Zum Hauptinhalt springen

Sensible Daten im Briefkuvert

Von Petra Tempfer

Recht
Banken und Behörden erhalten laut Martin Ferger noch immer viele Dokumente per Post.
© Österreichische Post AG

Für die Post stellt die EU-Datenschutz-Grundverordnung eine besondere Herausforderung dar.


Wien. Es geht um den besseren Schutz personenbezogener Daten und ein tiefer verankertes Recht auf Schadenersatz: In vier Monaten, konkret am 25. Mai dieses Jahres, tritt die Datenschutz-Grundverordnung EU-weit in Kraft. Verstößt ein Unternehmen gegen seine Datenschutz-Verpflichtung, drohen künftig Verwaltungsstrafen von bis zu 20 Millionen Euro oder - falls dieser Wert höher ist - vier Prozent des Konzernumsatzes. Derzeit liegt der Strafrahmen bei maximal 25.000 Euro. Vor allem für die Post, die täglich zum Teil hoch sensible Daten entgegennimmt, transportiert und zustellt, stellt die neue Verordnung eine besondere Herausforderung dar.

"Wiener Zeitung": Der handgeschriebene Brief hat schon Seltenheitswert, immer mehr Nachrichten werden digital verschickt. Wie hat sich die Zahl der Postsendungen angesichts der voranschreitenden Digitalisierung entwickelt?

Martin Ferger: Das Briefgeschäft ist aufgrund der Digitalisierung rückläufig, das Paketgeschäft ist aufgrund des anziehenden Online-Handels ein Wachstumsmarkt. Unternehmen und Organisationen wie Banken, Behörden und Versicherungen erhalten von ihren Kunden und Geschäftspartnern jedoch nach wie vor große Mengen an Dokumenten per Post. 2018 stehen Unternehmen vor der Herausforderung, dass sie steigende Dokumentationspflichten und verschärfte Datenschutz-Richtlinien einhalten müssen - beispielsweise in Bezug auf eingeschriebene Sendungen mit sensiblen Kundendaten wie etwa Gesundheitsdaten. Größere Unternehmen, etwa in der Pharma-Branche, oder Unternehmen mit mehreren dezentralen Standorten betreiben daher vermehrt eigene Poststellen, um das Brief- und Pakethandling noch rechtssicherer gestalten zu können.

Was konkret wird durch die Datenschutz-Grundverordnung der EU anders, was die Dokumentationspflichten betrifft?

Astrid Schuhmann: Aufgrund der Datenschutz-Grundverordnung (DSGVO) sind anstelle bisheriger Meldungen an das Datenverarbeitungsregister schriftliche Verzeichnisse über sämtliche Verarbeitungstätigkeiten von Daten zu führen, die auf Anfrage der Datenschutzbehörde vorzulegen sind. Von der Pflicht zur Führung des Verarbeitungsverzeichnisses sind Unternehmen mit weniger als 250 Mitarbeitern ausgenommen, wenn die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, die Verarbeitung nur gelegentlich erfolgt und diese keine sensiblen Daten beziehungsweise keine Daten über strafrechtliche Verurteilungen beinhaltet. Eine wesentliche Anforderung der DSGVO ist die Sicherheit der Verarbeitung. Dazu gehören verlässliche IT-Systeme und -Applikationen. Auch wenn das Thema Dokumentation auf den ersten Blick "lästig" erscheinen mag, dient diese für Nachweise, die auch im Falle der Geltendmachung von Betroffenenrechten erforderlich werden können.

Braucht dann jede Poststelle auch einen Datenschutzbeauftragten?

Astrid Schuhmann: Nein, nicht zwingend. Für die Umsetzung der DSGVO ist für jedes Unternehmen grundsätzlich die Geschäftsführung die verantwortliche Stelle. Bestimmte Aufgaben liegen beim Datenschutzbeauftragten, sofern ein solcher benannt werden muss. Wann das der Fall ist und was ein Datenschutzbeauftragter zu tun hat, regelt das Gesetz. Explizite Datenschutzbeauftragte in Unternehmen sind zwingend vorgeschrieben, wenn die Kerntätigkeit (des Verantwortlichen oder des Auftragsverarbeiters) darin besteht, Verarbeitungsvorgänge durchzuführen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Oder wenn die Kerntätigkeit darin besteht, besondere Kategorien von Daten - wie die so genannten sensiblen Daten - oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 umfangreich zu verarbeiten.

Die Post implementiert explizite Datenschutzbeauftragte dort, wo diese notwendig sind, ansonsten in Bereichen, in denen der Datenschutz ein besonderes Thema ist. Datenschutz ist aber nicht nur Aufgabe des Datenschutzbeauftragten, sondern jedes Mitarbeiters.

Ab wann ist die angekündigte, erweiterte digitale Sendungsverfolgung im Einsatz?

Martin Ferger: Die Anwendung "Mailroom Tracking" ist bereits verfügbar, sie kann mit wenig Aufwand in Unternehmens-Poststellen implementiert werden. In der neuen Post-Zentrale am Wiener Rochusmarkt kommt die Lösung zum Beispiel zum Einsatz, um Sendungen für unsere rund 1100 Mitarbeiter zu dokumentieren. Grundsätzlich sind nur ein Internet-Zugang und ein Webbrowser notwendig. Innerhalb eines Tages ist das Set-up der Software erledigt, die Mitarbeiter der Poststelle können sofort starten. Die Tracking-Informationen und -Protokolle werden in einer sicheren, in Österreich angesiedelten Cloud-Lösung der Post gespeichert, auf die nur berechtigte Personen Zugriff haben. Ein Berechtigungssystem regelt die Zugriffsmöglichkeiten.

Wie genau funktioniert das System?

Martin Ferger: Mit der Anwendung "Mailroom Tracking" wird in den Unternehmens-Poststellen jede einlangende Sendung mittels Smartphone-App oder stationärem Scanner über einen Barcode registriert, inklusive Zeitangabe und Bilddatei vom Zustand. Der betreffende Mitarbeiter des Unternehmens wird benachrichtigt und kann die Sendung entweder selbst bei der Poststelle abholen oder zustellen lassen. Für Zusteller gibt es eine "Mailroom Tracking"-App am Smartphone. Der Empfänger übernimmt die Sendung mittels Unterschrift am Handy-Display. Alternativ ist auch eine Verifizierung durch die Mitarbeiter-Zutrittskarte möglich, wenn sie die Nahfunktechnologie NFC (Near Field Communication) integriert hat. Die "Mailroom Tracking"-Software dokumentiert die gesamte Prozesskette revisionssicher in elektronischen Protokollen und stellt sie auf Knopfdruck transparent dar, falls es zu Reklamationen oder Gewährleistungs- und Schadenersatz-Ansprüchen kommt.

Wie hoch waren die Kosten für die Entwicklung beziehungsweise gibt es laufende Kosten?

Martin Ferger: Die Entwicklungskosten waren im niedrigen fünfstelligen Bereich. Nachdem "Mailroom Tracking" laufend weiterentwickelt wird, fallen dafür auch intern Kosten an. Den Businesskunden, die das System einsetzen, verrechnen wir einmalige Set-up-Kosten und dann laufend ein Nutzungsentgelt.

Welche Sendungen sind besonders "schützenswert"?

Astrid Schuhmann:Die Bestimmungen der DSGVO gelten für die Verarbeitung von personenbezogenen Daten natürlicher Personen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Die verschärften Datenschutz-Richtlinien betreffen vor allem Sendungen, die besondere Kategorien personenbezogener Daten, so genannte sensible Daten, enthalten. Damit sind jene Daten gemeint, aus denen beispielsweise die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Des Weiteren betrifft es die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.

Konnten sich die Kunden bisher nicht 100-prozentig in Sicherheit wiegen, dass ihre Daten geschützt sind?

Astrid Schuhmann: Datenschutz genießt bei der Österreichischen Post AG seit jeher einen hohen Stellenwert. Postgeheimnis, Briefgeheimnis und das Datengeheimnis werden auch weiterhin hochgehalten. Viele Anforderungen, die nun mit der DSGVO verpflichtend werden, waren bereits davor Sicherheitsstandard bei der Post. Darüber hinaus unterstützen wir mit Lösungen wie "Mailroom Tracking" auch andere Unternehmen dabei, die Rechtssicherheit im Brief- und Pakethandling zu erhöhen und die Grundsätze des Datenschutzes zu wahren.

Martin Ferger leitet den Bereich Dokumentenlogistik der Österreichischen Post AG und ist Experte für die Dokumentenbearbeitung.

Astrid Schuhmann ist Expertin für öffentliches Recht und seit vielen Jahren als Juristin in der Österreichischen Post AG tätig.

Veranstaltungshinweis
Am 27. Februar 2018 findet im Seminarzentrum der Akademie für Recht, Steuern & Wirtschaft (ARS) in Wien das Fachseminar "Das neue DSG" statt. Behandelt werden unter anderem die Eckpunkte der EU-Datenschutzreform und Auslegungsfragen. Es referieren Gerhard Kunnert und Ronald Bresich vom Bundeskanzleramt.