Die Meldepflicht beim Vorliegen einer Datenpanne nach Art. 33 Datenschutzgrundverordnung (DSGVO) wirft in der Praxis zahlreiche Fragen auf. Besonders häufig treten Datenpannen aus unserer Erfahrung in der Form auf, dass Unterlagen mit personenbezogenen Daten auf dem externen Postweg verloren gehen. Beispielsweise beim Versand von einem Standort eines Unternehmens an einen anderen Standort. Fraglich ist, ob und für wen in solchen Fällen die Pflicht nach Art. 33 DSGVO und ggf. auch die Informationspflicht nach Art. 34 DSGVO gegenüber den Betroffenen besteht.

Das „ob“ der Meldepflicht hängt dabei von vielen Faktoren im Einzelfall ab. Bspw: Welche Daten waren in der verlorenen Postsendung enthalten? Wie sind die genauen Umstände des Verlusts? Um diese Frage soll es vorliegend aber nicht gehen. In diesem Beitrag soll stattdessen beleuchtet werden, für wen die Pflichten nach Art. 33 und 34 DSGVO ggf. bestehen. Für den Versender oder für den eingesetzten Postdienstleister?

Im Ergebnis spricht vieles dafür, dass die Pflichten beim Versender und nicht beim Postdienstleister liegen. Zumindest ist es für den Versender rechtssicher davon auszugehen, dass er ggf. die Meldepflicht hat.

Streng dogmatisch betrachtet, könnte man zu einem anderen Ergebnis kommen. Postdienstleister sind grds. keine Auftragsverarbeiter. Vgl. https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf

Soweit Daten in die Sphäre des Postdienstleisters gelangt sind, könnte man also rechtlich vertreten, dass die datenschutzrechtliche Verantwortlichkeit beim Dienstleister liegt, weil sie vom Versender auf ihn übergegangen ist. Er würde dann die Pflichten nach Art. 33, 34 DSGVO tragen, wenn es zu einer Datenpanne kommt.

In Fällen des Verlusts von Unterlagen auf dem Postweg lässt sich häufig jedoch nicht rekonstruieren, an welcher Stelle genau der Verlust aufgetreten ist. Ob die Sendung also tatsächlich in der Sphäre des Postdienstleisters verloren gegangen ist, oder noch vor Übergabe an den Dienstleister oder vielleicht auch erst nach Eingang beim Empfänger. Ein Verweis auf die eigene Verantwortlichkeit des Dienstleisters dürfte daher häufig zumindest aus Beweisgründen risikobehaftet sein. Rechtssicherheit hat der Absender dann nur, wenn er den Pflichten aus der DSGVO selbst nachkommt.

Ergänzend wird auf die Fundstelle Seite 180 im 32. Tätigkeitsbericht des LfDI Baden-Württemberg verwiesen. Dort wird sich mit der Thematik der Meldepflicht beim Verlust von Unterlagen auf dem Postweg befasst. Dies zwar nach noch alter BDSG Rechtslage, das macht an dieser Stelle jedoch keinen Unterschied. Der LfDI Baden-Württemberg geht in der genannten Quelle von einer Meldepflicht des Versenders aus. Die etwaige eigene Verantwortlichkeit des Postdienstleisters wird gar nicht thematisiert.

Letztlich ist auch noch ein weiterer Umstand zu beachten: Der Postdienstleister selbst wird in der Regel gar nicht wissen, dass eine Sendung verloren gegangen ist. Der Verlust fällt in der Regel nur dem Versender und/oder Empfänger auf. Der Postdienstleister kann einer Meldepflicht praktisch in solchen Fällen also gar nicht nachkommen. Auch dies spricht nach hier vertretener Ansicht für eine Meldepflicht des Versenders. Einige Aufsichtsbehörden teilen diese Ansicht nach unserer Kenntnis. Sofern eine Informationspflicht nach Art. 34 DSGVO besteht, könnte diese ebenfalls vom Postdienstleister nicht oder nur schwerlich erfüllt werden, da er keinen Kontakt zu den Betroffenen hat. Dem Versender wird die Kontaktaufnahme mit den Betroffenen deutlich einfacher möglich sein. Auch dieser Umstand spricht nach hier vertretener Ansicht dafür, die Pflicht beim Versender anzusiedeln.

Geht die Postsendung nachweislich erst nach Eingang beim Empfänger verloren, hat dieser natürlich die Meldepflicht.

In den anderen Fällen ist es im Ergebnis rechtssicher, von Pflichten des Versenders auszugehen und nicht von Pflichten des Postdienstleisters.