– 150 –
den USA keine ausreichenden Datenschutzgesetze vorhanden sind, sich der Datenimporteur UPS USA weder
den Safe-Harbour-Regelungen (vgl. auch Nr. 3.2.4) unterworfen hatte noch Ausnahmetatbestände nach dem
BDSG vorlagen, forderte ich UPS auf, die Datenübermittlung und -verarbeitung mittels einer Einwilligung der Betroffenen oder durch verbindliche Richtlinien gemäß § 4c
Abs. 2 BDSG datenschutzkonform zu gestalten. UPS entschied sich, unternehmensinterne Richtlinien für den
Datentransfer zu erstellen, die sich an die Standardvertragsklauseln der EU vom 27. Dezember 2001 (EG-Datenschutzrichtlinie 95/46/EG) anlehnen. Nach umfangreichen Verhandlungen ergänzte das Postdienstunternehmen
seine Regelungen, so dass nunmehr ausreichende Garantien nachgewiesen waren. Ich habe daraufhin die Datenübermittlung gemäß § 4c Abs. 2 BDSG im Sommer 2003
genehmigt.
Die Regelung des § 4c Abs. 2 BDSG weist mir einen eindeutigen Genehmigungsvorbehalt auf Post- und Telekommunikationsdaten ihrer Kunden zu. Bei einem Post- oder
Telekommunikationsdienstleister fallen jedoch nicht nur
personenbezogene Kundendaten, sondern auch Daten der
Mitarbeiterinnen und Mitarbeiter an. Zwar obliegt die datenschutzrechtliche Kontrolle über den Umgang mit den
Beschäftigtendaten der jeweiligen Aufsichtsbehörde für
den nicht-öffentlichen Bereich. Um das Genehmigungsverfahren nicht zu verzögern und dadurch das Unternehmen in seiner Handlungsfähigkeit zu blockieren, wurde
jedoch in Absprache mit den Aufsichtsbehörden der Länder im März 2004 nach der Vorlage eines weiteren Vertrages auch der Transfer von Beschäftigtendaten von mir bewilligt.
14.2
Track & Trace: Wer verfolgt wen?
Mit dem Service „Track & Trace“ bietet die Deutsche
Post AG die Sendungsverfolgung von Postsendungen im
Internet an. Durch die mehrfache Vergabe von Identcodes
bei Paketen und unsachgemäße Nutzung des Service
konnten Daten Dritter eingesehen werden.
Die Deutsche Post AG bietet ihren Geschäftskunden, wie
andere Postdienstleister auch, mit dem Service
„Track & Trace“ die Sendungsverfolgung von Postsendungen im Internet an. Neben einer Benutzerkennung und
einem Passwort erhält jeder Nutzer einen IdentcodeNummernbereich, den er für seine Pakete verwenden und
per Internet abfragen kann. Die Benutzerkennung lässt
nur eine Abfrage für den eigenen Nummernkreis zu.
Zwar kann es bei der Vergabe von Identcodes zur Mehrfachvergabe kommen mit der Folge, dass einem Geschäftskunden bei Eingabe eines Identcodes mehrere Sendungsverläufe angezeigt werden. Dabei handelt es sich
aber immer um Sendungen seines eigenen Nummernbereichs; Postverkehr anderer Absender kann nicht eingesehen werden. Seitens der Deutschen Post AG wurde Geschäftskunden ermöglicht, die Sendungsverfolgung von
großen Paketmengen über eine Direktaufrufschnittstelle
durchzuführen. Über diese Schnittstelle konnte der Sendungsstatus automatisiert abgefragt werden. Mitte des
Jahres 2003 berichteten Petenten, dass dabei auch Alt-
BfD
20. Tätigkeitsbericht
2003–2004
daten anderer Kunden zu sehen waren, insbesondere
Name, Anschrift und die digitalisierte Unterschrift des
Empfängers.
Dieses Problem hatte mehrere Ursachen: Die Mehrfachvergabe und die Weitergabe des Identcodes durch die Geschäftskunden an Dritte sowie die Bereitstellung der technischen Möglichkeit, Sendungsdaten direkt einzusehen.
Ich habe auf eine rasche und umfassende Lösung dieses
unhaltbaren Zustands hingewirkt. So wurde unmittelbar
als Reaktion auf mein Einschreiten die Option „Nachweis
anzeigen“ bei der Direktaufrufschnittstelle systemseitig
unterbunden. Die digitalen Unterschriften sowie der Postverkehr Dritter kann seither auch im Fall der Mehrfachvergabe von Identcodes nicht mehr aufgerufen werden.
Im Dezember 2003 wurde dann der Zugang zur Direktaufrufschnittstelle mit Unterschriftsanzeige auf Kunden
der Deutschen Post AG beschränkt, die ausdrücklich die
Verwendung der Direktaufrufschnittstelle für den internen Bedarf gleichermaßen wie die Verwendung von eindeutigen Identcodes zusichern.
Nach diesen Änderungen habe ich keine weiteren Beschwerden über eine fehlerhafte Sendungsverfolgung erhalten.
14.3
EPOS – Fehler im System
Durch einen Systemfehler im elektronischen System zur
Erfassung von Dienstleistungen am Schalter – EPOS –
war es für Betreiber und Mitarbeiter verschiedener Postagenturen möglich, Einblick in die Datenbestände anderer Agenturen zu nehmen.
Die Deutsche Post AG verfügt über ein elektronisches
System (EPOS) zur Erfassung der am Schalter erbrachten
Dienstleistungen. Hiermit werden die Ausgabe von Paketen und Postsendungen kontrolliert, Nachnahmebeträge
und der Verkauf von Postwertzeichen abgerechnet und
der Postbankverkehr abgewickelt. Das System enthält
Daten über den Bargeldbestand, die Einnahmen und Ausgaben des Tages sowie über den gesamten Zahlungsverkehr, der für die Postbank abgewickelt wird. Bis Mitte
November 2003 konnten die Datenbestände der selbständigen Poststellenbetreiber auch von anderen Agenturnehmern mit geringem Aufwand nachgelesen werden. Dies
wurde mir vom Postagenturnehmerverband e.V. Ende
November 2003 mitgeteilt und auf Nachfrage von der
Deutschen Post AG bestätigt.
Über mehrere Monate waren neben den Adressdaten die
Bargelddifferenzen, die Höhe des Verfügungsrahmens
und der Bargeldbestand des Vortags anderer Postagenturen einsehbar. Zum Zeitpunkt meiner Nachfrage war
die technische Zugriffsmöglichkeit aber bereits auf die
Daten der eigenen Filiale beschränkt worden. Die Zuordnung der Kassenfehlbeträge zu den jeweiligen Agenturnehmern konnte auch vor der Systemänderung nicht erfolgen, weil die Kassenfehlbeträge mit dem Tagesjournal
abgerechnet werden, das nur für die eigene Kasse einsehbar ist. Kundendaten waren hiervon nicht betroffen.