Immer wieder ergehen Urteile zum Datenschutzrecht, die etwas aus dem Rahmen fallen und für den geneigten Leser etwas zum Schmunzeln sein könnten.

In unserem Nachbarland Österreich wurde vor wenigen Wochen vom Bundesverwaltungsgericht Wien (Urteil vom 22.12.2020, Az.: W258 2225293-1/6E) eine Entscheidung getroffen, die wegen ihrer grundlegenden Bedeutung für das europäische Datenschutzrecht eine besondere Erwähnung verdient.

Dem Urteil lag folgender, so vom Gericht selbst kurz zusammengefasster Sachverhalt zugrunde:

„Verfahrensgegenständlich ist, ob durch das unbeaufsichtigte Abstellen eines Postsacks (Depotsacks), der adressierten Briefsendungen enthält, auf einer öffentlichen Straße durch einen Postdienstleister der Anwendungsbereich der DSGVO eröffnet und die Datensicherheit verletzt wird und eine „Data breach notification“ im Sinne des Art 33 DSGVO an die belangte Behörde zu erstatten ist.“

Derartige Fälle sind gewiss nichts Neues, denn es dürfte mittlerweile bekannt sein, dass sensible „Post“ und ebenso Dokumente mit personenbezogenen Daten an einem gesicherten Ort aufbewahrt und während des Transports angemessen geschützt werden müssen. In der Regel gibt es durch die grauen Verteilerkästen hierzulande und auf unterschiedlichen Transportwegen diverse Schutzvorkehrungen, bis letztlich jedoch der Postzustellende der jeweiligen Unternehmen mit dem Fahrrad von Haustür zur Haustür fährt. Aber offenbar verhielt es sich in der hier besprochenen Situation in Österreich etwas anders.

Das Urteil beinhaltet primär zwei interessante Ausführungen zur DSGVO, die hiermit gesondert vorgestellt werden sollen.

1. Findet die DSGVO überhaupt Anwendung?

Zunächst stellten die Richter aus Wien fest, dass ein Postsack (Depotsack) als Dateisystem im Sinne von Art. 4 Ziffer 2 DSGVO gilt und damit dem Begriff der „Verarbeitung“ aus der DSGVO unterfällt.  Damit war der Anwendungsbereich der europäischen Verordnung eröffnet, so dass die datenschutzrechtlichen Vorgaben aus der DSGVO auch bei diesen Handlungen einzuhalten sind – mit der Folge, dass dem namhaften Post- und Transportunternehmen aus Österreich sogar hohe Bußgelder drohen.

Im Urteil heißt es hierzu:

„Ein Dateisystem ist gemäß Art 4 Z 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Es reicht aus, wenn die Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen sind nicht erforderlich (EuGH 10.07.2018, C‑25/17 Rz 62; diese zur RL (EG) 46/1995 („DS-RL“) ergangene Rechtsprechung ist auf die DSGVO übertragbar, weil die Definition von „Datei“ in Art 2 lit c DS-RL der Definition „Dateisystem“ in Art 4 Z 6 DSGVO entspricht).“

So war es gewiss fraglich, ob diese Kriterien der Rechtsprechung bei einem solchen Postsack gegeben sind, insbesondere wenn die Briefe der Empfänger dieser einen Region nur „lose“ zusammen in diesem Beutel gepackt und darin für einen überschaubaren Zeitraum (von einem Tag?) aufbewahrt werden, im Übrigen allerdings durch Angestellte des Postdienstleisters einen bestimmten Weg befördert werden. Aber schlussendlich bejahten die Richter diese Kriterien wie folgt:

„Für die Beurteilung, ob die in der Datenanwendung „Briefversand“ verarbeiteten Daten derart strukturiert sind, dass sie leichter wiedergefunden werden können, ist daher die Sortierung maßgeblich, welche die Beschwerdeführerin im Rahmen der Bereitstellung der Dienstleistung „Briefzustellung“ vornimmt.

Kommt es zu einer „Last-mile-Zustellung“ werden die Briefsendungen strukturiert, indem sie je nach Postleitzahl und Straßenname der Empfängeradresse über allenfalls mehrere Logistikzentren verteilt werden, bis sie schließlich am für die Zieladresse zuständigen Logistikzentrum eingelangt sind. Dort werden die für den jeweiligen Zustellbereich adressierten Briefsendungen in Postsäcke eingeordnet und letztlich vom Briefzusteller dem jeweiligen Empfänger übergeben. In einem Depotsack befinden sich damit nur mehr Briefsendungen eines bestimmten Zustellbereichs, wodurch es dem Briefzusteller ermöglicht wird, die Briefe leicht aufzufinden, um sie ihren Empfängern zuzuordnen und übergeben zu können. Sortierkriterium sind die Postleitzahl und der Straßenname der Empfängeradresse, die in Hinblick auf den Empfänger der Briefsendung personenbezogen sind.

Damit gleicht der Sachverhalt aber gerade dem des zuvor zitierten EuGH Urteil zu Grunde liegenden Sachverhalts (EuGH 10.07.2018, C‑25/17), in dem der EuGH im Falle von handschriftlichen Notizen über Bewohner, die auf Grund der Erhebungsmethode bestimmten geographischen Bereichen zugeordnet worden sind, von einer ausreichenden Strukturierung und damit von einer (damals) Datei ausgegangen ist.“

Folglich unterliegt auch das Sammeln von Briefen für eine bestimmte Region kurz vor direkter Zustellung in die Briefkästen in einem solchen, blickdichten und zusammengeschnürten Beutel den Anforderungen der DSGVO.

2. Welche TOMs sind zu fordern?

Die zweite, nicht weniger folgenschwere Frage war, ob durch das unbewachte Abstellen dieses Postsacks auf der öffentlichen Straße, woraufhin Mitarbeiter einer sich dort in der Nähe befindlichen Kanzlei diesen Sack (unbewacht) am Ort stehen sahen und deshalb (aus Sicherheitsgründen) in die Kanzleiräume aufnahmen, eine Verletzung der technisch-organisatorischem Maßnahmen (TOMs) nach Art. 32 DSGVO bestand, aus der im Übrigen auch der theoretisch bußgeldbewährte Datenschutzvorfall resultierte. Denn wenn die personenbezogenen Daten (Briefe) nicht entsprechend sicher verarbeitet werden und auf Grund bestimmter Handlungen z.B. zerstört oder aber Unbefugten offenbart werden, liegt gleichermaßen auch noch eine „Datenpanne“ nach Art. 33 DSGVO vor, die es dann rechtzeitig der zuständigen Aufsichtsbehörde im Datenschutz zu melden gilt.

Diesbezüglich stellte das Gericht fest, dass bereits durch das unbewachte Abstellen dieses Postsacks auf öffentlicher Straße, die geforderten, angemessenen technisch-organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO verletzt waren. Da hilft es auch nicht, dass der Sack blickdicht ist und den „Eigentümer“ erkennen lässt.

Das Gericht führte hierzu aus:

„Beim Abstellen eines Sackes auf einem öffentlichen Gehsteig besteht das Risiko, dass unbefugte Dritte, den vermeintlich herrenlosen Sack – sei es in guter oder in böser Absicht – an sich nehmen, um ihn zu beschädigen oder zu vernichten (Vandalismus), zu öffnen, um sich zu bereichern oder weil der Eigentumshinweis übersehen wird – um den rechtmäßigen Eigentümer zu ermitteln. Dabei würden sie die im Sack enthaltenen Briefe vernichten oder in die Absender und Empfänger der (adressierten) Briefe sowie allenfalls in ihren Inhalt Einsicht nehmen können, wodurch mehrere hundert Betroffenen in ihrem Recht auf Geheimhaltung oder Verfügbarkeit sie betreffender personenbezogener Daten, nämlich Name, Adresse und Inhalt der Korrespondenz, verletzt würden. Das Risiko ist im städtischen Gebiet erhöht, weil es dort zu einem erhöhten Aufkommen vom Passanten kommt. Eine von jedermann zu öffnende Kordel kann davor nicht schützen.“

Und so beurteilte das Bundesverwaltungsgericht aus Wien rechtsdogmatisch korrekt und konsequent die Sachlage unter Anwendung der DSGVO und bejahte damit die Datenschutzverletzung des Postdienstleisters, die dann wiederum nach Feststellung des Gerichts zu spät, also nicht binnen der von der DSGVO vorgesehenen Frist von 72 Stunden gemeldet worden war.

Gleichzeitig wurden die Kriterien zur Annahme einer Verarbeitung gem. DSGVO mit diesem Urteil gefestigt wie das auch offensichtliche bestätigt: Das bloße und unbewachte Abstellen eines kaum gesicherten Postsacks mit Briefen vieler Empfänger entspricht nicht den geforderten technisch-organisatorischen Maßnahmen aus Art. 32 DSGVO.