Sehr geehrte ***************,

vielen Dank für die Anhörung vom 20.12.2024 und die Fristverlängerung vom 27.01.2025.

Lassen Sie mich zunächst ein paar Worte zur Identifikation Betroffener bei der Deutschen Post verlieren. In der Email vom 09.03.2023 10:15 schreibt ********** „Ihre komplette postalische Anschrift ist grundsätzlich das Suchkriterium für Ihre personenbezogenen Daten bei der Deutsche Post AG und/oder der DHL Paket GmbH. Um prüfen zu können, ob, bzw. welche, Daten zu Ihrer Person bei der Deutschen Post AG und/oder der DHL Paket GmbH gespeichert sind, ist die Angabe Ihrer kompletten postalische Adresse notwendig.“

Das „grundsätzlich“ muss ganz viele Ausnahmen haben, so dass es nicht einmal bei Juristen zum Einsatz kommen dürfte, schon gar nicht im normalen Sprachgebrauch. Die Deutsche Post gibt das in der neuesten Auskunft vom 30.01.2025 (Anlage 2025_B-12) auch zu, in dem Sie dort Emailadressen aufzählt, sogar ausschließlich. Aber auch das ist falsch und unvollständig. Aus meinen Beobachtungen und den Auskunftsschreiben der Deutschen Post kann ich folgende teilweise unvollständigen Identifikatoren ableiten:

•            Anschrift (Email vom 09.03.2023 10:15, in Ihrer Akte enthalten)

•            Emailadressen (Auskunft vom 30.01.2025, Seite 1)

•            Sendungsnummern (Auskunft vom 30.01.2025, Seite 3),

•            Kundennummer, Postnummer (Auskunft vom 30.01.2025, Seite 2),

•            Kreditoren- oder Debitorennummer (vgl. Hinweis auf Zahlungen), Aktionärsnummer (Auskunft vom 30.01.2025, Seite 5),

•            Aktenzeichen BfDI, andere Aufsichten und ggfs. Gerichte etc.

Die Liste erhebt selbstverständlich keinen Anspruch auf Vollständigkeit.

Nur beim letzten Punkt – und nur soweit die BfDI die Identität von Beschwerdeführern oder Antragsstellern nicht nennt und im Beschwerdefall mehrere inhaltlich gleichartige Beschwerden gibt – halte ich die Voraussetzungen von Artikel 11 für gegeben. Bei allen Identifikatoren besteht in unterschiedlichem Ausmaß die Möglichkeit, dass die Zuordnung zu Betroffenen nicht eindeutig (z.B. Namensgleichheit Vater/Sohn, zufällig zwei nicht verwandte Hans Müller unter der gleichen Adresse, Verwendung einer Family-Emailadresse) oder (zunächst) nicht bekannt ist. Nach Artikel 12 Abs. 1 und 2 und ggfs. nach Artikel 11 Abs. 2 DSGVO ist es die Aufgabe der Verantwortlichen, das zu klären, und das m.E. vor der Auskunft und nicht erst auf Rügen oder Beschwerden hin.

Ein Beispiel für Artikel 11 Daten sind übrigens die klassischen Serverlogs, in denen u.a. IP-Adresse und URL der Webseite gespeichert werden. Dem Verantwortlichen ist es normalerweise nicht möglich, eindeutig von der IP-Adresse auf die Identität des Betroffenen zu schließen, es sei denn, es werden auch noch Cookies, Fingerprints, Authentifizierungsdaten, oder andere zur Identifikation geeigneten Daten erhoben, korreliert oder gespeichert, und genau das ist bei der Sendungsverfolgung sehr wahrscheinlich. Die Angaben dazu auf http://dhl.de/de/toolbar/footer/datenschutz.html sind wenig konkret.

Wenn die Deutsche Post ein vollständiges Verfahrensverzeichnis hätte, dann wäre es ihr im Hinblick auf Artikel 30 Abs. 1 lit. c DSGVO selbst aufgefallen, dass sie sehr unterschiedliche Identifikatoren verwendet (auch verwenden muss), und würde Ihre Informationen und Auskünfte – die weitgehend übereinstimmenden Aufzählungen der Artikel 13, 14, 15, und 30 hätte sich der Gesetzgeber auch sparen können – entsprechend strukturieren und Betroffenen auch frühzeitig erläutern können, wann und warum weitere Identifikatoren erforderlich sind – oder eben auch nicht. Der Deutschen Post wäre dann möglicherweise auch aufgefallen, dass

•            die Serverlogs der Webseite zur Sendungsverfolgung auch zu beauskunften wären,

•            das Existieren einer Postnummer eine Zuordnung oder Überprüfung von Emailadressen und Anschriften erlaubt,

•            ein Nachsendeauftrag (mein Nachsendeauftrag vom 12.10.2020 war in der Auskunft vom 06.03.2023 enthalten) eine Zuordnung von alten und neuen Anschriften ermöglicht.

Im Folgenden werde ich auf die Punkte Ihrer Anhörung in der dort verwendeten Reihenfolge eingehen und dabei die Punkte auslassen, in denen Sie beabsichtigen, der Beschwerde stattgeben.

A.

c) Sendungsdaten - auch C. c)

Wie oben schon angedeutet, die Sendungsnummer ist ein (direkt) personenbezogenes Merkmal sowohl von Sender als auch Empfänger. Dass man zur Sendungsnummer in der Sendungsverfolgung nach Eingabe der Postleitzahl den Empfänger angezeigt bekommt ist wahrscheinlich bekannt, und das nicht nur während der Zustellung sondern darüber hinaus (siehe Screendumps). Dass man eine Datenbank nicht in beiden Richtungen durchsuchen kann, wie die Post in Ihrer Stellungnahme behauptet, ist unglaubwürdig, und zusammen mit der bekannten Postleitzahl aus meiner Anschrift sehe ich keinen Hinderungsgrund für eine Auskunft. Die Post hat jedenfalls nicht konkret dargestellt, warum eine Auskunft von Sendungsinformationen unmöglich sein sollte – wäre im Falle der Unmöglichkeit der Auskunft dazu aber nach den Artikeln 11 Abs. 2 und 12 Abs. 2 Satz 2 DSGVO verpflichtet gewesen. Denn die Post schreibt selbst, dass mit der Sendungsnummer an die Daten heranzukommen ist und damit ggfs. ein Artikel 11 Abs. 2 Fall vorliegt. Der in Artikel 11 Abs. 1 ausdrücklich geforderte Nachweis ist jedenfalls nicht erbracht, und ergibt sich auch nicht aus dem mir vorliegenden Schreiben vom 21.03.2024 (Nr. 4) der Deutschen Post an Sie. Ich kann – und ich verstehe eine Menge von Datenverarbeitung – diesen Ausführungen nicht entnehmen, warum die Auskunft unmöglich sein soll, allenfalls kann ich den Ausführungen entnehmen, dass man die Verarbeitung einschränkt und sie nicht beauskunften will. Auf meine Rückfrage haben Sie auch keinen anderen Nachweis=Beweis der Unmöglichkeit geliefert.

Auch §64 Abs. 3 PostG besagt nichts anderes, oder jedenfalls nicht, wenn man den Anwendungsvorrang der DSGVO vor dem nationalen Gesetz berücksichtigt. Die Vorschriften der DSGVO zu den Betroffenenrechten haben Vorrang vor §64 Abs. 3 Satz 3 PostG, jedenfalls solange das Gesetz nicht die Voraussetzungen von Artikel 23 DSGVO erfüllt, und ich kann eine entsprechende Rechtfertigung weder dem PostG noch der Gesetzesbegründung entnehmen (siehe auch Gramlich, Kreul: "Novellierung des Post-Datenschutzes in Deutschland", DuD 2020, 469-474 (471, 2.2.2)). Die Beweispflicht für die Rechtmäßigkeit der Auskunftsverweigerung trägt nach Artikel 5 Abs. 2 DSGVO die Verantwortliche, also die Deutsche Post.

Insofern liegt meines Erachtens entweder ein Verstoß gegen Artikel 15 oder Artikel 11/12 vor, und Sie konnten das jedenfalls bisher nicht entkräften.

d) Kommunikation Post/BfDI zu 22-243 II#3748 (Einwilligung unverschlüsselte Emails).

Auch ohne Namensnennung war die Zuordnung für die Deutsche Post möglich und daher auch durchzuführen. Oder liegen der Deutschen Post oder der BfDI so viele Beschwerden zu diesem Thema vor, dass nicht aus der Kommunikation mit der BfDI ein Zusammenhang zur vorhergehende Beschwerde bei der Verantwortlichen hergestellt werden konnte? Zumal meine Beschwerde bei der BfDI der Deutschen Post zeitgleich zusammen mit der BfDI mit Email vom 19.11.2021 12:35 zuging? Das klingt nicht glaubwürdig. Von „anonymisiert“ kann jedenfalls keine Rede sein. Sollten Restzweifel an der Identität des Beschwerdeführers geblieben sein, dann hätte die Deutsche Post diese wie oben zur Identifikation ausräumen können und müssen, und nicht eine unvollständige Auskunft erteilen dürfen. Auch hier liegt damit ein Verstoß gegen Artikel 15, ggfs. auch gegen Artikel 12 vor.

In diesem Zusammenhang darf ich auch auf die Auskunft vom 06.03.2023 Seite 5 hinweisen. Dort erwähnt die Deutsche Post meine gerade genannte Email und Antworten, und bestätigt die Speicherung, aber ohne sie zu beauskunften oder Angaben nach Art. 15 Abs. 1 zu machen.

f) ich akzeptiere, dass ein Auftragsverarbeiter keine Betroffenenrechte erfüllen muss. Allerdings hat die Telekom die bei der Post vorhandenen Daten nie beauskunftet und Ihre Kollegen haben diesen Datenschutzverstoß (bisher) nicht rechtskräftig festgestellt. Die Telekom hat sogar behauptet, die Deutsche Post sei verantwortlich. Auch stützt die Email der Deutschen Post (Anlage „Ihr Coupon zur Identifizierung…“) diese Behauptung, denn die Email wird von der Deutschen Post und mit Datenschutzerklärung der Deutschen Post verschickt – das müsste bei Auftragsverarbeitung konsequenter Weise eine Adresse und Datenschutzerklärung der Telekom sein. Die Deutsche Post muss sich als zumindest eine Mitschuld an der Verwirrung anrechnen lassen, die man auch als Verstoß gegen Artikel 13/14 DSGVO einordnen kann.

Anbei ein ganz neuer Mailwechsel mit der Telekom - auch der deutet nicht auf ein Auftragsverarbeitungsverhältnis hin. Ich darf Sie auffordern zu prüfen, ob wirklich ein Auftragsverarbeitungsvertrag vorliegt oder ob nicht Anhaltspunkte vorliegen, dass die Deutsche Post verantwortlich für diese Verarbeitung ist.

B.

a) + g)

Hier darf ich auf meine einleitenden Ausführungen zur Identifizierung oben verweisen und feststellen, dass die Deutsche Post hat zu keinem Zeitpunkt belastbare Angaben dazu gemacht, wie bei Betroffene identifiziert werden.

Wie die Deutsche Post die Emailadressen ermittelt hat ist mir unbekannt, die Auskunft damit intransparent, so dass zumindest ein Verstoß gegen Artikel 12 Abs. 1 DSGVO vorliegt. Jedenfalls bei Emailadressen ist es technisch völlig unproblematisch, in Suchmasken auch die Eingabe von Wildcards oder sogar regulären Ausdrücken zu ermöglichen, so dass Domain- und auch Subdomainangaben problemlos unterstützt werden können, mithin m.E. kein Fall von Artikel 11 DSGVO vorliegt. Ich bin ganz sicher nicht der einzige Betroffene, der eine Domäne mit Aliasen, CatchAll oder Subaddressing nach dem Standard RFC 5233 verwendet. Und da ich selbst Verantwortlicher und Softwareentwickler bin: keine Wildcards zu erlauben und ggfs. einen geeigneten Index vorzusehen ist in einem Informationssystem als Konstruktionsfehler aufzufassen.

Wenn die Deutsche Post keine Suche nach Wildcards umsetzen kann, dann hätte sie im Vorfeld der Auskunft nachfragen können, welche konkreten Emailadressen zum Einsatz gekommen sein könnten. Dass sie es nicht getan hat, verstößt m.E. wenn nicht gegen Artikel 15 dann gegen das Transparenzgebot in Artikel 5 und 12 DSGVO. Die BfDI selbst schafft es übrigens trotz einer Vielzahl von verwendeten Emailadressen eine vollständige Auskunft zu erteilen, vermutlich weil die BfDI sich irgendwann Gedanken gemacht hat, wie man Betroffene verfahrensübergreifend identifizieren kann.

h) Da interpretieren Sie meine Kritik zu eng. Wenn Sie sich z.B. das Auskunftsschreiben vom 17.05.2024 ansehen, dann ist das ab Seite 3 unten eine unstrukturierte Textwüste, der ich eigentlich gar nichts entnehmen kann, außer – Seite 6 –  dass manche Daten wie z.B. Bewerbungen, Zahlungen oder unerwähnt Rechnungen fehlen, ohne dass dafür eine Begründung genannt wird. Die Phrase „wir recherchieren gerne“ halte ich für ein Eingeständnis, dass die Auskunft unvollständig ist, und das obwohl ich eindeutig eine vollständige Auskunft eingefordert habe. Dass Emails fehlen habe ich unter A. d) und B. a) ausgeführt. Zumindest im Zusammenhang mit meinem Nachsendeauftrag habe ich eine Auftragsbestätigung, also einen Handelsbrief, und eine Rechnung erhalten. Warum das alles trotz Speicherung nicht beauskunftet wurden erschließt sich mir nicht. Ob §34 BDSG unionsrechtskonform ist brauchen wir gar nicht diskutieren, denn schon die Anforderungen aus §34 Abs. 1 Nr. 2 und Abs. 2 Satz 2 sind nicht erfüllt. Das Abwechseln im Text zwischen archivieren und löschen soll davon wohl ablenken.

Es bietet sich grundsätzlich an, die Auskunft nach dem Verarbeitungsverzeichnis bzw. der Auswahl davon, die für die Auskunft des konkreten Betroffenen relevant ist, zu strukturieren, wenn man denn eines hätte.

i)  anonym und Internetmarke.

Schön, dass wir darin übereinstimmen, dass eine Emailadresse nicht anonym ist. Auch hier darf ich auf meine Ausführungen ganz oben verweisen und feststellen, dass diese Ausführungen der Deutschen Post zumindest einen Verstoß gegen Artikel 12 DSGVO darstellen, unabhängig davon, ob man den Verstoß im Rahmen des Beschwerdeverfahrens vielleicht abgestellt hat. Ob das tatsächlich der Fall ist kann ich nicht beurteilen, denn dieser Abschnitt fehlt in der neuesten Auskunft vollständig, und ist daher weder nach Artikel 12 noch 15 ausreichend.

k) Zuordnung von Datenkopie

Die Anforderung, Teile der Kopie einem Verarbeitungszweck zuzuordnen steht zwar nicht ausdrücklich in Artikel 15 Abs. 3, ergibt sich aber m.E. daraus, dass die Transparenzanforderung aus Artikel 12 Abs. 1 DSGVO für alle Betroffenenrechte gilt sowie aus Erwägungsgrund 63 „um sich der Verarbeitung bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können“ – ohne den Zweck und die damit verbundene Rechtsgrundlage muss ein Betroffener möglicherweise raten, wofür bestimmte Teile der Kopie erforderlich sind und damit auch, auf Basis welcher Rechtsgrundlage sie verarbeitet werden. Woraus schließen Sie das Gegenteil? Jedenfalls ist die Datenkopie der Deutschen Post in diesem Punkt besonders schlecht, denn man könnte die passenden Anlagen ja bei den Erläuterungen nach Artikel 15 Abs. 1 einsortieren. Warum das nur für einige Stammdaten und nicht für alle Daten gemacht wird erschließt sich mir nicht. Auch hier bietet es sich natürlich an, die Auskunft nach dem Verfahrensverzeichnis zu strukturieren.

C.

a) Verzeichnis von Verarbeitungstätigkeiten aka Verfahrensverzeichnis

Ich darf wie schon in vorhergehenden Stellungnahmen aus eindeutigen Kommentaren zitieren: „Art. 30 konkretisiert die allg. Rechenschaftspflicht, welche Art. 5 Abs. 2 als Grundprinzip des unionalen Datenschutzrechts verankert. … Die meisten der Angaben, die Art. 30 den Pflichtigen abverlangt, korrespondieren mit einem Auskunftsrecht des Betroffenen (Art. 15 Abs. 1 Hs. 2 und Abs. 2).“ (Martini in Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, DSGVO Art. 30 Rn. 1 S.1). „So lässt sich ein Teil der Informationen bereits aus dem zu führenden Verarbeitungsverzeichnis gem. Art. 30 DS–GVO entnehmen.“ (Menz in Katko, Checklisten zur Datenschutz-Grundverordnung (DS-GVO), 2. Auflage 2023, §6 Auskunft Rn. 41) oder im Umkehrschluss, eine unvollständige Auskunft weist auf ein fehlendes oder unvollständiges Verarbeitungsverzeichnis hin. „Diese Nachweispflicht hat insbesondere Bedeutung im Hinblick auf Überprüfungen durch die Aufsichtsbehörden, die nach Art. 58 Abs. 1 lit. a auch die Befugnis haben, den Verantwortlichen zur Bereitstellung von Informationen anzuweisen.“ (Herbst in Kühling/Buchner, DS-GVO BDSG, 4. Auflage 2024, DSGVO Art. 5 Rn. 79). Ohne ein vollständiges Verfahrensverzeichnis ist es einem Verantwortlichen unmöglich, konsistent alle Verarbeitungsvorgänge zu beauskunften. Ich bin selbst Verantwortlicher und als Datenschutzbeauftragter tätig, daher kann ich das beurteilen, und ich empfehle auch grundsätzlich in das Verfahrensverzeichnis aufzunehmen, wie betroffene Personen identifiziert werden können.

Für mich ist nicht nachvollziehbar, wie Sie meiner Behauptung widersprechen können, anstelle sie nach Artikel 30 Abs. 4 DSGVO zu überprüfen. Ich sehe darin auch einen Verstoß gegen §24 VwVfG durch Sie. Dass die Deutsche Post auch mir das Verfahrensverzeichnis zur Verfügung stellen muss ergibt sich aus Artikel 5 Abs. 2 DSGVO, wobei das EuGH und Bundesverwaltungsgericht bisher nur für den Streitfall bestätigt haben. Soll heißen ich muss erst Klage einreichen? Tun Sie damit den Verantwortlichen einen Gefallen? Auf meine Ausführungen oben darf ich erneut hinweisen, aber hier noch ergänzen, dass ********** in der internen Kommunikation (Beispiel: Rückmeldung dhl) nicht abstrakte Angaben abfragen müsste, die genau so auch im Verzeichnis stehen müssten.

Wenn ein Verzeichnis existiert, dann ist es garantiert unvollständig. Anders ist das chaotische Vorgehen und Weglassen von Daten in allen Auskünften nicht zu erklären.

c) siehe A. c)

d) interne Kommunikation

Interne Kommunikation musste ich erst ausdrücklich anfordern und fehlt in der neuesten Auskunft weitestgehend (nur 2 von vorher 15 Rückmeldungen, eine Rückmeldung anbei, allerdings fehlt die dort erwähnte Anlage oder ich kann sie nicht zuordnen). Auch hier ist es m.E. Ihre Pflicht, den Datenschutzverstoß festzustellen, damit das nicht von Auskunft zu Auskunft anders gehandhabt wird. Wobei es sinnvoller wäre, die fehlerträchtige interne Kommunikation durch ein Auskunftssystem abzulösen.

e) auch hier muss ich Ihnen widersprechen: in der Anfrage Ihrer Kollegin Frau Seidl an die Deutsche Post vom 1.8.2024 (anbei) zitiert Frau Seidl aus meiner Anfrage wörtlich. Nicht nur das Aktenzeichen sondern auch dieses Zitat stellen sicher unstrittig personenbezogene Daten von mir dar. Das ist es auch bei einem anderen Verantwortlichen, allenfalls kann dieser ohne zusätzliche Angaben den Betroffenen nicht identifizieren, daher zieht allenfalls Artikel 11 DSGVO – erneut siehe oben. Und dann sind diese personenbezogenen Daten auch in ihrem Kontext, sprich dem vollständigen Dokument zu beauskunften, wobei selbstverständlich ggfs. wegen Artikel 15 Abs. 4 teilweise geschwärzt werden darf.

Zu Ihren Schlussbemerkungen und allen Punkten, die ich ausgelassen habe weil Sie meiner Beschwerde in diesen Punkten stattgeben wollen: Sie haben m.W. zwar einen großen Ermessensspielraum hinsichtlich der zu ergreifender Sanktionen, nicht aber hinsichtlich der Feststellung eines Datenschutzverstoßes im Beschwerdeverfahren. Die Feststellung eines Datenschutzverstoßes als Verwaltungsakt nach §41 VwVfG  ist m.E. zwingend, das Unterlassen würde sowohl die Durchsetzung der DSGVO und des damit angestrebten einheitlichen Datenschutzniveaus als auch den Rechtschutz beider Seiten nach Artikel 77/78 DSGVO untergraben.

Ich darf Sie um eine Eingangsbestätigung bitten. Für Rückfragen stehe ich Ihnen selbstverständlich zur Verfügung.

Vielen Dank und viele Grüße

Joachim Lindenberg