übersehen und gewährt daher auch keinen ausreichenden Schutz."

 

 

07.06.2021, Autor:
Michael Schweiger, zert. DSBA


Download
Postsack als Dateisystem iSd DSGVO.pdf
Adobe Acrobat Dokument 1.0 MB

Kommentar schreiben

Kommentare: 0