Die Aufsichtsbehörden für den Datenschutz erreichen immer wieder Anfragen von Institutionen, die den Hybridbrief gerade für Massenverwaltungsverfahren nutzen möchten, jedoch unsicher sind, was dabei datenschutzrechtlich zu beachten ist.
Im Zuge der fortschreitenden Digitalisierung entstehen stetig neue, ganz oder teilweise elektronische Postdienstleistungen. Dies gilt auch für den Bereich der Briefübermittlung. Unternehmen und öffentliche Stellen können beispielsweise sog. Hybridbriefe nutzen. Hybridbriefe verbinden elektronische und papierförmige Kommunikation. Das Dokument wird vom Absender elektronisch verfasst und mitsamt den notwendigen Adressdaten elektronisch an einen Postdienstleister oder einen mit diesem kooperierenden Dienstleister übermittelt. Dort wird der Brief ausgedruckt, kuvertiert und frankiert; anschließend wird er durch den Postdienstleister dem Empfänger analog zugeleitet.
Die nachfolgenden Erläuterungen sollen aufzeigen auf, welche Rolle das Datenschutzrecht auf den einzelnen Abschnitten des Weges spielt, den ein Hybridbrief von seinem Absender zum Empfänger nimmt. Sie gehen auf das Verhältnis zwischen dem Absender und „seinem“ Postdienstleister ein und geben Hinweise zur Gewährleistung eines angemessenen Schutzniveaus während des Kommunikationsprozesses.
Verarbeitung personenbezogener Daten beim Hybridbrief
Wie bereits weiter oben erläutert, enthalten Briefe mit obligatorischen Angaben der Absender- und Empfängeradresse, aber auch inhaltlich („im Umschlag“) regelmäßig eine Vielzahl personenbezogener Daten. Beim herkömmlichen Briefversand verfasst und verschickt eine Institution den Brief und verarbeitet dabei die personenbezogenen Daten aufgrund der jeweiligen – gegebenenfalls fachgesetzlichen – Rechtsgrundlagen. Der konventionelle Brief- und Pakettransport durch einen Postdienstleister wird datenschutzrechtlich üblicherweise als eine Datenverarbeitung durch einen eigenständigen Verantwortlichen angesehen. Dahinter steht die Überlegung, dass die Postdienstleistung im Kern keine Verarbeitung personenbezogener Daten zum Gegenstand habe, sondern diese Verarbeitung nur eine unvermeidliche „Begleiterscheinung“ sei, und der Postdienstleister daher nicht im Auftrag und nach Weisung Daten verarbeite, wie dies bei der Auftragsverarbeitung der Fall sei.
Der Versand von Hybridbriefen unterscheidet sich vom klassischen Briefversand durch seine Mehrstufigkeit. Das Dokument wird zunächst vom Absender elektronisch verfasst, dann aber nicht selbstständig ausgedruckt, kuvertiert und abgeschickt, sondern elektronisch an den Postdienstleister oder ein mit diesem kooperierenden Unternehmen übermittelt. Dieser Datentransfer ist der anknüpfenden klassischen Briefzustellung vorgelagert. Er unterliegt – soweit im Rahmen einer Telekommunikationsdienstleistung erbracht – dem Fernmeldegeheimnis, während die anschließende Beförderung des fertiggestellten Briefs als Postdienstleistung – wie bei der klassischen Briefzustellung – dem Postgeheimnis unterfällt.
Die Besonderheit des Hybridbrief-Versands liegt also darin, dass die eigentliche Erstellung des papierförmigen Briefes aus den übermittelten elektronischen Daten als (zusätzliche) Dienstleistung an den Postdienstleister oder ein kooperierendes Unternehmen ausgelagert wird. Soweit es bei Hybridbriefen zum Transport des fertiggestellten Briefes kommt, ergeben sich keine Unterschiede hinsichtlich der datenschutzrechtlichen Verantwortlichkeit im Vergleich zum klassischen Brieftransport: Der fertiggestellte Hybridbrief wird durch den Postdienstleister, der als eigenständiger Verantwortlicher fungiert, zugestellt.
Merke: Beim Hybridbrief erstellt der Verantwortliche eine Sendung und übergibt diese an einen Postdienstleister. Dieser empfängt die Daten unter Wahrung des Fernmeldegeheimnisses, druckt sie aus, kuvertiert und frankiert den Brief in Form einer Auftragsverarbeitung, befördert die Sendung als (eigenständiger) Verantwortlicher unter Wahrung des Postgeheimnisses und übergibt die Sendung an den Empfänger. Der Empfänger nimmt die Sendung entgegen.
Dabei hält die eingeschobene Phase der elektronischen Datenübertragung und Brieferstellung auch rechtliche Besonderheiten bereit: Hier wird die – wenngleich automatisierte (vgl. Art 4 Nr. 2 DSGVO) – Verarbeitung von Inhaltsdaten Gegenstand der Dienstleistung. Für diese Verarbeitung personenbezogener Daten durch den Postdienstleister oder ein mit diesem kooperierendes Unternehmen existiert keine gesetzliche Verarbeitungsbefugnis. Die Leistung kann allerdings im Rahmen eines Auftragsverarbeitungsverhältnisses (Art. 4 Nr. 8, Art. 28 DSGVO) für den Absender erbracht werden. Aufgrund der Privilegierung der Auftragsverarbeitung – die Verarbeitung des Auftragsverarbeiters leitet sich letztlich von der Rechtsgrundlage des Verantwortlichen ab – bedarf der jeweilige Dienstleister für diese Phase des Hybridbrief-Versands keiner eigenständigen Rechtsgrundlage. Der Briefversender als Auftraggeber muss dann sicherstellen, dass die gesetzlichen Vorgaben für eine Auftragsverarbeitung eingehalten werden.
Abzugrenzen vom Hybridbrief-Versand ist die medienbruchfreie und somit durchgängig elektronische Briefübermittlung, wie sie beispielweise im De-Mail-Gesetz (DeMailG) geregelt ist.
Ob und zu welchen Bedingungen der Einsatz von Hybridbriefen in Betracht kommt, ist vom Verantwortlichen unter Beachtung der nachstehenden Ausführungen zu entscheiden.
Normative Übermittlungsregelungen
Existieren für die betrachtete Übermittlung – von eventuell vorhandenen, spezialgesetzlichen Regelungen zu einer Auftragsverarbeitung abgesehen – einschlägige Übermittlungsvorschriften, etwa Regelungen zur elektronischen Kommunikation, so ist deren Einhaltung vorab zu prüfen. Zu berücksichtigen sind insbesondere Anforderungen an die Form der zu übermittelnden Dokumente oder an Übermittlungsmodalitäten.
Da Hybridbriefe letztlich ausgedruckt werden, kommen sie jedenfalls dann nicht in Betracht, wenn auch der herkömmliche Postversand ausscheidet, also wenn etwa gesetzlich eine rein elektronische Kommunikation geboten ist. Gesetzliche Vorgaben, elektronische Kommunikationsformen zu nutzen (vgl. etwa die „Soll“-Vorschrift des § 67 Abs. 1 Fünftes Buch Sozialgesetzbuch – Gesetzliche Krankenversicherung –), sollten daher nicht als Aufforderung zur Nutzung von Hybridbrief-Verfahren missverstanden werden. Nicht abschließend geklärt ist, ob Hybridbriefe geeignet sind, verwaltungsverfahrensrechtliche Anforderungen an die Schriftform zu erfüllen.
Informationspflichten
Eine weitere Besonderheit ergibt sich hinsichtlich der Informationspflichten des datenschutzrechtlich Verantwortlichen, der ein Hybridbrief-Angebot nutzt. Eine Institution hat als Absender im Rahmen ihrer Informationspflichten gemäß Art. 13 Abs. 1 Buchst. e DSGVO und Art. 14 Abs. 1 Buchst. e DSGVO auf den jeweiligen Postdienstleister und/oder dessen Kooperationspartner als Empfänger von personenbezogenen Daten hinzuweisen. Schließlich können auch Auftragsverarbeiter „Empfänger“ im Sinne von Art. 4 Nr. 9 DSGVO sein. Zwar werden auch beim klassischen Briefversand die personenbezogenen Adressdaten des Briefempfängers dem Postunternehmen als Datenempfänger offenbart. Die Tatsache der Offenbarung von Adressdaten gegenüber dem Postunternehmen zum Zwecke der Briefzustellung ist der empfangenden betroffenen Person allerdings regelmäßig bereits bekannt, so dass sich eine gesonderte Information gegebenenfalls gemäß Art. 13 Abs. 4 DSGVO, Art. 14 Abs. 5 Buchst. a DSGVO erübrigt. Der betroffenen Person ist aber von sich aus regelmäßig nicht bekannt, ob die absendende Institution vom Hybridbrief-Verfahren Gebrauch macht oder nicht und in diesem Rahmen nicht nur Adressdaten, sondern auch den Briefinhalt dem Dienstleistungsunternehmen offenbart.
Auftragsverarbeitung und bereichsspezifische Sonderregelungen
Kommt der Postversand mittels Hybridbrief grundsätzlich in Betracht, müssen die Voraussetzungen der Auftragsverarbeitung gemäß Art. 4 Nr. 8, Art. 28 DSGVO eingehalten werden. Insbesondere muss ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden, der den Anforderungen von Art. 28 Abs. 3 DSGVO genügt.
Möchte sich der Postdienstleister bei der Brieferstellung eines weiteren Dienstleisters als Unterauftragsverarbeiter bedienen, so sind insbesondere die Art. 28 Abs. 2 und 4 DSGVO einzuhalten (vgl. auch Art. 28 Abs. 3 Unterabs. 1 Satz 2 Buchst. d DSGVO). Dabei ist zu beachten, dass die Einbeziehung eines Unter-Auftragsverarbeiters gemäß Art. 28 Abs. 2 DSGVO stets der Genehmigung des Verantwortlichen bedarf. Der Auftragsverarbeiter muss dem Unter-Auftragsverarbeiter gemäß Art. 28 Abs. 4 DSGVO dieselben vertraglichen Datenschutzpflichten auferlegen, die ihn vertraglich binden. Grundsätzlich muss der Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 Unterabs. 1 Satz 2 Buchst. b DSGVO auch gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Dies ist relevant, weil es trotz einer weitgehend automatisierten Datenverarbeitung beim Ausdruck seitens des Auftragsverarbeiters zur Kenntnisnahme durch Beschäftigte kommen kann, wenn etwa bei Wartungsarbeiten oder zur Störungsbehebung technisches Personal Einsicht in Briefe nimmt oder dies stichprobenartig zur Qualitätssicherung erfolgt.
Defizite können hier nicht nur datenschutzrechtliche, sondern – mit Blick auf § 203 Strafgesetzbuch (StGB) – auch strafrechtliche Konsequenzen haben. Beschäftigte der Institution können als Amtsträger (vgl. § 11 Abs. 1 Nr. 2 StGB) gemäß § 203 Abs. 2 Satz 1 Nr. 1 StGB Geheimnisträger sein. Eine gesetzliche Offenbarungsbefugnis hat der Gesetzgeber in Bezug auf externe Dienstleister zwar in § 203 Abs. 3 Satz 2 StGB geschaffen. Somit hält sich das Strafbarkeitsrisiko des Amtsträgers bei der Weitergabe entsprechend geschützter Geheimnisse im Rahmen einer zulässigen Auftragsverarbeitung in Grenzen, soweit Auftragsverarbeiter „mitwirkende Personen“ im Sinne von § 203 Abs. 3 Satz 2 StGB sein können. Gleichwohl ist auch mit Blick auf die Straftatbestände des § 203 Abs. 4 StGB ein exaktes Vorgehen im Bereich der Informationsweitergabe angezeigt.
Zu beachten sind neben den allgemeinen Vorgaben der Datenschutz-Grundverordnung auch bereichsspezifische Sonderregelungen zur Auftragsverarbeitung, die der Gesetzgeber in besonders sensiblen Fällen eingeführt hat. Sonderregelungen für Auftragsverarbeitungen finden sich etwa im Steuerrecht, im Sozialrecht und im Personaldatenschutzrecht.
Nachweis eines angemessenen Schutzniveaus
Nach der Datenschutz-Grundverordnung ist jeder Verantwortliche (und grundsätzlich auch jeder Auftragsverarbeiter) verpflichtet, mittels der wirksamen Umsetzung von Schutzmaßnahmen ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten. Welche Schutzmaßnahmen dem Risiko entsprechend wirksam umgesetzt werden müssen, wird grundsätzlich durch eine datenschutzrechtliche Risikoanalyse ermittelt und nachgewiesen.
Bei einer solchen Risikoanalyse sind in dem hier betrachteten Verfahren für den hybriden Briefversand insbesondere folgende Aspekte eingehend zu behandeln:
- Vertraulichkeit: Beim Hybridbrief muss die vertrauliche Behandlung der übermittelten personenbezogenen Daten durchgängig gewährleistet werden. Insbesondere bei der elektronischen Übermittlung, bei der Datenaufbewahrung, bei dem (automatisierten) Ausdruck sowie bei der (automatisierten) Kuvertierung sind angemessene Schutzmaßnahmen gegen die unbefugte Kenntnisnahme beim Auftragsverarbeiter wirksam umzusetzen.
- Datenminimierung: Zu gewährleisten ist auch, dass nach der Erreichung des Verarbeitungszwecks die Briefdaten – insbesondere der Briefinhalt – beim Auftragsverarbeiter zuverlässig wieder gelöscht werden. Bei Versäumnissen in diesem Bereich kann rasch ein umfangreicher illegaler Datenbestand anwachsen.
- Nichtverkettung: Beim Hybridbrief-Verfahren werden nicht nur die Adressdaten, sondern auch die vollständigen Inhalte der Hybridbriefe, die unterschiedliche und sensible Informationen enthalten können, in elektronischer Form beim Auftragsverarbeiter verarbeitet. Die Verarbeitung dieser Daten kann etwa für Werbezwecke des Auftragsverarbeiters sehr gewinnbringend sein. Daher sind Vorkehrungen zu treffen, dass die Daten eines Hybridbriefes vom Auftragsverarbeiter nur für den Versandzweck verarbeitet werden können.
Fazit
Unternehmen und öffentlichen Stellen ist es grundsätzlich gestattet, unter Einhaltung datenschutzrechtlicher und technisch-organisatorischer Vorgaben Hybridbriefe zu versenden. Die insoweit erfolgende Verarbeitung personenbezogener Daten muss den Verarbeitungsgrundsätzen gemäß Art. 5 DSGVO entsprechen. Vor Durchführung des Hybridbrief-Versands ist insbesondere die Einhaltung allgemeiner und bereichsspezifischer Vorgaben zur Auftragsverarbeitung zu prüfen und der Nachweis eines angemessenen Schutzniveaus zu erbringen.
Fundstelle: Aktuelle Kurz-Information 44 „Versand von Hybridbriefen durch bayerische öffentliche Stellen“ des Bayerischen Landesbeauftragten für den Datenschutz – abrufbar im Internet unter https://www.datenschutz-bayern.de/datenschutzreform2018/aki44.pdf
