Energieverbrauchsdaten auf Postkarten
Die Datenschutz Aufsichtsbehörde erreichten mehrere Beschwerden über Postkarten eines Energienetzbetreibers, mit denen dieser die Energieverbraucher um Ablesung und Übermittlung ihrer Verbrauchswerte bat. Auf diesen Postkarten waren neben den Namen und den vollständigen Anschriften der jeweiligen Anschlussinhaber die Zählernummer und Lieferstelle sowie ein sog. QR-Code aufgedruckt. Beim Nutzen dieses QR-Codes, z.B. mithilfe eines handelsüblichen Smartphones, wird eine Internetseite mit einer Eingabemaske aufgerufen, in der u. a. die Felder „Letzte Ablesung“ und „Letzter Zählerstand“ mit den bei dem Netzbetreiber vorhandenen Daten vorausgefüllt waren. Die weiteren Felder „Neues Ablesedatum“ und „Neuer Zählerstand in kWh“ waren für die Eingabe durch den Anschlussinhaber vorgesehen. Zudem war, sofern bekannt, die E-Mail-Adresse des Kunden ersichtlich. Eine Zugriffsbeschränkung, z.B. mittels Passwort, war nicht vorhanden.
Auf Anfrage des Landesbeauftragten hatte das Unternehmen zunächst dargelegt, dass derartige Postkarten zur Zählerablesung an alle Kunden versandt wurden. Durch zusätzliche Sicherheitsmaßnahmen werde das Risiko des Missbrauchs des QR-Codes durch Unbefugte reduziert (z.B. begrenzte Gültigkeit des QR-Codes und zusätzliche Plausibilitätsprüfungen zur Missbrauchsprävention). Zudem sei zu beachten, dass auch Postkarten unter das Briefgeheimnis des Art. 10 GG und unter das Postgeheimnis im Sinne von § 39 PostG und § 206 StGB fallen. Inhaber oder Beschäftigte von Unternehmen, die geschäftsmäßig Postdienste erbringen, machen sich bei Verletzungen des Postgeheimnisses strafbar.
Die Maßnahmen und Begründungen reichten jedoch nicht aus. Insbesondere war die Vertraulichkeit nach Art. 32 Abs. 1 lit. b DSGVO nicht in ausreichendem Maße gewährleistet, da jeder, der den QR-Code mit seinem Smartphone (unberechtigterweise) nutzen würde, z.B. den Zählerstand hätte ablesen und einen neuen fingierten Zählerstand eintragen können. Im Ergebnis der Beratung wurde dem Energienetzbetreiber mitgeteilt, auf den Postkarten sowie in dem jeweiligen OnlineFormular nach Aufruf des QR-Codes künftig die Zählernummer sowie die E-MailAdresse teilweise unkenntlich zu machen. Diese Änderungen bewertete die Behörde als erforderlich, aber auch ausreichend, um die Anforderungen der Art. 25 und 32 DSGVO zu erfüllen.
Quelle: LfD Sachsen-Anhalt
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks