Deutscher Bundestag – 17. Wahlperiode
– 81 –
Viele Bürger beklagten in Eingaben an meine Dienststelle, dass die von ihnen nach Vertragsbeendigung aufgegebene E-Mail-Adresse sehr kurzfristig an einen neuen
Kunden vergeben wurde und somit Nachrichten an den
falschen Empfänger gelangten. Dem Absender war dies
in der Regel nicht bekannt, denn anders als etwa bei der
Telefonie fehlt es hier an einem direkten Kontakt mit dem
Empfänger.
Grundsätzlich ist jeder Nutzer selbst gehalten, seine Kontaktpersonen darüber zu informieren, dass eine bestimmte
E-Mail-Adresse nicht mehr gültig ist. Gleichwohl habe ich
Verständnis dafür, dass dies nicht in jedem Einzelfall möglich ist. Ich halte deshalb die auf dem 47. Meeting der International Working Group on Data Protection in Telecommunications erarbeitete Empfehlung, E-Mail-Adressen
erst nach einer Wartezeit von drei Monaten wieder zu vergeben, für angemessen. Den deutschen Anbietern von
E-Mail-Adressen habe ich empfohlen, ihre Praxis an dieser Empfehlung auszurichten.
6.11
Elektronische Sortierung und Stichprobenerhebung von Postsendungen
Bei der Einführung neuer Verfahren und Techniken wenden sich Postdienstleister vielfach an mich, um sie bei der
Einhaltung datenschutzrechtlicher Bestimmungen zu unterstützen, so auch die Deutsche Post AG vor der Einführung einer Mail Sampling Unit.
Im vergangenen Jahr informierte mich die Deutsche
Post AG über ihre Absicht, Postsendungen im internationalen Postverkehr mittels entsprechender Technologie in einer neuartigen Sortieranlage (Mail Sampling Unit – MSU)
stichprobenartig zu fotografieren und diese Fotos für eine
Dauer von zwei Jahren bis zum Jahresende zu speichern,
um die Abrechnung mit ausländischen Postgesellschaften
bezüglich fehlgeleiteter Sendungen zu verbessern.
Zurzeit erfolgt diese Abrechnung gemäß internationaler
Vereinbarungen (z. B. Weltpostvertrag) durch eine Schätzung der jährlichen Anzahl solcher fehlgeleiteten Postsendungen. Aufgrund des zunehmenden Marktdrucks hat die
Reklamation solcher Abrechnungen auch gegenüber der
Deutsche Post AG erheblich zugenommen. Ein anderes
internationales Postunternehmen habe mit dieser Methode
bereits die Richtigkeit seiner Zählergebnisse nachgewiesen
und damit seine Verhandlungsposition im Abrechnungsverfahren verbessert.
Mit dem Einsatz der MSU solle daher auch bei der Deutsche Post AG das bisherige Schätzverfahren durch eine
exakte und beweissichere Erfassung fehlgeleiteter Postsendungen ersetzt werden. Die Deutsche Post AG sieht
vor diesem Hintergrund das MSU-Verfahren als erforderlich im Sinne von § 5 Absatz 4 Postdienste-Datenschutzverordnung an. Hiernach dürfen Diensteanbieter personenbezogene Daten erheben, verarbeiten und nutzen,
soweit es zum ordnungsgemäßen Ermitteln, Abrechnen
und Auswerten sowie zum Nachweis der Richtigkeit von
Leistungsentgelten erforderlich ist. Dabei ist an die Erforderlichkeit ein strenger Maßstab anzulegen. Bei der Beurteilung ist zu berücksichtigen, dass die (digitale) Doku-
Drucksache 17/5200
mentation zu einer umfassenden Registrierung bei aus
dem Ausland eingehenden Postsendungen führen würde.
Dies hätte erhebliche Auswirkungen auf das informationelle Selbstbestimmungsrecht sowohl der Absender als
auch der Empfänger von Postsendungen.
Da das bisherige Schätzverfahren bei der Abrechnung im
internationalen Postverkehr noch nicht verbindlich durch
das elektronische Abrechnungsverfahren abgelöst wurde,
halte ich es bis auf weiteres nicht für erforderlich, einer
ausländischen Postgesellschaft im Streitfall jedenfalls
solche beweissichernden Sendungsfotos vorzulegen, die
auch den Namen und die Anschrift des Sendungsempfängers enthalten.
Ich habe die Deutsche Post AG deshalb aufgefordert zu
prüfen, ob – sofern am Einsatz der MSU festgehalten
wird – die Erfassung der Sendungsbilder so gestaltet werden kann, dass nur die zu Abrechungszwecken tatsächlich
erforderlichen Daten wie Bestimmungsland, -ort und
Postleitzahl in die Erhebung einfließen. Eine Antwort der
Deutsche Post AG steht noch aus, sodass mir eine abschließende Bewertung noch nicht möglich ist.
6.12
Sendungsverfolgung und ZORA:
„Datenschlankheitskur“ bei
der Deutsche Post AG
Die Sendungsverfolgung der Deutsche Post AG wurde
nach mehreren Pannen datenschutzgerecht umstrukturiert. Der Umfang der hierfür und bei der Abholung nachweispflichtiger Sendungen gespeicherten Daten wurde reduziert.
Viele Menschen freuen sich über die Möglichkeit, nachvollziehen zu können, wo die von ihnen aufgegebenen
oder an sie gerichteten Postsendungen sich gerade befinden. Andere stören sich daran, dass bisweilen nicht nur
sie diese Informationen erhalten, sondern auch unberechtigte Dritte.
Seit der Einführung der Sendungsverfolgung der Deutsche Post AG erreichten mich immer wieder Beschwerden, in denen die Möglichkeit zur Einsichtnahme in Sendungsdaten Dritter beklagt wurde (vgl. 20. TB Nr. 14.2).
Die Sicherheitsmängel hatten verschiedene Ursachen:
– Der Identcode der Sendung wurde vom Geschäftskunden zu früh an den Endkunden weitergegeben, so dass
der Empfänger noch nicht die Daten der an ihn gerichteten Sendung, eventuell aber Altdaten über früher unter diesem Identcode abgewickelten Sendungen Dritter finden konnte. Zum Teil waren diese Daten älter
als zwölf Monate.
– Geschäftskunden verwendeten mehrmals hintereinander denselben Identcode.
– Die Anforderungen an das Passwort für Geschäftskunden entsprachen nicht den Datensicherheitsanforderungen.
Nach Bekanntwerden dieser Probleme hat die Deutsche
Post AG Maßnahmen ergriffen, um die so verursachte datenschutzwidrige Einsichtnahme in dem Postgeheimnis
BfDI 23. Tätigkeitsbericht 2009-2010