Zwei Behörden-Websites verwenden sog. Google-Captchas (engl.: Completely Automated Public Turing test
to tell Computers and Humans Apart). Dabei handelt es sich um eine Form von Eingabefenster, mit dem festgestellt werden soll, ob der Zugriff von einem Menschen getätigt wird oder maschinell erfolgt. In den konkreten
Fällen sollten die Captchas die Verfälschung von Umfragen durch automatisiert erstellte Antworten verhindern. Aus datenschutzrechtlicher Sicht ist die Einbindung von Captchas jedoch kritisch zu sehen, da, je nach
verwendetem Captcha, die Übertragung von personenbezogenen Daten (hier: IP-Adresse) an Dritte nicht auszuschließen ist. Ich habe deshalb die Betreiber aufgefordert, entweder die verwendeten Captchas zu entfernen oder
diese durch datenschutzgerechte Varianten zu ersetzen.
17.3.4 Kontrollen im Postbereich
Bei meinen stichprobenartigen Kontroll-, Informations- und Beratungsbesuchen bei Postdienstunternehmen
habe ich insgesamt ein gutes Datenschutzniveau festgestellt. Alle beteiligten Unternehmen, ob groß oder klein,
waren kooperativ und zeigten sich gegenüber Datenschutzthemen, nicht zuletzt auch im eigenen Interesse, sehr
aufgeschlossen.
Im Postdienstleistungsbereich sind viele geringfügig Beschäftigte tätig. Gleichzeitig handelt es sich angesichts
der Vielzahl der kleinen Unternehmen durchaus um eine größere Beschäftigtenanzahl, die mit personenbezogenen Daten in Kontakt kommt. Bei Kontrollen war es mir daher besonders wichtig, zu prüfen, ob alle Beschäftigten ordnungsgemäß auf das Daten- und Postgeheimnis (§ 5 BDSG und § 39 PostG) verpflichtet sind und durch
regelmäßige Awareness-Maßnahmen geschult werden. In einem Fall verfügte ein Teil der Beschäftigten über
unzureichende Deutschkenntnisse, um die von ihnen zu unterschreibenden Verpflichtungserklärungen sowie die
Arbeitsanweisungen zu verstehen. Hier habe ich auf Informationsmaterialien in den relevanten Fremdsprachen
gedrängt. Dieser Vorgabe wurde entsprochen.
Bei meinen Besuchen habe ich lizensierte Postdienstunternehmen, die Subunternehmer mit und ohne eigene
Postlizenz einsetzen, immer wieder darauf hingewiesen, dass sie als die verantwortliche Stelle die Verantwortlichkeit für die ordnungsgemäße Durchführung von Verpflichtungen und Schulungen sowie für eventuelle Konsequenzen bei einer fehlerhaft durchgeführten Maßnahme nicht ausschließlich auf einen Dritten verlagern können, sondern selbst bei einer Delegation die Eigenverantwortung fortbesteht. Dies gilt auch bei einer Funktionsübertragung gem. § 5 der Postdienste-Datenschutzverordnung (PDSV), also nicht nur bei einem Auftragsdatenverarbeitungsverhältnis gem. § 11 BDSG.
Wie kommt meine Telefonnummer auf den Adressaufkleber und woher kennt der Postdienstleister meine
E-Mail-Adresse?
Der Trend bei vielen großen Postdienstleistern geht zu einer angekündigten und sogar flexiblen Zustellung von
Päckchen und Paketen, bei der Empfänger im Voraus informiert werden, wann eine Sendung ausgeliefert wird,
sowie zur zeitlichen oder räumlichen Umlenkung der Sendung noch kurz vor der Zustellung. Diesen Service
unterstützt der Versandhandel, der dazu eigenverantwortlich, nach vorheriger Einwilligung seines Kunden, die
E-Mail-Adresse oder auch die Telefonnummer an den Postdienstleister weitergibt. So kann dieser den Kunden
nicht nur per E-Mail, sondern auch telefonisch über den Zeitpunkt der Zustellung informieren und gleichzeitig
sicherstellen, dass der Zusteller den Weg nicht umsonst macht. Es kommt allerdings immer wieder vor, dass
sich der ein oder andere Empfänger über die „angereicherte Adresse“ wundert und dann verständlicherweise
auch mich nach der Herkunft dieser Daten fragt.
Diese Verfahrensweise liegt aber nicht im Verantwortungsbereich der Postdienstunternehmen, sondern ausschließlich beim Absender. Ich habe daher im Rahmen meiner Möglichkeiten darauf hingewirkt, dass die Postdienstleister die Absender, meist Versandhändler, auf ihre Verpflichtung zur Einholung der Einwilligung zur
Datenweitergabe der E-Mail-Adresse und ggf. der Telefonnummer nochmals ausdrücklich hinweisen. Als problematisch sehe ich es an, dass diese Art der Einwilligung bisher für Unternehmen oder Privatpersonen nicht
möglich ist, die einen vorgefertigten Online Shop bei einen Anbieter wie z. B. Amazon betreiben, um dort als
– 180 –
BfDI 26. Tätigkeitsbericht 2015-2016