Viele bayerische öffentliche Stellen möchten – das betont der BayLfD in seiner aktuellen Kurz-Information – gerne Hybridbriefe nutzen, vor allem für Massenverwaltungsverfahren. Die Behörden seien „jedoch unsicher (…), was dabei datenschutzrechtlich zu beachten ist“.
„Hybridbriefe verbinden elektronische und papierförmige Kommunikation“, heißt es in der Kurz-Information. In der Praxis sieht das dann so aus:
Jeder Brief – ganz egal ob herkömmlich oder hybrid – enthält personenbezogene Daten. Von der Absenderadresse über die Empfängeradresse bis hin zum Inhalt des Briefs. Deshalb gilt beim herkömmlichen Brief das Postgeheimnis – und beim hybriden Brief kommt das Fernmeldegeheimnis hinzu.
„Der konventionelle Brief- und Pakettransport durch einen Postdienstleister wird datenschutzrechtlich üblicherweise als eine Datenverarbeitung durch einen eigenständigen Verantwortlichen angesehen“, fasst der BayLfD zusammen. Der „Inhalt der Postsendung“ ist „durch das Postgeheimnis geschützt“.
Beim Versand von Hybridbriefen kommt zum Postgeheimnis noch das Fernmeldegeheimnis hinzu. Denn zwischen dem Erstellen des Briefs und dem Versand der Postsache muss der Absender die Daten erst elektronisch an den Dienstleister übertragen – was rechtliche Besonderheiten bereithält.
„Bayerischen öffentlichen Stellen ist es grundsätzlich gestattet, (…) Hybridbriefe zu versenden“, betont der Bayerische Landesbeauftragte für den Datenschutz in seiner Kurz-Information. Vor dem Versand müssen sie jedoch folgende Punkte prüfen und beachten:
Ein Teil der Dienstleistung eines Hybridbrief-Anbieters wird typischerweise im Rahmen einer Auftragsverarbeitung erbracht. Die öffentliche Stelle als Auftraggeber muss „sicherstellen, dass die gesetzlichen Vorgaben für eine Auftragsverarbeitung eingehalten werden.“
Dafür muss sie einen Vertrag mit dem Auftragsverarbeiter abschließen, der den Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO) genügt, denn „Defizite können hier nicht nur datenschutzrechtliche, sondern (…) auch strafrechtliche Konsequenzen haben“, so der BayLfD.
In einigen sensiblen Bereichen – etwa im Melderecht, Steuerrecht, Sozialrecht und Personaldatenschutzrecht – gelten laut BayLfD Sonderregelungen für Auftragsverarbeitungen. Die öffentlichen Stellen müssen auch diese beachten und umsetzen.
Der datenschutzrechtlich Verantwortliche des Absenders muss im Rahmen seiner Informationspflichten nach Artikel 13 und 14 der Europäischen Datenschutz-Grundverordnung (DSGVO) auf den jeweiligen Postdienstleister und/oder dessen Kooperationspartner als Empfänger von personenbezogenen Daten hinweisen.
Darüber hinaus muss der datenschutzrechtlich Verantwortliche ein angemessenes Schutzniveau für den hybriden Briefversand gewährleisten und dabei vor allem auf diese drei Punkte achten:
Mitarbeiterschulung Grundlagen des Datenschutzes
Von Fragen wie „Was sind personenbezogenen Daten?“, „Was bedeutet Datenverarbeitung“ und „Wann ist eine Datenverarbeitung zulässig?“ über die Prinzipien des richtigen Verhaltens bei Auskunftsersuchen oder im Homeoffice lernen Ihre Kolleginnen und Kollegen alle wesentlichen Grundlagen kennen.
Der Kurs zeigt den Datenschutz im Unternehmensalltag und die Fallstricke, die dort lauern. Übungen, viel Interaktion und ein Abschlusstest runden die Schulung ab.
