Zurück zur Übersicht
04.05.2021

Datenerhebung mittels Postkarte

Kundendatenerhebung mittels Postkarte

Eine Verletzung datenschutzrechtlicher Bestimmungen ist nicht immer das Resultat eines bewussten Hinwegsetzens über gesetzliche Vorgaben. Im Gegenteil kann die weit überwiegende Anzahl datenbezogener Schutzverletzungen im Bereich des fahrlässigen Handelns verortet werden. Der Verantwortliche agiert hier oftmals aus lauteren Motiven, verkennt jedoch dabei die datenschutzrechtliche Brisanz seines Handelns, was dessen Rechtswidrigkeit oftmals nach sich zieht.

Zum Glück sind viele dieser sogenannten „Datenpannen“ für die betroffenen Personen mit geringen Konsequenzen verbunden. Vielfach beschränken sich die Auswirkungen auf die Offenlegung personenbezogener Daten für einen unbestimmten Personenkreis, was für die betroffenen Personen zwar unangenehm ist, jedoch in der Regel keine weitergehenden negativen Auswirkungen nach sich zieht. Leider gibt es jedoch auch Fälle, in denen eine auf den ersten Blick vielleicht unbedeutend anmutende Datenschutzverletzung bei genauerem Hinsehen ungeahnte Folgen mit sich bringt. Besonders problematisch wird es dann, wenn Bankdaten (Kontodaten) unbefugt offengelegt werden. In diesen Konstellationen ist ein schnelles Handeln, insbesondere in Form einer vollumfänglichen Information des Betroffenen, für den Verantwortlichen das Gebot der Stunde.

Als anschauliches Beispiel dafür, wie schnell eine risikoreiche Datenschutzverletzung eintritt, kann der gut gemeinte, jedoch missglückte Versuch dienen, mit welchem ein Versorgungsunternehmen im Berichtzeitraum die Aktualisierung seiner Kundendaten durchführen wollte.

Kern der diesbezüglichen Datenverarbeitung war eine Postkarte, welche der Jahresverbrauchsabrechnung an die Kunden beigelegt war. Auf dieser Postkarte konnten die Kunden in hierfür vorgefertigten Feldern, neben den Daten zur Person und zur Rechnungseinheit, auch Bankdaten für die Nutzung eines SEPA-Lastschriftmandats eintragen. Damit die Datenerhebung für die Kunden kostenneutral war, enthielt die Postkarte den Frankiervermerk “Entgelt zahlt Empfänger“, was aus Sicht der Kunden jedoch bedeutete, dass man die „Postkarte“ auch als solche behandeln, d. h. unverschlossen auf den Postweg geben sollte. Insbesondere mit Blick auf die Kontodaten war dies mit nicht unerheblichen Risiken verbunden und widersprach den Bestimmungen der Datenschutz-Grundverordnung (DSGVO).


Gemäß Art. 32 DSGVO trifft den Verantwortlichen bei jedweder Verarbeitung personenbezogener Daten die Pflicht, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten. Dies impliziert es zuvörderst, die Datenverarbeitung vor unbefugter Kenntnisnahme von außen zu schützen.


Zur Erfüllung dieser „Kardinalpflicht“ ist das beschriebene Erhebungsverfahren von Kundendaten mittels Postkarte offensichtlich ungeeignet, da es einem unbestimmten Personenkreis die Möglichkeit eröffnet, die Kontodaten der Kunden unbemerkt auf dem Postweg einzusehen. Die Kenntnis von Name, Geburtsdatum, Anschrift und Kontodaten (IBAN, BIC) kann unter Umständen bereits ausreichen, dass Dritte im Wege eines Lastschriftmissbrauchs oder durch einen unbefugten Kauf auf Rechnung, diese Daten zu Lasten des Betroffenen nutzen.

In ihren Art. 33 und 34 sieht die Datenschutz-Grundverordnung für Fälle vorliegender Art (sog. „Datenpannen“) einen zweistufigen Schutzmechanismus vor. Auf der ersten Stufe ist gemäß Art. 33 Abs. 1 DSGVO die zuständige Aufsichtsbehörde binnen 72 Stunden über den Vorfall zu informieren, es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Ist ein solches Risiko vorhanden und wird es als hoch eingestuft was in Fällen einer Datenschutzverletzung betreffend Bank- und Kontodaten oder Datenkategorien nach Art. 9 Abs. 1 DSGVO (bspw. Gesundheitsdaten) in der Regel der Fall ist so hat der Verantwortliche gemäß Art. 34 Abs. 1 DSGVO die betroffenen Personen unverzüglich, d. h. ohne schuldhaftes Zögern, über die Datenschutzverletzung zu benachrichtigen. Diese Benachrichtigungspflicht der betroffenen Personen ist kein bloßer Formalismus, sondern wesentlicher Bestandteil einer Risiko- bzw. Schadensminimierung.

Gerade in Bezug auf Bank- und Kontodaten tritt die wichtige Funktion von Art. 34 Abs. 1 DSGVO deutlich zutage, da in diesen Fällen nur die betroffenen Personen oftmals in der Lage sind, einen drohenden Schaden zu verhindern. Die Benachrichtigung soll demnach eine an die betroffene Person gerichtete Empfehlung zur Minderung etwaiger nachteiliger Auswirkungen der Verletzung enthalten (vgl. Art. 34 Abs. 2 i. V. m. Art. 33 Abs. 3 lit. d DSGVO, Erwägungsgrund 86 DSGVO).

Der Verantwortliche sollte die betroffenen Personen im Zuge der Benachrichtigung über die Datenschutzverletzung demnach dahingehend sensibilisieren, dass diese sich im Falle des Bemerkens ungewöhnlicher Kontobewegungen oder Kontoabbuchungen unverzüglich mit dem kontoführenden Kreditinstitut (Bank) in Verbindung setzten sollen, da insbesondere für die Widerspruchmöglichkeit gegen eine unberechtigte Buchung (Lastschrift) Fristen gewahrt werden müssen.

In vorliegender Angelegenheit wurde das betroffene Versorgungsunternehmen unmittelbar nach der Benachrichtigung durch unsere Behörde tätig. Das Erhebungsverfahren der Kundendaten wurde dahingehend geändert, dass nunmehr eine mit Klebelaschen zu verschließende Postkarte zum Einsatz gelangt. Hierdurch kann den Kunden weiterhin eine kostenfreie postalische Übersendung ihrer Daten zur Verfügung gestellt werden, die zu übersendenden Daten werden jedoch, in gleicher Form wie bei einem verschlossenen Briefumschlag, gegen unbefugte Kenntnisnahme von außen geschützt.


Fazit/ Empfehlung: Datenpannen, bei denen besonders sensible Daten betroffen sind, verpflichten nicht nur zur Meldung an die Aufsichtsbehörde. Regelmäßig ist auch eine Benachrichtigung der betroffenen Person erforderlich.


Quelle: LfDI Saarland

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks