Der Postsack und die DSGVO

Der Postsack und die DSGVO

Wenn ein Brief auf Reisen geht, durchläuft er mehrere Stationen. Zuerst wird er je nach Postleitzahl und Straßenname der Empfängeradresse über allenfalls mehrere Logistikzentren verteilt. Danach werden die für den jeweiligen Zustellbereich adressierten Briefsendungen in dem für die Zieladresse zuständigen Logistikzentrum in sogenannte Postsäcke gepackt und schließlich vom Zusteller an den Empfänger übergeben.

Was ein solcher Postsack (Depotsack) mit Datenschutzrecht zu tun hat, musste das Bundesverwaltungsgericht klären (BVwG – Entscheidung vom 22.12.2020, Az.: W258 2225293-1/6E). Doch was war passiert?

Eine Mitarbeiterin eines Logistik- und Postdienstleisters hat einen solchen Depotsack mit etwa 200 adressierten Postsendungen unbeaufsichtigt auf der Straße abgestellt. Dieser Sack hätte in weiterer Folge von einer Zustellerin entgegengenommen werden sollen. Dazu kam es jedoch vorerst nicht, da der Depotsack von einer Mitarbeiterin einer Steuerberatungskanzlei in die Kanzlei mitgenommen wurde und zwar im Glauben, dieser gehöre einem Klienten. Wenig später konnte die Zustellerin den Depotsack an sich nehmen.

Diesen Sachverhalt teilte die Steuerberatungskanzlei der Datenschutzbehörde mit, die nach einem amtswegigen Prüfverfahren eine Datenschutzverletzung feststellte und eine Strafe iHv EUR 600,- verhängte. Dagegen erhob der Logistik- und Postdienstleister eine Beschwerde an das BVwG.

Das BVwG musste klären, ob das unbeaufsichtigte Abstellen eines Depotsacks auf einer öffentlichen Straße überhaupt dem Anwendungsbereich der DSGVO unterliegt und möglicherweise ein Datenschutzverstoß an die Datenschutzbehörde zu melden ist.

Das BVwG stellte fest, dass ein Postsack (Depotsack) als Dateisystem im Sinne des Art. 4 Z 6 DSGVO gilt. Dazu reicht es nämlich bereits aus, wenn die Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Bei einer wie im vorliegenden Fall sogenannten „Last-mile-Zustellung“ werden die für den jeweiligen Zustellbereich adressierten Briefsendungen in Postsäcke eingeordnet und letztlich vom Briefzusteller dem jeweiligen Empfänger übergeben. In dem Depotsack befinden sich somit nur mehr Briefsendungen eines bestimmten Zustellbereichs, wodurch es dem Briefzusteller ermöglicht wird, die vorsortierten Briefe leicht aufzufinden, um sie ihren Empfängern zuzuordnen und übergeben zu können.

Aufgrund der Anwendbarkeit der DSGVO musste das BVwG anschließend beurteilen, ob durch das unbewachte Abstellen des Postsacks auf öffentlicher Straße die notwendigen Datensicherheitsmaßnahmen durch den Dienstleister verletzt wurden. Hierfür haben Verantwortliche gemäß Art 32 Abs 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Beim Abstellen eines Sackes auf einem öffentlichen Gehsteig besteht das Risiko, dass unbefugte Dritte, den vermeintlich herrenlosen Sack an sich nehmen, um ihn zu beschädigen, zu vernichten oder zu öffnen, um sich zu bereichern. Dadurch könnten mehrere Betroffene in ihrem Recht auf Geheimhaltung oder Verfügbarkeit sie betreffender personenbezogener Daten, nämlich Name, Adresse und Inhalt der Korrespondenz, verletzt werden.

Eine ausreichende Sicherheitsmaßnahme bestand beispielsweise in der Verwahrung der Postsäcke in vom Dienstleister bereitgestellten absperrbaren Depots, wovon jedoch im konkreten Fall kein Gebrauch gemacht wurde. Das Verhalten der Mitarbeiterin ist jedenfalls dem Dienstleister zuzurechnen und wäre dieser verpflichtet gewesen, den Vorfall binnen 72 Stunden, nachdem ihm die Verletzung bekannt geworden ist, an die Datenschutzbehörde zu melden. Das hat der Dienstleister jedoch unterlassen, weshalb zu Recht festgestellt wurde, dass er damit gegen seine Pflicht nach Art. 33 DSGVO verstoßen hat.

Obwohl der Sachverhalt zum Schmunzeln einlädt, darf dieser nicht als Banalität abgetan werden, zumal ein solcher Verstoß potentielle Auswirkungen auf die Rechte und Freiheiten jedes einzelnen Empfängers haben kann.


DISCLAIMER

Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanwälte GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.

Dr. Philipp Spring