Der Briefkasten beschäftigt seit Jahrzehnten die Juristen, wenn es beispielsweise um die Frage der (fristgerechten) Zustellung von Briefpost geht. An das Datenschutzrecht wird dabei eher seltener gedacht. Doch auch Datenschutzverletzungen können sich ergeben, wenn persönliche Briefe in den falschen Briefkasten geworfen werden oder aber der Briefkasten aufgebrochen wird. Und auch viele Postzusteller lassen DIN A4 Umschläge aus dem Briefkasten greifbar herausblicken. Nicht zuletzt könnte sogar angenommen werden, dass bereits gegen das hiesige Datenschutzrecht verstoßen wird, wenn eine fremde Person (durch den Briefkastenschlitz) den Absender auf Umschlägen und Briefen lesen kann.
Mit derartigen Problemen aus dem Alltag hatte sich im vergangenen Jahr auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg, Dr. Stefan Brink zu befassen. Im vor kurzem veröffentlichten Tätigkeitsbericht zum Datenschutz 2021 stellte der Datenschützer einen interessanten Fall aus seiner behördlichen Arbeit vor. Konkret ging es hierbei um die Fragestellung, inwiefern ein Briefkasten eines Amtsgerichts unzureichende technisch-organisatorische Maßnahmen nach Art. 32 DSGVO begründen würde, die zu einem Verstoß gegen die DSGVO führen könnten.
So hatte in dem geschilderten Vorgang der Landesdatenschutzbeauftragte auf Grundlage einer Beschwerde zu prüfen, ob jener Briefkasten des Amtsgerichts einen entsprechenden Schutz vor unberechtigten Zugriffen biete, denn „eingeworfene Sendungen könnten problemlos entnommen werden“.
Die Datenschutz-Aufsichtsbehörde führt hierzu aus:
„Auf unsere Nachfrage hat das Amtsgericht eingeräumt, dass es an manchen Tagen tatsächlich möglich sei, auf in den Briefkasten des Amtsgerichts eingeworfene Briefe zuzugreifen. Dies könne dann passieren, wenn der Briefkasten um Mitternacht die Post über eine Klappe in einen zweiten Behälter leite (Nachtbriefkasten). Insbesondere größere Briefsendungen würden sich am Behälter verfangen und könnten dann aus dem Briefkasten entnommen werden. Das Problem trete jedoch nur in den frühen Morgenstunden in einem kurzen Zeitfenster von höchstens zwei Stunden auf. Auch wenn umfangreiche Sendungen „fast schon gewaltsam in den Briefkasten gestopft“ würden, könne eine Entnahme erfolgen.“ (LfDI Baden-Württemberg, Tätigkeitsbericht Datenschutz 2021, S. 79).
Verantwortlichkeit für den Briefkasten
Das Amtsgericht hatte einerseits sogar gewisse Probleme in der internen Organisation bzw. dem technischen Ablauf zugegeben, jedoch fälschlicherweise behauptet, dass der Absender dafür Sorge zu tragen habe, dass seine Post vor Zugriffen Dritter geschützt werde.
Der LfDI stellt daraufhin aber fest, dass die Post mit Einwurf in den Briefkasten in den Einflussbereich des Gerichts gelangt und ab diesem Zeitpunkt selbiges zur datenschutzrechtlichen verantwortlichen Stelle wird. Und als Verantwortlicher im Sinne von Art. 4 Ziffer 7 DSGVO hat das Amtsgericht durch technisch-organisatorische Maßnahmen nach Art. 32 DSGVO die Briefe vor unbefugten Zugriffen und unbeabsichtigten Verlust zu schützen. Und: „Dies kann etwa durch mehrmalige Leerungen, einen ausreichend dimensionierten Briefkasten und/oder durch Maßnahmen erreicht werden, die verhindern, dass sich größere Umschläge im Behältnis verfangen.“
Das Amtsgericht habe daher gegen den in Art. 5 Abs. 1 lit. f DSGVO formulierten Grundsatz der Integrität und Vertraulichkeit verstoßen, so die Aufsichtsbehörde.
Fazit
Die banalen wie ebenso einleuchtenden Empfehlungen sollten selbstverständlich von Behörden wie auch Unternehmen umgesetzt werden, falls es zu vergleichbaren Problemen kommt. Das mehrmalige Leeren des Briefkastens pro Tag dürfte auch keine große Hürde darstellen.
Andernfalls könnten nicht nur Datenschutzverletzungen bei Verlust oder Beschädigung von Post gem. Art. 33 DSGVO eintreten, sondern bereits Sanktionen (und Bußgelder) wegen unzureichender technisch-organisatorischer Maßnahmen nach Art. 32 DSGVO bzw. Verstößen gegen die Datenschutzgrundsätze aus Art. 5 Abs. 1 lit. f DSGVO drohen. Insbesondere bei Stellen aus dem Gesundheitswesen oder Behörden, die tagtäglich sensible Post empfangen, sind diese Anforderungen sicherzustellen.
Im Übrigen dürfte dies nicht nur dem Briefkasten gelten, sondern grundsätzlich auch der hierfür vorgesehenen Annahme von Post und Paketen (z. B. beim Empfang), wenn diese damit erkennbar in die Sphäre des Empfängers gelangen.
Antje
26. August 2022 @ 13:04
Hallo ich habe eine Frage und hoffe, sie können mir weiterhelfen. Unser Vermieter hat die Angewohnheit, sämtliche Konversation in Schriftform jedoch ohne Umschlag im Briefkasten zu hinterlassen. So ist es passiert, dass während unserer 2-wöchigen Abwesenheit in den Ferien, die Betriebskostenabrechnung zugestellt wurde (ohne Umschlag). Ein Nachbar hat unseren Briefkasten regelmäßig geleert und natürlich die Abrechnung mit allen Details gesehen. Ist eine solche Zustellung überhaupt zulässig?
Vielen Dank!
Anonymus
5. Mai 2022 @ 20:20
Sachverhalt:
Namensgleichheit und Adressidentität liegt vor (Junior und Senior); Behörde macht keinen Unterschied im Adressfeld und vertritt die Ansicht, dass aus dem Inhalt der „richtige“ Adressat herausgeht (durch die Steuernummer oder Text). Dazu muss der Verwaltungsakt allerdings geöffnet werden. Legal berechtigt ist hierzu sowohl der Junior als auch der Senior.
Liegt hier (k)ein Datenschutzverstoß vor? Zudem Verstoß gegen Steuergeheimnis? Persönlichkeitsrechte?
W. I
27. April 2022 @ 17:35
Guten Tag. Ich habe gerade ein Problem mit Deutsche Post, die sich weigert unsere Briefe in Einfamilienhaus Briefkasten zu werfen weil der nicht beschriftet ist. Ich habe mehrere mal den Service angerufen und das Problem geschildern mit dem Hinweis, dass ich auf Grund Datenschutz nicht machen möchte. Ich komme ursprünglich aus Polen und dort ist undankbar, dass die Namen auf dem Briefkasten stehen und wenn ja dann nur freiwillig. Der Post bezieht dich auf deren AGB, die meine Meinung nach genau gegen die Datenschutz gezetz verstößt. Seit ein Monat kriege ich, trotz Beschwerde keine Briefe mehr und kriege auch keine Schriftliche bescheid obwohl ich darum gebetet habe. Wie sieht in De die Lage dazu. Ich habe in internet nur festellen konnte, dass in De kein Pflicht besteht den Briefkasten zu beschriften. Können sie mir helfen den Problem zu lösen.
Thomas Pudelko
24. Februar 2022 @ 18:17
Wieso ist eine mündliche Information ein Datum gem. Datenschutzrecht? Fällt dies nicht unter StGB § 201, 204,
Conrad Conrad
25. Februar 2022 @ 14:28
Hallo,
haben Sie vielen Dank für Ihre Nachfrage.
Die Aussage bezieht sich offenbar auf eine Datenschutzverletzung? Wenn ein personenbezogenes Datum zuvor verarbeitet wurde oder wird (z.B. ein Datensatz zu einer Person in einem System) und diese Information durch eine Handlung weitergegeben wird, das kann auch ein Gespräch sein, dann steht eine Datenschutzverletzung im Sinne von Art. 33 DSGVO im Raum. Die Verletzungshandlung muss nicht zwingend eine Verarbeitung sein, sondern kann auch ein Gespräch sein. Das ist aber natürlich alles sehr abstrakt.
Parallel hierzu und „berühmter“ sind hier tatsächlich die entsprechenden Normen aus dem Strafrecht denkbar.
P. L.
22. Februar 2022 @ 10:03
@ Herr Bauer: Der Briefkasten ist doch nur der Weg hin zu einem Dateisystem. Jedes der eingeworfen Poststücke wird nach Entnahme automatisiert verarbeitet werden…
Anonym
22. Februar 2022 @ 11:08
@P.L. Das ist in der Praxis vielleicht meistens eine zulässige Annahme. Aber halt nur eine Annahme. Wenn die Briefe auf einem unsortierten Haufen auf einem Schreibtisch landen gilt die DSGVO auch nicht.
Hagen Bauer
22. Februar 2022 @ 8:18
hm, inwiefern handelt es sich bei einem Briefkasten um eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten oder ein nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem. Ich bin überrascht das hier die DSGVO überhaupt gilt?
Ulrich
22. Februar 2022 @ 10:00
Heutzutage gilt die DSGVO überall – außer bei Google und Facebook.
Conrad Conrad
22. Februar 2022 @ 10:56
Hallo,
haben Sie vielen Dank für die berechtigte Frage, die tatsächlich in eine rechtsdogmatische Diskussion führen würde.
Zum einen ist der Begriff der „Verarbeitung“ relativ weit bzw. wird weit ausgelegt (Siehe hierzu: https://www.datenschutz-notizen.de/wp-content/uploads/2021/09/Conrad_S_Conrad_Die_Verarbeitung_im_Sinne_der_DSGVO_und_die_Realitaet_DuD_9_2021.pdf), so dass ggfs. auch die Aufbewahrung von Briefen in einem Briefkasten hierunter fällt (PS: Dazu gibt es eine interessante Entscheidung aus Österreich mit dem Postsack – https://www.datenschutz-notizen.de/der-postsack-und-die-dsgvo-0430258/) und zum anderen kommt es beispielsweise bei der Annahme einer Datenschutzverletzung gem. Art. 33 DSGVO bei der Verletzungshandlung noch nicht einmal auf eine Verarbeitung an. Wenn also bei einem Gespräch eine schützenswerte Information an eine dritte Person gelangt, wäre also eine Verletzung ohne eine tatsächliche Verarbeitung eingetreten.
Es lässt sich also viel diskutieren zu diesem Vorgang.