Im Zuge der fortschreitenden Digitalisierung entstehen neue, ganz oder teilweise elektronische Postdienstleistungen. Dies gilt auch für den Bereich der Briefübermittlung. Bayerische öffentliche – vor allem staatliche und kommunale – Stellen können insbesondere Angebote sogenannter Hybridbriefe nutzen. Hybridbriefe verbinden elektronische und papierförmige Kommunikation. Das Dokument wird vom Absender elektronisch verfasst und mitsamt den notwendigen Adressdaten elektronisch an einen Postdienstleister oder einen mit diesem kooperierenden Dienstleister übermittelt. Dort wird der Brief ausgedruckt, kuvertiert und frankiert; anschließend wird er durch den Postdienstleister dem Empfänger analog zugeleitet.
Den Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) erreichen immer wieder Anfragen bayerischer, insbesondere kommunaler, öffentlicher Stellen, die den Hybridbrief gerade für Massenverwaltungsverfahren nutzen möchten, jedoch unsicher sind, was dabei datenschutzrechtlich zu beachten ist. In seinem unten vermerkten 32. Tätigkeitsbericht 2022 vom 14.06.2023 zeigt der BayLfD unter Nr. 2.2 auf, welche Rolle das Datenschutzrecht auf den einzelnen Abschnitten des Weges spielt, den ein Hybridbrief von seinem Absender zum Empfänger nimmt (Nrn. 1 bis 3). Er geht auf das Verhältnis zwischen dem Absender und „seinem“ Postdienstleister ein (Nr. 4) und gibt Hinweise zur Gewährleistung eines angemessenen Schutzniveaus während des Kommunikationsprozesses (Nr. 5). Im Einzelnen führt der BayLfD Folgendes aus:
1. Verarbeitung personenbezogener Daten beim Hybridbrief
„Briefe enthalten mit obligatorischen Angaben der Absender- und Empfängeradresse, aber auch inhaltlich (,im Umschlag‘) regelmäßig eine Vielzahl personenbezogener Daten. Beim herkömmlichen Briefversand verfasst und verschickt eine bayerische öffentliche Stelle den Brief und verarbeitet dabei die personenbezogenen Daten aufgrund der jeweiligen – gegebenenfalls fachgesetzlichen – Rechtsgrundlagen. Der konventionelle Brief- und Pakettransport durch einen Postdienstleister wird datenschutzrechtlich üblicherweise als eine Datenverarbeitung durch einen eigenständigen Verantwortlichen angesehen. Dahinter steht die Überlegung, dass die Postdienstleistung im Kern keine Verarbeitung personenbezogener Daten zum Gegenstand habe, sondern diese Verarbeitung nur eine unvermeidliche ,Begleiterscheinung‘ sei, und der Postdienstleister daher nicht im Auftrag und nach Weisung Daten verarbeite, wie dies bei der Auftragsverarbeitung der Fall sei.
Der Postdienstleister nimmt zum Zweck der Zustellung von den Adressdaten Kenntnis, grundsätzlich jedoch nicht vom Inhalt der Postsendung, der durch das Postgeheimnis geschützt ist. Postdienstleistung ist gemäß § 4 Nr. 1 Postgesetz (PostG) die gewerbsmäßige Sendungsbeförderung. Als eigenständiger Verantwortlicher muss der Postdienstleister die Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage nach Art. 6 Abs. 1 Unterabs. 1 DSGVO stützen können. Gesetzliche Verarbeitungsbefugnisse, die sich auf die Verarbeitung der Adressdaten zum Zwecke der ordnungsgemäßen Zustellung von Postsendungen beziehen, enthält § 41a PostG.
Der Versand von Hybridbriefen unterscheidet sich vom klassischen Briefversand durch seine Mehrstufigkeit. Das Dokument wird zunächst vom Absender elektronisch verfasst, dann aber nicht selbstständig ausgedruckt, kuvertiert und abgeschickt, sondern elektronisch an den Postdienstleister oder ein mit diesem kooperierendes Unternehmen übermittelt. Dieser Datentransfer ist der anknüpfenden klassischen Briefzustellung vorgelagert. Er unterliegt – soweit im Rahmen einer Telekommunikationsdienstleistung erbracht – dem Fernmeldegeheimnis, während die anschließende Beförderung des fertiggestellten Briefs als Postdienstleistung – wie bei der klassischen Briefzustellung – dem Postgeheimnis unterfällt.
Die Besonderheit des Hybridbrief-Versands liegt also darin, dass die eigentliche Erstellung des papierförmigen Briefs aus den übermittelten elektronischen Daten als (zusätzliche) Dienstleistung an den Postdienstleister oder ein kooperierendes Unternehmen ausgelagert wird. Soweit es bei Hybridbriefen zum Transport des fertiggestellten Briefs kommt, ergeben sich keine Unterschiede hinsichtlich der datenschutzrechtlichen Verantwortlichkeit im Vergleich zum klassischen Brieftransport: Der fertiggestellte Hybridbrief wird durch den Postdienstleister, der als eigenständiger Verantwortlicher fungiert, zugestellt.
Die eingeschobene Phase der elektronischen Datenübertragung und Brieferstellung hält auch rechtliche Besonderheiten bereit:
Hier wird die – wenngleich automatisierte (vgl. Art. 4 Nr. 2 DSGVO) – Verarbeitung von Inhaltsdaten Gegenstand der Dienstleistung. Für diese Verarbeitung personenbezogener Daten durch den Postdienstleister oder ein mit diesem kooperierendes Unternehmen existiert keine gesetzliche Verarbeitungsbefugnis. Die Leistung kann allerdings im Rahmen eines Auftragsverarbeitungs-Verhältnisses (Art. 4 Nr. 8, Art. 28 DSGVO) für den Absender erbracht werden. Aufgrund der Privilegierung der Auftragsverarbeitung – die Verarbeitung des Auftragsverarbeiters leitet sich letztlich von der Rechtsgrundlage des Verantwortlichen ab – bedarf der jeweilige Dienstleister für diese Phase des Hybridbriefversands keiner eigenständigen Rechtsgrundlage. Die bayerische öffentliche Stelle als Auftraggeber muss dann sicherstellen, dass die gesetzlichen Vorgaben für eine Auftragsverarbeitung eingehalten werden.
Abzugrenzen vom Hybridbrief-Versand ist die medienbruchfreie und somit durchgängig elektronische Briefübermittlung, wie sie beispielweise im De-Mail- Gesetz (DeMailG) geregelt ist.
Ob und zu welchen Bedingungen der Einsatz von Hybridbriefen in Betracht kommt, ist vom Verantwortlichen unter Beachtung der nachstehenden Ausführungen zu entscheiden.“
2. Normative Übermittlungsregelungen
„Existieren für die betrachtete Übermittlung – von eventuell vorhandenen, spezialgesetzlichen Regelungen zu einer Auftragsverarbeitung abgesehen (dazu Nr. 2.2.4) – einschlägige Übermittlungsvorschriften, etwa Regelungen zur elektronischen Kommunikation, so ist deren Einhaltung vorab zu prüfen. Zu berücksichtigen sind insbesondere Anforderungen an die Form der zu übermittelnden Dokumente oder an Übermittlungsmodalitäten.
Da Hybridbriefe letztlich ausgedruckt werden, kommen sie jedenfalls dann nicht in Betracht, wenn auch der herkömmliche Postversand ausscheidet, also wenn etwa gesetzlich eine rein elektronische Kommunikation geboten ist, vgl. etwa Art. 20 Abs. 3 Bayerisches Digitalgesetz. Gesetzliche Vorgaben, elektronische Kommunikationsformen zu nutzen (vgl. etwa die ,Soll‘-Vorschrift des § 67 Abs. 1 Fünftes Buch Sozialgesetzbuch – Gesetzliche Krankenversicherung –), sollten daher nicht als Aufforderung zur Nutzung von Hybridbriefverfahren missverstanden werden. Nicht abschließend geklärt ist, ob Hybridbriefe geeignet sind, verwaltungsverfahrensrechtliche Anforderungen an die Schriftform zu erfüllen.“
[…]Den vollständigen Beitrag lesen Sie in der Fundstelle Bayern Heft 01/2024, Rn. 2.
