Von: <REFERAT22@bfdi.bund.de>
Gesendet: 14.02.2025 14:32
An: 'Joachim Lindenberg' <************@lindenberg.one>
Betreff: AW: Stellungnahme zu BfDI 22-243 II#3947
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
(BfDI)
Az.: 22-243 II#3947
Sehr geehrter Herr Lindenberg,
wunschgemäß bestätige ich hiermit den Eingang Ihrer E-Mail.
Mit freundlichen Grüßen
im Auftrag
*********************
********************************************************************************
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
(BfDI)
Referat 22 -Postdienste und Wirtschaftsverwaltung-
Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-****
E-Mail: referat22@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzerklärung der BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.
Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Freitag, 14. Februar 2025 12:53
An: Referat 22 Postfach <REFERAT22@bfdi.bund.de>
Betreff: Stellungnahme zu BfDI 22-243 II#3947
Sehr geehrte ***************,
vielen Dank für die Anhörung vom 20.12.2024 und die Fristverlängerung vom
27.01.2025.
Lassen Sie mich zunächst ein paar Worte zur Identifikation Betroffener bei
der Deutschen Post verlieren. In der Email vom 09.03.2023 10:15 schreibt
********** „Ihre komplette postalische Anschrift ist grundsätzlich das
Suchkriterium für Ihre personenbezogenen Daten bei der Deutsche Post AG
und/oder der DHL Paket GmbH. Um prüfen zu können, ob, bzw. welche, Daten zu
Ihrer Person bei der Deutschen Post AG und/oder der DHL Paket GmbH
gespeichert sind, ist die Angabe Ihrer kompletten postalische Adresse
notwendig.“
Das „grundsätzlich“ muss ganz viele Ausnahmen haben, so dass es nicht einmal
bei Juristen zum Einsatz kommen dürfte, schon gar nicht im normalen
Sprachgebrauch. Die Deutsche Post gibt das in der neuesten Auskunft vom
30.01.2025 (Anlage 2025_B-12) auch zu, in dem Sie dort Emailadressen
aufzählt, sogar ausschließlich. Aber auch das ist falsch und unvollständig.
Aus meinen Beobachtungen und den Auskunftsschreiben der Deutschen Post kann
ich folgende teilweise unvollständigen Identifikatoren ableiten:
• Anschrift (Email vom 09.03.2023 10:15, in Ihrer Akte enthalten)
• Emailadressen (Auskunft vom 30.01.2025, Seite 1)
• Sendungsnummern (Auskunft vom 30.01.2025, Seite 3),
• Kundennummer, Postnummer (Auskunft vom 30.01.2025, Seite 2),
• Kreditoren- oder Debitorennummer (vgl. Hinweis auf Zahlungen),
Aktionärsnummer (Auskunft vom 30.01.2025, Seite 5),
• Aktenzeichen BfDI, andere Aufsichten und ggfs. Gerichte etc.
Die Liste erhebt selbstverständlich keinen Anspruch auf Vollständigkeit.
Nur beim letzten Punkt – und nur soweit die BfDI die Identität von
Beschwerdeführern oder Antragsstellern nicht nennt und im Beschwerdefall
mehrere inhaltlich gleichartige Beschwerden gibt – halte ich die
Voraussetzungen von Artikel 11 für gegeben. Bei allen Identifikatoren
besteht in unterschiedlichem Ausmaß die Möglichkeit, dass die Zuordnung zu
Betroffenen nicht eindeutig (z.B. Namensgleichheit Vater/Sohn, zufällig zwei
nicht verwandte Hans Müller unter der gleichen Adresse, Verwendung einer
Family-Emailadresse) oder (zunächst) nicht bekannt ist. Nach Artikel 12 Abs.
1 und 2 und ggfs. nach Artikel 11 Abs. 2 DSGVO ist es die Aufgabe der
Verantwortlichen, das zu klären, und das m.E. vor der Auskunft und nicht
erst auf Rügen oder Beschwerden hin.
Ein Beispiel für Artikel 11 Daten sind übrigens die klassischen Serverlogs,
in denen u.a. IP-Adresse und URL der Webseite gespeichert werden. Dem
Verantwortlichen ist es normalerweise nicht möglich, eindeutig von der
IP-Adresse auf die Identität des Betroffenen zu schließen, es sei denn, es
werden auch noch Cookies, Fingerprints, Authentifizierungsdaten, oder andere
zur Identifikation geeigneten Daten erhoben, korreliert oder gespeichert,
und genau das ist bei der Sendungsverfolgung sehr wahrscheinlich. Die
Angaben dazu auf http://dhl.de/de/toolbar/footer/datenschutz.html sind wenig
konkret.
Wenn die Deutsche Post ein vollständiges Verfahrensverzeichnis hätte, dann
wäre es ihr im Hinblick auf Artikel 30 Abs. 1 lit. c DSGVO selbst
aufgefallen, dass sie sehr unterschiedliche Identifikatoren verwendet (auch
verwenden muss), und würde Ihre Informationen und Auskünfte – die weitgehend
übereinstimmenden Aufzählungen der Artikel 13, 14, 15, und 30 hätte sich der
Gesetzgeber auch sparen können – entsprechend strukturieren und Betroffenen
auch frühzeitig erläutern können, wann und warum weitere Identifikatoren
erforderlich sind – oder eben auch nicht. Der Deutschen Post wäre dann
möglicherweise auch aufgefallen, dass
• die Serverlogs der Webseite zur Sendungsverfolgung auch zu
beauskunften wären,
• das Existieren einer Postnummer eine Zuordnung oder Überprüfung
von Emailadressen und Anschriften erlaubt,
• ein Nachsendeauftrag (mein Nachsendeauftrag vom 12.10.2020 war
in der Auskunft vom 06.03.2023 enthalten) eine Zuordnung von alten und neuen
Anschriften ermöglicht.
Im Folgenden werde ich auf die Punkte Ihrer Anhörung in der dort verwendeten
Reihenfolge eingehen und dabei die Punkte auslassen, in denen Sie
beabsichtigen, der Beschwerde stattgeben.
A.
c) Sendungsdaten - auch C. c)
Wie oben schon angedeutet, die Sendungsnummer ist ein (direkt)
personenbezogenes Merkmal sowohl von Sender als auch Empfänger. Dass man zur
Sendungsnummer in der Sendungsverfolgung nach Eingabe der Postleitzahl den
Empfänger angezeigt bekommt ist wahrscheinlich bekannt, und das nicht nur
während der Zustellung sondern darüber hinaus (siehe Screendumps). Dass man
eine Datenbank nicht in beiden Richtungen durchsuchen kann, wie die Post in
Ihrer Stellungnahme behauptet, ist unglaubwürdig, und zusammen mit der
bekannten Postleitzahl aus meiner Anschrift sehe ich keinen Hinderungsgrund
für eine Auskunft. Die Post hat jedenfalls nicht konkret dargestellt, warum
eine Auskunft von Sendungsinformationen unmöglich sein sollte – wäre im
Falle der Unmöglichkeit der Auskunft dazu aber nach den Artikeln 11 Abs. 2
und 12 Abs. 2 Satz 2 DSGVO verpflichtet gewesen. Denn die Post schreibt
selbst, dass mit der Sendungsnummer an die Daten heranzukommen ist und damit
ggfs. ein Artikel 11 Abs. 2 Fall vorliegt. Der in Artikel 11 Abs. 1
ausdrücklich geforderte Nachweis ist jedenfalls nicht erbracht, und ergibt
sich auch nicht aus dem mir vorliegenden Schreiben vom 21.03.2024 (Nr. 4)
der Deutschen Post an Sie. Ich kann – und ich verstehe eine Menge von
Datenverarbeitung – diesen Ausführungen nicht entnehmen, warum die Auskunft
unmöglich sein soll, allenfalls kann ich den Ausführungen entnehmen, dass
man die Verarbeitung einschränkt und sie nicht beauskunften will. Auf meine
Rückfrage haben Sie auch keinen anderen Nachweis=Beweis der Unmöglichkeit
geliefert.
Auch §64 Abs. 3 PostG besagt nichts anderes, oder jedenfalls nicht, wenn man
den Anwendungsvorrang der DSGVO vor dem nationalen Gesetz berücksichtigt.
Die Vorschriften der DSGVO zu den Betroffenenrechten haben Vorrang vor §64
Abs. 3 Satz 3 PostG, jedenfalls solange das Gesetz nicht die Voraussetzungen
von Artikel 23 DSGVO erfüllt, und ich kann eine entsprechende Rechtfertigung
weder dem PostG noch der Gesetzesbegründung entnehmen (siehe auch Gramlich,
Kreul: "Novellierung des Post-Datenschutzes in Deutschland", DuD 2020,
469-474 (471, 2.2.2)). Die Beweispflicht für die Rechtmäßigkeit der
Auskunftsverweigerung trägt nach Artikel 5 Abs. 2 DSGVO die Verantwortliche,
also die Deutsche Post.
Insofern liegt meines Erachtens entweder ein Verstoß gegen Artikel 15 oder
Artikel 11/12 vor, und Sie konnten das jedenfalls bisher nicht entkräften.
d) Kommunikation Post/BfDI zu 22-243 II#3748 (Einwilligung unverschlüsselte
Emails).
Auch ohne Namensnennung war die Zuordnung für die Deutsche Post möglich und
daher auch durchzuführen. Oder liegen der Deutschen Post oder der BfDI so
viele Beschwerden zu diesem Thema vor, dass nicht aus der Kommunikation mit
der BfDI ein Zusammenhang zur vorhergehende Beschwerde bei der
Verantwortlichen hergestellt werden konnte? Zumal meine Beschwerde bei der
BfDI der Deutschen Post zeitgleich zusammen mit der BfDI mit Email vom
19.11.2021 12:35 zuging? Das klingt nicht glaubwürdig. Von „anonymisiert“
kann jedenfalls keine Rede sein. Sollten Restzweifel an der Identität des
Beschwerdeführers geblieben sein, dann hätte die Deutsche Post diese wie
oben zur Identifikation ausräumen können und müssen, und nicht eine
unvollständige Auskunft erteilen dürfen. Auch hier liegt damit ein Verstoß
gegen Artikel 15, ggfs. auch gegen Artikel 12 vor.
In diesem Zusammenhang darf ich auch auf die Auskunft vom 06.03.2023 Seite 5
hinweisen. Dort erwähnt die Deutsche Post meine gerade genannte Email und
Antworten, und bestätigt die Speicherung, aber ohne sie zu beauskunften oder
Angaben nach Art. 15 Abs. 1 zu machen.
f) ich akzeptiere, dass ein Auftragsverarbeiter keine Betroffenenrechte
erfüllen muss. Allerdings hat die Telekom die bei der Post vorhandenen Daten
nie beauskunftet und Ihre Kollegen haben diesen Datenschutzverstoß (bisher)
nicht rechtskräftig festgestellt. Die Telekom hat sogar behauptet, die
Deutsche Post sei verantwortlich. Auch stützt die Email der Deutschen Post
(Anlage „Ihr Coupon zur Identifizierung…“) diese Behauptung, denn die Email
wird von der Deutschen Post und mit Datenschutzerklärung der Deutschen Post
verschickt – das müsste bei Auftragsverarbeitung konsequenter Weise eine
Adresse und Datenschutzerklärung der Telekom sein. Die Deutsche Post muss
sich als zumindest eine Mitschuld an der Verwirrung anrechnen lassen, die
man auch als Verstoß gegen Artikel 13/14 DSGVO einordnen kann.
Anbei ein ganz neuer Mailwechsel mit der Telekom - auch der deutet nicht auf
ein Auftragsverarbeitungsverhältnis hin. Ich darf Sie auffordern zu prüfen,
ob wirklich ein Auftragsverarbeitungsvertrag vorliegt oder ob nicht
Anhaltspunkte vorliegen, dass die Deutsche Post verantwortlich für diese
Verarbeitung ist.
B.
a) + g)
Hier darf ich auf meine einleitenden Ausführungen zur Identifizierung oben
verweisen und feststellen, dass die Deutsche Post hat zu keinem Zeitpunkt
belastbare Angaben dazu gemacht, wie bei Betroffene identifiziert werden.
Wie die Deutsche Post die Emailadressen ermittelt hat ist mir unbekannt, die
Auskunft damit intransparent, so dass zumindest ein Verstoß gegen Artikel 12
Abs. 1 DSGVO vorliegt. Jedenfalls bei Emailadressen ist es technisch völlig
unproblematisch, in Suchmasken auch die Eingabe von Wildcards oder sogar
regulären Ausdrücken zu ermöglichen, so dass Domain- und auch
Subdomainangaben problemlos unterstützt werden können, mithin m.E. kein Fall
von Artikel 11 DSGVO vorliegt. Ich bin ganz sicher nicht der einzige
Betroffene, der eine Domäne mit Aliasen, CatchAll oder Subaddressing nach
dem Standard RFC 5233 verwendet. Und da ich selbst Verantwortlicher und
Softwareentwickler bin: keine Wildcards zu erlauben und ggfs. einen
geeigneten Index vorzusehen ist in einem Informationssystem als
Konstruktionsfehler aufzufassen.
Wenn die Deutsche Post keine Suche nach Wildcards umsetzen kann, dann hätte
sie im Vorfeld der Auskunft nachfragen können, welche konkreten
Emailadressen zum Einsatz gekommen sein könnten. Dass sie es nicht getan
hat, verstößt m.E. wenn nicht gegen Artikel 15 dann gegen das
Transparenzgebot in Artikel 5 und 12 DSGVO. Die BfDI selbst schafft es
übrigens trotz einer Vielzahl von verwendeten Emailadressen eine
vollständige Auskunft zu erteilen, vermutlich weil die BfDI sich irgendwann
Gedanken gemacht hat, wie man Betroffene verfahrensübergreifend
identifizieren kann.
h) Da interpretieren Sie meine Kritik zu eng. Wenn Sie sich z.B. das
Auskunftsschreiben vom 17.05.2024 ansehen, dann ist das ab Seite 3 unten
eine unstrukturierte Textwüste, der ich eigentlich gar nichts entnehmen
kann, außer – Seite 6 – dass manche Daten wie z.B. Bewerbungen, Zahlungen
oder unerwähnt Rechnungen fehlen, ohne dass dafür eine Begründung genannt
wird. Die Phrase „wir recherchieren gerne“ halte ich für ein Eingeständnis,
dass die Auskunft unvollständig ist, und das obwohl ich eindeutig eine
vollständige Auskunft eingefordert habe. Dass Emails fehlen habe ich unter
A. d) und B. a) ausgeführt. Zumindest im Zusammenhang mit meinem
Nachsendeauftrag habe ich eine Auftragsbestätigung, also einen Handelsbrief,
und eine Rechnung erhalten. Warum das alles trotz Speicherung nicht
beauskunftet wurden erschließt sich mir nicht. Ob §34 BDSG
unionsrechtskonform ist brauchen wir gar nicht diskutieren, denn schon die
Anforderungen aus §34 Abs. 1 Nr. 2 und Abs. 2 Satz 2 sind nicht erfüllt. Das
Abwechseln im Text zwischen archivieren und löschen soll davon wohl
ablenken.
Es bietet sich grundsätzlich an, die Auskunft nach dem
Verarbeitungsverzeichnis bzw. der Auswahl davon, die für die Auskunft des
konkreten Betroffenen relevant ist, zu strukturieren, wenn man denn eines
hätte.
i) anonym und Internetmarke.
Schön, dass wir darin übereinstimmen, dass eine Emailadresse nicht anonym
ist. Auch hier darf ich auf meine Ausführungen ganz oben verweisen und
feststellen, dass diese Ausführungen der Deutschen Post zumindest einen
Verstoß gegen Artikel 12 DSGVO darstellen, unabhängig davon, ob man den
Verstoß im Rahmen des Beschwerdeverfahrens vielleicht abgestellt hat. Ob das
tatsächlich der Fall ist kann ich nicht beurteilen, denn dieser Abschnitt
fehlt in der neuesten Auskunft vollständig, und ist daher weder nach Artikel
12 noch 15 ausreichend.
k) Zuordnung von Datenkopie
Die Anforderung, Teile der Kopie einem Verarbeitungszweck zuzuordnen steht
zwar nicht ausdrücklich in Artikel 15 Abs. 3, ergibt sich aber m.E. daraus,
dass die Transparenzanforderung aus Artikel 12 Abs. 1 DSGVO für alle
Betroffenenrechte gilt sowie aus Erwägungsgrund 63 „um sich der Verarbeitung
bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können“ – ohne den
Zweck und die damit verbundene Rechtsgrundlage muss ein Betroffener
möglicherweise raten, wofür bestimmte Teile der Kopie erforderlich sind und
damit auch, auf Basis welcher Rechtsgrundlage sie verarbeitet werden. Woraus
schließen Sie das Gegenteil? Jedenfalls ist die Datenkopie der Deutschen
Post in diesem Punkt besonders schlecht, denn man könnte die passenden
Anlagen ja bei den Erläuterungen nach Artikel 15 Abs. 1 einsortieren. Warum
das nur für einige Stammdaten und nicht für alle Daten gemacht wird
erschließt sich mir nicht. Auch hier bietet es sich natürlich an, die
Auskunft nach dem Verfahrensverzeichnis zu strukturieren.
C.
a) Verzeichnis von Verarbeitungstätigkeiten aka Verfahrensverzeichnis
Ich darf wie schon in vorhergehenden Stellungnahmen aus eindeutigen
Kommentaren zitieren: „Art. 30 konkretisiert die allg. Rechenschaftspflicht,
welche Art. 5 Abs. 2 als Grundprinzip des unionalen Datenschutzrechts
verankert. … Die meisten der Angaben, die Art. 30 den Pflichtigen
abverlangt, korrespondieren mit einem Auskunftsrecht des Betroffenen (Art.
15 Abs. 1 Hs. 2 und Abs. 2).“ (Martini in Paal/Pauly, DS-GVO BDSG, 3.
Auflage 2021, DSGVO Art. 30 Rn. 1 S.1). „So lässt sich ein Teil der
Informationen bereits aus dem zu führenden Verarbeitungsverzeichnis gem.
Art. 30 DS–GVO entnehmen.“ (Menz in Katko, Checklisten zur
Datenschutz-Grundverordnung (DS-GVO), 2. Auflage 2023, §6 Auskunft Rn. 41)
oder im Umkehrschluss, eine unvollständige Auskunft weist auf ein fehlendes
oder unvollständiges Verarbeitungsverzeichnis hin. „Diese Nachweispflicht
hat insbesondere Bedeutung im Hinblick auf Überprüfungen durch die
Aufsichtsbehörden, die nach Art. 58 Abs. 1 lit. a auch die Befugnis haben,
den Verantwortlichen zur Bereitstellung von Informationen anzuweisen.“
(Herbst in Kühling/Buchner, DS-GVO BDSG, 4. Auflage 2024, DSGVO Art. 5 Rn.
79). Ohne ein vollständiges Verfahrensverzeichnis ist es einem
Verantwortlichen unmöglich, konsistent alle Verarbeitungsvorgänge zu
beauskunften. Ich bin selbst Verantwortlicher und als
Datenschutzbeauftragter tätig, daher kann ich das beurteilen, und ich
empfehle auch grundsätzlich in das Verfahrensverzeichnis aufzunehmen, wie
betroffene Personen identifiziert werden können.
Für mich ist nicht nachvollziehbar, wie Sie meiner Behauptung widersprechen
können, anstelle sie nach Artikel 30 Abs. 4 DSGVO zu überprüfen. Ich sehe
darin auch einen Verstoß gegen §24 VwVfG durch Sie. Dass die Deutsche Post
auch mir das Verfahrensverzeichnis zur Verfügung stellen muss ergibt sich
aus Artikel 5 Abs. 2 DSGVO, wobei das EuGH und Bundesverwaltungsgericht
bisher nur für den Streitfall bestätigt haben. Soll heißen ich muss erst
Klage einreichen? Tun Sie damit den Verantwortlichen einen Gefallen? Auf
meine Ausführungen oben darf ich erneut hinweisen, aber hier noch ergänzen,
dass ********** in der internen Kommunikation (Beispiel: Rückmeldung dhl)
nicht abstrakte Angaben abfragen müsste, die genau so auch im Verzeichnis
stehen müssten.
Wenn ein Verzeichnis existiert, dann ist es garantiert unvollständig. Anders
ist das chaotische Vorgehen und Weglassen von Daten in allen Auskünften
nicht zu erklären.
c) siehe A. c)
d) interne Kommunikation
Interne Kommunikation musste ich erst ausdrücklich anfordern und fehlt in
der neuesten Auskunft weitestgehend (nur 2 von vorher 15 Rückmeldungen, eine
Rückmeldung anbei, allerdings fehlt die dort erwähnte Anlage oder ich kann
sie nicht zuordnen). Auch hier ist es m.E. Ihre Pflicht, den
Datenschutzverstoß festzustellen, damit das nicht von Auskunft zu Auskunft
anders gehandhabt wird. Wobei es sinnvoller wäre, die fehlerträchtige
interne Kommunikation durch ein Auskunftssystem abzulösen.
e) auch hier muss ich Ihnen widersprechen: in der Anfrage Ihrer Kollegin
Frau Seidl an die Deutsche Post vom 1.8.2024 (anbei) zitiert Frau Seidl aus
meiner Anfrage wörtlich. Nicht nur das Aktenzeichen sondern auch dieses
Zitat stellen sicher unstrittig personenbezogene Daten von mir dar. Das ist
es auch bei einem anderen Verantwortlichen, allenfalls kann dieser ohne
zusätzliche Angaben den Betroffenen nicht identifizieren, daher zieht
allenfalls Artikel 11 DSGVO – erneut siehe oben. Und dann sind diese
personenbezogenen Daten auch in ihrem Kontext, sprich dem vollständigen
Dokument zu beauskunften, wobei selbstverständlich ggfs. wegen Artikel 15
Abs. 4 teilweise geschwärzt werden darf.
Zu Ihren Schlussbemerkungen und allen Punkten, die ich ausgelassen habe weil
Sie meiner Beschwerde in diesen Punkten stattgeben wollen: Sie haben m.W.
zwar einen großen Ermessensspielraum hinsichtlich der zu ergreifender
Sanktionen, nicht aber hinsichtlich der Feststellung eines
Datenschutzverstoßes im Beschwerdeverfahren. Die Feststellung eines
Datenschutzverstoßes als Verwaltungsakt nach §41 VwVfG ist m.E. zwingend,
das Unterlassen würde sowohl die Durchsetzung der DSGVO und des damit
angestrebten einheitlichen Datenschutzniveaus als auch den Rechtschutz
beider Seiten nach Artikel 77/78 DSGVO untergraben.
Ich darf Sie um eine Eingangsbestätigung bitten. Für Rückfragen stehe ich
Ihnen selbstverständlich zur Verfügung.
Vielen Dank und viele Grüße
Joachim Lindenberg