Postversand von elektronischen Medien

Die Bearbeitung einer Beschwerde hat die Frage aufgeworfen, was im Hinblick auf den technisch-organisatorischen Schutz beim postalischen Versand von elektronischen Medien, das heißt beim Versand von Speichermedien (zum Beispiel USBSticks oder Speicherkarten) und beim Versand von Geräten, in denen solche Speichermedien eingebaut sind (zum Beispiel Smartphones), zu beachten ist.

Insbesondere zu dem Teilaspekt, ob elektronische Medien beim Postversand zu verschlüsseln sind, lassen sich derzeit unterschiedliche datenschutzrechtliche Ausführungen – teilweise bezogen auf bestimmte Einzelfälle – finden. Die folgende Konkretisierung der relevanten Anforderungen zeigt, dass auf den ersten Blick widersprüchliche Standpunkte für bestimmte Einzelfälle durch eine detailliertere datenschutzrechtliche Betrachtung nicht selten auf eine gemeinsame Prüflogik zurückgeführt werden können.

Vor dem Postversand von elektronischen Medien, auf denen personenbezogene Daten gespeichert sind, hat eine verantwortliche Stelle datenschutzrechtlich folgende Prüfschritte zu beachten:

Der Postversand ist eine gängige Form für die Übermittlung personenbezogener Daten. Daneben können situativ und in bestimmten Einzelfällen auch alternative Formen möglich sein, bei denen die Übermittlung datenschutzfreundlicher gestaltet werden kann (zum Beispiel eine persönliche Übergabe oder die Nutzung eines geeigneten digitalen Kommunikationsportals).

Aufgrund des bestehenden Postgeheimnisses (§ 64 Postgesetz) sowie der Strafbewehrung in § 202 Strafgesetzbuch (StGB) ist grundsätzlich anzunehmen, dass unbefugte Dritte auf dem Postweg keinen Zugriff auf die in einer Postsendung befindlichen elektronischen Medien erhalten und damit die Vertraulichkeit sowie Datenintegrität der personenbezogenen Daten gewahrt ist. Verantwortliche, die sich auf diesen Grundsatz berufen möchten, müssen zuvor allerdings folgende Fragen stellen – und sachgerechte Antworten auf sie finden:

• Entspricht die Umverpackung den Anforderungen des Postdienstleisters?

Die Möglichkeit, dass eine Postsendung nicht beim angegebenen Empfänger ankommt, ist den Postdienstleistern bekannt. Eine Ursache dafür kann sein, dass nicht geeignet verpackte Postsendungen mit sperrigem Inhalt durch eine automatische Sortiermaschine oder bei einer anderen maschinellen Bearbeitung in den Brief- oder Paketzentren beschädigt werden und Teile ihres Inhalts dabei verlieren. Daher gibt beispielsweise die Deutsche Post AG gesonderte Hinweise an Absender, wie bestimmte elektronische Speichermedien vor ihren Versand zu verpacken sind. Eine Verpackung nach der einschlägigen Empfehlung des beauftragten Postdienstleisters ist eine technische und organisatorische Maßnahme, die einen wichtigen Aspekt des Verlustrisikos geeignet reduziert und die durch eine gleichwertige alternative Schutzmaßnahme in der Regel nicht ersetzt werden kann.

• Sind die Versandoptionen richtig ausgewählt?

Die Versandoptionen, die vom Postdienstleister angeboten werden und eine höhere Sicherheit der Sendung vermitteln, können von der versendenden Stelle als geeignete Schutzmaßnahmen gewählt und aktiviert werden (zum Beispiel eine allgemeine Sendungsverfolgung oder eine besondere Sendungsverfolgung im Rahmen eines Einschreibens, wodurch insbesondere eine höhere Ermittlungsquote bei nicht termingerecht zugestellten Postsendungen erzielt werden kann).

• Müssen kontextspezifische Vorgaben beachtet werden?

Sind weitere Schutzmaßnahmen durch spezifische normative Vorgaben oder durch eine Selbstverpflichtung der Stelle für den postalischen Versand von elektronischen Medien vorgesehen, so sind diese Maßnahmen von der Stelle umzusetzen. Beispielsweise kann mit Sicherheitsverschlüssen und mit Sicherheitsaufklebern der Postversand zusätzlich abgesichert werden.

• Sind weitere Maßnahmen erforderlich?

Nach der Datenschutz-Grundverordnung ist jede verantwortliche Stelle verpflichtet, mittels der wirksamen Umsetzung von technischen und organisatorischen Maßnahmen ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten. Welche Schutzmaßnahmen dem Risiko entsprechend wirksam umgesetzt werden müssen, wird grundsätzlich durch eine datenschutzrechtliche Risikoanalyse ermittelt und nachgewiesen werden.100 Denn die Datenschutz-Grundverordnung schreibt insbesondere in Art. 32 DSGVO nicht die Umsetzung bestimmter technischer und organisatorischer Maßnahmen fest vor, sondern verpflichtet die verantwortliche Stelle zu einer Abwägung zwischen den Risiken der Verarbeitung und den Implementierungskosten sowie der Art, dem Umfang, der Umstände und dem Zweck der Verarbeitung. Die verantwortliche Stelle hat somit zu prüfen, welche Risiken sich aus dem Postversand von elektronischen Medien im Einzelfall ergeben können und welche Maßnahmen geboten sind, um das Risiko angemessen zu vermindern

Anders als Papierunterlagen können Dateien und elektronische Medien grundsätzlich nach dem Stand der Technik verschlüsselt und vom Empfänger mit dem dazugehörigen Schlüssel, der auf einem geeigneten, separaten Kommunikationsweg zugesendet wird, wieder entschlüsselt werden. Diese technische Schutzmöglichkeit könnte als Argument herangezogen werden, dass nach Art. 32 DSGVO elektronische Medien mit personenbezogenen Daten, die auf dem Postweg versendet werden, stets verschlüsselt werden müssen.

Eine solche pauschale Schlussfolgerung würde jedoch die Risikoreduzierung durch das Postgeheimnis fast vollständig außer Acht lassen. Wäre die datenschutzrechtliche Wirkung des Postgeheimnisses tatsächlich so unbedeutend, wäre dies auch beim Papierversand zu berücksichtigen. Denn beim Vergleich des datenschutzrechtlichen Risikos macht es bei Erfüllung der Anforderungen grundsätzlich keinen Unterschied, ob vergleichbare personenbezogene Daten in der üblichen Papierform oder elektronisch auf einem unverschlüsselten Speichermedium postalisch versendet werden.

Allerdings können bei der Versendung elektronischer Medien zu den allgemeinen Postversandrisiken spezifische digitale Risikoaspekte hinzutreten (im Folgenden als Digitalrisiken bezeichnet). Insbesondere ist dabei zu beachten, dass marktübliche elektronische Speichermedien eine sehr hohe Speicherkapazität besitzen. Unter der Annahme, dass jedes Gigabyte (GB) einer Datenmenge von 100.000 bedruckten Seiten DIN-A4 Papier entspricht, könnten auf einem USB-Stick mit einer Speicherkapazität von 128 GB über 12 Millionen bedruckte Seiten gespeichert werden. Hinzu kommt auch die Besonderheit, dass digitale Medien die Speicherung von Datenformaten erlauben, zu denen es in der Papierwelt kein Gegenstück gibt (zum Beispiel Videos). Somit können personenbezogene Daten, die auf elektronischen Medien gespeichert sind, in einem Umfang sowie in einer Art und Weise postalisch versendet werden, die sich im datenschutzrechtlichen Risiko deutlich vom Postversand eines Papierkonvoluts unterscheidet.

Vor diesem Hintergrund kann als Ergebnis festgehalten werden:

• Beim postalischen Versand eines elektronischen Mediums ist die sachgerechte Verschlüsselung der Dateien, die auf dem Medium gespeichert sind, oder die Verschlüsselung des Mediums selbst eine Schutzmaßnahme, die das Risiko einer Vertraulichkeits- und Datenintegritätsverletzung auf dem Versandweg deutlich vermindert. Sind insbesondere die Implementierungskosten für eine solche Verschlüsselung – was regelmäßig der Fall sein dürfte – verhältnismäßig, wird eine solche Verschlüsselung empfohlen.
• Eine derartige Verschlüsselung oder eine vergleichbare alternative Schutzmaßnahme kann neben dem bestehenden Schutz des Postgeheimnisses technisch-organisatorisch regelmäßig dann gefordert werden, falls der Postversand des elektronischen Mediums mindestens mit einem spezifischen Digitalrisiko verbunden ist und zudem ein hohes Verarbeitungsrisiko aufweist.
• In Art. 35 Abs. 1 DSGVO ist im Zusammenhang mit der Datenschutz- Folgenabschätzung und im Hinblick auf die Form einer Verarbeitung von einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen die Rede. Nach der von der Artikel 29-Datenschutzgruppe – dem Vorgängergremium des Europäischen Datenschutzausschusses – veröffentlichten Leitlinien zur Datenschutz-Folgenabschätzung müssen neun Kriterien berücksichtigt werden, um Verarbeitungsvorgänge zu ermitteln, für die aufgrund ihres hohen Risikos eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Diese Bewertungsmethode auf Grundlage der neun DSFA-Kriterien kann entsprechend für die Beurteilung, ob ein bestimmter Postversand von elektronischen Medien ein hohes Verarbeitungsrisiko aufweist, genutzt werden.

Quelle: Der Bayerische Landesbeauftragte für den Datenschutz

Sind Sie sich sicher, ob Ihr Unternehmen im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks