Erinnern Sie sich noch? Eigentlich wurden unsere heutigen Datenschutzgesetze geschaffen, um für Menschen im Internetzeitalter ein selbstbestimmtes Leben mit Privatsphäre zu erhalten. Hierzu hat Europa mutig und weltweit einmalig mit der Datenschutz-Grundverordnung (DSGVO) einen neuen Standard gesetzt und begegnet den Gefahren der digitalen Welt kühn mit maßgeschneiderten Regularien. Seitdem ziehen Datenschützer durch die Lande, fest entschlossen, dem heimlichen Tracking und Profiling und vielen weiteren Gegnern das Handwerk zu legen.
Doch in all dem Streit und Gefecht kommt es vor, dass ein unkoordinierter Hieb einen Unbeteiligten trifft. So erging es auch einem altem Bekannten, dem Postbrief mit Sichtfenster.
Mit der Geschichte des Briefumschlags haben wir uns in einem früheren Blogbeitrag bereits befasst. Briefe in Umschlägen erscheinen bisweilen langweilig oder sogar „retro“, doch ihre andauernde Relevanz ist nicht abzustreiten. Im Jahr 2022 hatte die Deutsche Post immerhin noch über 14 Milliarden Briefe zu befördern. Dabei besteht der klassische Postbrief aus einem ein- oder mehrseitigen Dokument, abgedruckt auf DIN A4-Papier, mit dem Adressfeld oben links auf der ersten Seite, sodass Name und Adresse des Empfängers durch ein Sichtfenster im Briefumschlag gelesen werden können.
Doch bei näherer Betrachtung erkennt der Datenschützer die bittere Wahrheit: Das Sichtfenster weist keine Art von Zugriffsschutz auf. Auch ein Rollen- und Berechtigungskonzept oder zumindest eine saubere Dokumentation aktiver Berechtigungen sucht man genauso vergeblich wie eine Transportverschlüsselung. Damit kann nahezu jeder (Postzusteller) durch besagtes Sichtfenster auf die Adressdaten von Absender und Empfänger zugreifen, selbst wenn dies nicht erforderlich ist.
Diese grob mangelhafte Sicherheitsarchitektur eines Briefumschlags mit Sichtfenster öffnet weiteren Gefahren Tür und Tor. Wird etwa der Brief durch den Absender falsch gefaltet oder gar fehlerhaft ausgedruckt, können durch das Sichtfenster noch weitere Details des eigentlichen Briefinhalts nahezu jedem (Postzusteller) offenbart werden. Durch geschicktes Schütteln des Briefinhalts wird der Mangel an sauberer Faltung oder ausreichendem Sicherheitsabstand zwischen Adressfeld und Betreffzeile offenbar. Doch all das braucht es gar nicht, wenn schon die durch das Sichtfenster erkennbare die Farbe des Briefpapiers aufzeigt, dass der Absender sich nicht aus reiner Nostalgie für den Postweg entschieden hat, sondern um rechtsverbindlich einen Zahlungsverzug anzuprangern.
Es zeigt sich also eine fatale Fehlentwicklung im Briefmarkt, die seit Jahrzehnten von Datenschutzaufsichtsbehörden kaum gewürdigt wurde … bis jetzt!
Hinweis einer Aufsichtsbehörde
Eine deutsche Aufsichtsbehörde hat nun im Rahmen einer Individualbeschwerde die Gefahr erkannt und dem Verantwortlichen für die Erstellung von postalischen Mahnungen auf rotem Briefpapier diesen Hinweis erteilt: „Bei der Nutzung von farbig (gelb/rot) gestaltetem Briefpapier sind keine Briefumschläge mit Sichtfenster zu verwenden.“ Die Aufsichtsbehörde begründet ihre Anordnung damit, dass Postzustellern als unbefugten Dritten durch nach außen erkennbare Farbwahl des Briefpapiers die mangelnde Zahlungsfähigkeit des Empfängers offenbart wird. Aus diesem Grund sei der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um den Postzustellern diesen delikaten Einblick in die Kommunikationsinhalte zu verwehren.
Doch kann das wahr sein? Erkennen Postzusteller am roten Briefpapier eine schlechte Zahlungsmoral? Nun, sicherlich könnte ein Postzusteller das und noch zahllose weitere Details anhand der Briefe erkennen, immerhin werden vielerlei Farben im Postwesen verwendet. Zwar ist der sog. „blaue Brief“ von Schulen eher ein Mythos. Was aber ist mit amtlicher Post, bspw. einer förmlichen Zustellung in gelben Umschlägen oder Haftbefehle in rosa/roten Umschlägen? Und wenn wir den Gedanken weiterdenken, wieviel lernt ein Postbote über die Kundschaft im jeweiligen Zustellbezirk anhand von Werbebriefen mit einschlägiger Bedruckung einer bekannten Massageöl-Manufaktur? Welche empfindlichen Details erkennt der Paketdienst anhand von Paketen, bei denen der Umwelt zuliebe auf eine weitere Umverpackung verzichtet wurde?
Es zeigt sich, dass die Rechtsauffassung der besagten Aufsichtsbehörde schon den Praxistest nicht besteht. Denn wenn es sich nicht gerade um eine Werbesendung, eine Urlaubspostkarte, eine Einladung o. Ä. handelt, dann ist der Inhalt doch meistens entweder hochsensibel und/oder hat eine rechtliche Relevanz. Nicht zu vergessen die privaten Ereignisse im Leben, die sich ebenfalls oft am Briefumschlag ablesen lassen, wie bspw. Beileidsbekundungen in einem Umschlag mit schwarzem Rand oder ein farblich passend zur Glückwunschkarte gestalteter Umschlag bei der Geburt eines Kindes.
Die juristische Bewertung der Aufsichtsbehörde überzeugt hier nicht: Offensichtlich wurde kein Gedanke an den besonderen Schutz verschwendet, der sich aus dem Post- und Briefgeheimnis ergibt. Denn der Schutz der Briefpost wird durch Art. 10 Grundgesetz und §§ 202, 206 Strafgesetzbuch auf höchster Ebene geschützt. Aus diesem Grund darf Postzustellern auch das nötige Vertrauen entgegengebracht werden, dass der eine oder andere Hinweis auf den Inhalt der Post vertrauenswürdig behandelt wird.
Dies wäre auch im Rahmen der Bewertungsspielräume der DSGVO zulässig abzubilden. Gemäß Art. 32 Abs. 1 DSGVO (Sicherheit der Verarbeitung) wird von dem Verantwortlichen erwartet, dass er geeignet technische und organisatorische Maßnahmen zum Schutz der Daten trifft, die „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ ein angemessenes Schutzniveau gewährleisten. In der Abwägung dieser Faktoren muss der durchschnittliche Verantwortliche zu dem Ergebnis kommen dürfen, dass die Wahrscheinlichkeit eines Vertraulichkeitsbruchs im Rahmen der Postzustellung und unter dem Schutzschirm des Briefgeheimnisses verschwindend gering sein muss, da ein jeder Bruch des Briefgeheimnisses mit Strafe bedroht ist.
Währenddessen existieren viel kritischere Praktiken im Mahnwesen, denen die Datenschutzaufsichtsbehörden ihre Aufmerksamkeit schenken sollten. Einem Bericht des Verbraucherzentrale Bundesverbands (vzbv) zufolge hat das Landgericht Leipzig (Az. 05 O 666/22) jüngst einem Betreiber von Datingportalen untersagt, die Profilfotos der Kunden des Datingportals auf Mahnungen abzudrucken, um Geldforderungen durchzusetzen. Allem Anschein nach verwendete der Portalbetreiber diese als Druckmittel, damit sich die Betroffenen nicht gegen die Zahlungsaufforderungen zur Wehr setzen.
Fazit
Am Beispiel des Sichtfensters in Briefumschlägen können wir zwei grundlegende Erkenntnisse für die Praxis gewinnen. Zum einen lassen sich Datenschutzstandards aus dem digitalen Bereich nicht 1:1 auf analoge Verarbeitungsvorgänge übertragen, da sich die Risikolagen weder gleichen noch ähneln. Zum anderen zeigt dieses Beispiel einmal mehr, dass wir noch Jahre, wenn nicht gar Jahrzehnte davon entfernt sind, bis wir im Datenschutz die Rechtssicherheit erreicht haben, die wir uns alle wünschen.