Fertigung von Sendungsfotografien bei der Sortierung
Sendungsfotografien durch vollautomatische Sortieranlagen ermöglichen zwar eine schnelle und wirtschaftliche
Sortierung von Postsendungen, werfen aber auch datenschutzrechtliche Fragen auf.
Auch kleinere Postdienstleister setzen vermehrt vollautomatische Sortieranlagen ein, die mit Sendungsfotografien arbeiten. Dazu werden die Vorderseiten der Sendungen fotografiert und die Empfängeradressen mittels automatisierter Texterkennung aus den Bildern extrahiert. Diese Datenerhebung und -verarbeitung ist zur Sortierung
notwendig. Je nach Sortierprozess und verwendetem Maschinentyp werden die zustellrelevanten Daten maschinenlesbar auf die Sendung gedruckt, um weitere automatisierte Sortiervorgänge zu unterstützen. Die nicht mehr
benötigten Sendungsfotografien müssen umgehend gelöscht werden, damit das Verfahren datenschutzrechtlich
unbedenklich ist.
Einige Postdienstleister speichern und nutzen jedoch die Sendungsfotografien oder die daraus extrahierten Sendungsdaten auch für andere Zwecke, etwa zur Abrechnung bei Groß- oder Geschäftskunden oder zu Qualitätssicherungs- und Nachweiszwecken bei so genannten Mehrwertdiensten. Datenschutzrechtlich ist ein solches Vorgehen nicht unproblematisch: Die Erhebung und Speicherung der Sendungsdaten ist nur unter den engen Bedingungen des § 5 Absatz 4 Postdienste-Datenschutzverordnung zulässig. Personenbezogene Daten dürfen daher
ausschließlich erhoben, verarbeitet und genutzt werden, soweit dies für die Zustellung der Postsendung, zum
Zweck der Entgeltabrechnung und zum Nachweis der ordnungsgemäßen Zustellung notwendig ist. Bei mehre ren Kontrollen habe ich die Einhaltung dieser Vorgaben geprüft und mir die Prozesse detailliert darstellen lassen. Ich habe darauf hingewirkt, dass die Speicherfristen auf das absolut notwendige Maß beschränkt und die
Vertragspartner (in der Regel die Absender) vorab über das Verfahren unterrichtet werden.
Zutrittskontrolle bei kleineren Postdienstleistern oft mangelhaft
Gerade bei kleineren Postdienstleistern reicht die Absicherung von Betriebsgebäuden, in denen z. B. die Sortierung der Postsendungen erfolgt, häufig nicht aus.
Viele Betriebsgelände von Postdienstleistern sind nicht umzäunt und Zugangstüren während des Regelbetriebs
und insbesondere außerhalb der Betriebszeiten nicht ausreichend gesichert. Auch der Schutz von IT-Anlagen,
die im Rahmen der Erbringung von Postdienstleistungen eingesetzt werden, ist häufig nicht ausreichend. Gemäß
der Anlage zu § 9 Satz 1 BDSG ist Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Auch wenn den Dienstleistern diese Problematik bewusst ist, scheitert die Umsetzung jedoch häufig an betriebswirtschaftlichen Vorgaben. Dennoch setze ich
mich für angemessene Lösungen ein.
A. Mitarbeit der BfDI in Gremien zu diesem Themenkreis
Konferenz der Datenschutzbeauftragten des Bundes und der Länder mit
- Arbeitskreis Technik,
- Ad-hoc Arbeitsgruppe Smart Meter
Düsseldorfer Kreis mit der Arbeitsgruppe Kreditwirtschaft
Jour Fixe Telekommunikation
NA 043 Normenausschuss Informationstechnik und Anwendungen (NIA) mit
BfDI 25. Tätigkeitsbericht 2013-2014
– 163 –