Sehr geehrter ***********,

vielen Dank für die Zusendung der Stellungnahme der Post Direkt sowie Ihrer zugehörigen Fragen. Ich darf erläutern:

1.1        Unvollständige Auskunft

Die Auskunft der Post Direkt war unvollständig, intransparent oder sogar teilweise falsch. Ich schildere im folgenden die mir bekannten Problemfelder für die beiden Auskunftsersuchen (19.02.2025 und 03.04.2025) zusammen:

Fehlende Empfänger bei Zustellungen der Deutschen Post an Ersatzempfänger

Die Details entnehmen Sie bitte der beigefügten Email an die BfDI, Anlage 2025 K 232.pdf. Die Deutsche Post nutzt die Adressdatenbank „Postreferenzdatenbank“ der Post Direkt. Das ist eine „Offenlegung“ im Sinne von Art. 4 Nr. 9 DSGVO, es fehlen damit in der Auskunft der Post Direkt vollständige Angaben zu Empfängern der Daten. Die Deutsche Post war Empfänger meiner Anschrift zumindest am 29.01.2025, wahrscheinlich sehr viel öfter. Für die fehlenden Informationen der Deutschen Post ist die BfDI zuständig, für die fehlenden Empfänger bei der Übernahme der Daten in der Auskunft von der Post Direkt sind Sie zuständig.

Diese Daten hätten schon in der ersten Auskunft (Anfrage vom 19.02.2025) enthalten sein müssen, während die folgenden Daten möglicherweise erst auf meine Auskunftsanfrage vom 03.04.2025 hätten beauskunftet werden müssen, was aber nicht erfolgt ist.

Der Dienst Anschriftenprüfung

Ich habe im März zwei Anschriftenprüfungen gestartet, die letztendlich wohl von der Deutschen Post durchgeführt wurden. Dass die Betroffene über diese Verarbeitung nicht informiert wurde ist Gegenstand der Beschwerde von Christina Franke bei der BfDI, 22-243 II#4450.

Der Bestellvorgang findet jedoch auf einer Seite der Post Direkt statt, dort registriert man sich und kann sich danach auf der Seite https://anschriftenpruefung.postdirekt.de/anschriftenpruefung/ oben rechts anmelden:

Ich kann mich mit meinem Konto *******************@lindenberg.one anmelden – also habe ich wohl ein Konto bei der Post Direkt, das beim 2. Ersuchen nicht beauskunftet wurde, ein Verstoß gegen Artikel 15 DSGVO, oder die Angaben zum Verantwortlichen sind falsch oder intransparent, ein Verstoß gegen Artikel 5 Abs. 1 lit. a und die Informationspflicht aus Art. 13 DSGVO.

Beim Aufladen erhielt ich die beigefügte Email von der Post Direkt. Die Rechnung und AGB stammen von der Deutschen Post AG, die Email selbst von der Post Direkt. Auch hier ist für mich nicht klar erkennbar, wer Verantwortlicher, wer ggfs. Vertreter oder Erfüllungsgehilfe ist. Da die Post Direkt aber diese Email verschickt hat, ist aber davon auszugehen, dass sie diesen als Handelsbrief für einige Jahre aufbewahrt.

Ich bin im Herbst 2020 umgezogen. Als ich den Umzug an meine Banken melden wollte war ich überrascht, dass die meine neue Anschrift schon hatten, vermutlich auf Basis irgendeines Anschriftenabgleichs bei der Post Direkt, z.B. https://www.deutschepost.de/dam/jcr:fdbe58fd-1c80-498a-8180-38b1e7ca30b8/dp-ddp-si-adressaktualisierung.pdf. Auch hier wäre die Weitergabe der neuen Anschrift an Dritte zu beauskunften. Da diese Leistung für den Auftraggeber kostenpflichtig ist, ist zu erwarten, dass die Post Direkt diese protokolliert (wie in der angesprochenen Orientierungshilfe der DSK) und/oder als erbrachte Leistung in Handelsbriefe übernimmt.

Im Ergebnis fehlt also in der nicht erteilten Auskunft zur Anfrage vom 03.04.2025 zumindest die Informationen zum Konto und zum Handelsbrief, vermutlich auch die zu prüfenden Anschriften. Eine Zuordnung war auf Basis der Anschrift auch möglich und daher durchzuführen (Erwägungsgrund 26 DSGVO, bis auf den letzten Teilsatz identisch mit dem Erwägungsgrund 26 Richtlinie 95/46/EG, vgl.  EuGH, Urteil vom 19.10.2016 – C 582/14).

Der Dienst Postwurfspezial

Am 02.04.2025 erhielt ich die beigefügte Sendung vom Typ Postwurfspezial „an die Fans von gutem Essen Heubergstr. 1a“. Die zugehörige Webseite sieht so aus:

Auch hier nehme ich auf Basis der Gestaltung an, dass es sich um einen Dienst der Post Direkt handelt. Einen Auftrag gegeben habe ich nicht. Wie sich aus dem Text ergibt, geht er an wie auch immer ausgewählte Bewohner aka Betroffene, nicht an Gebäude, auch wenn ********** das Gegenteil behauptet. In den beigefügten Details findet sich, dass die Auswahl für mindestens 8 Wochen aufbewahrt wird, gegen Mehrpreis auch länger.

Die Briefe kommen gedruckt mit der Post. Der Postbote kann sie wohl nicht selbst unterwegs drucken, also muss irgendwer die Adressen und daraus die Anzahl der Briefe vor der Zustellung bestimmen. Die Deutsche Post hat keine Adressdatenbank beauskunftet, also wird vermutlich die "Postreferenzdatenbank" oder eine andere Datenbank der Post Direkt verwendet. ********** täuscht, wenn er behauptet es werden nur Gebäudedaten verarbeitet, denn für die Anzahl der Briefe braucht es Informationen über die Haushalte, sprich Menschen, und deren Adressen, oder zumindest deren Anzahl. Dass das nicht außerhalb des Anwendungsbereichs der DSGVO ist ergibt sich auch daraus, dass er ein Widerspruchsrecht einräumt – aber m.E. völlig ungeeignet auf Hausbasis. Ein solcher Widerspruch würde auch auf Nachbarn wirken und in deren informelles Selbstbestimmungsrecht eingreifen.

Da ich immer wieder Sendungen Postwurfspezial erhalten habe, war hier vermutlich schon die erste Auskunft unvollständig.

Nachsendeauftrag

Darauf werde ich unter 2.1 und 2.2 unten eingehen.

Zusammenfassend zur Vollständigkeit und Transparenz der Auskunft:

Unklar ist dabei, ob es bei der Post Direkt eine oder mehrere Adressdatenbanken gibt. In der Auskunft vom 20.02.2025 hat die Post Direkt unterschieden zwischen

1. Verarbeitung für werbliche Zwecke
2. Verarbeitung für den Adressabgleich

Das sind unterschiedliche Zwecke, aber ich vermute es gibt nur eine einzige Adressdatenbank, denn es ist völlig unklar, auf Basis welcher Rechtsgrundlage für a) Adressen in einer separaten Datenbank erfasst werden sollten, und wann und wie Betroffene darüber informiert werden. Ausdrücklich: es braucht nach DSGVO sowohl eine Rechtsgrundlage für die Verarbeitung als auch (transparente) Informationen nach Art. 13 oder 14 – ich kann mich an keine Informationen dazu erinnern und wüsste nicht wieso ich bei der Haushaltsadressierung dabei sein kann. Das keine Daten zu Ihrer Adresse bei a) habe ich daher dahingehend interpretiert, kein Widerspruch, aber verständlich ausgedrückt hat die Post Direkt das eben genau nicht. Jedenfalls habe ich Postwurfspezialsendungen erhalten, was ohne Adresse unmöglich wäre.

Zu klären wäre zunächst auch, wer denn für Postwurfspezial Verantwortlicher ist und woher die Deutsche Post oder Post Direkt die Adressdaten oder Anzahl der Haushalte tatsächlich herbekommt. Entsprechende Informationen finden sich in der Sendung jedenfalls nicht, auch das m.E. ein Verstoß gegen Art. 14 DSGVO.

1.2        Authentifizierung bei Anfragen per Email

Die Antwort von ********** „Aus diesem Grund erteilt Post Direkt immer schon die Auskunft nach Art. 15 DSGVO und zuvor nach BDSG schriftlich auf dem Postweg an die bei Post Direkt gespeicherte Adresse.“ drückt eine klare Missachtung der eindeutigen Formvorschrift von Art. 15 Abs. 3 Satz 3 aus (im BDSG gab es keine). Richtig ist, dass die Post Direkt nach Art. 12 DSGVO verpflichtet ist, den Betroffenen zu identifizieren bzw. authentifizieren, und eine Emailadresse alleine im allgemeinen keinen Rückschluss auf die Anschrift erlaubt. In meinem Spezialfall hätte es genügt, das Impressum auf lindenberg.one aufzurufen, dort steht meine Anschrift. Allgemein gibt es dafür mehrere Möglichkeiten, nur zwei weit verbreitete will ich aufzählen:

1. Die Auskunft als verschlüsseltes Zip per Email oder Download, das Passwort parallel per Post an die bekannte Anschrift. Nur wer beides empfängt erhält dadurch Zugriff auf die Auskunft. Dieses Verfahren ist eigentlich Standard bei den allermeisten Verantwortlichen, insbesondere auch bei allen Aufsichten einschließlich der LDI selbst.

2. Versand eines Datenträgers (z.B. DVD oder USB Stick) per Post an die bekannte Anschrift, optional bei entsprechendem Risiko auch verschlüsselt, dann ist das Senden des Passworts auch per Post allerdings verbreiteter Unsinn. Passwort an die anfragende Emailadresse ergibt jedoch Sinn.

In beiden Fällen ist m.E. eine ausreichende Authentifizierung erreicht.

1.3        Elektronische Form

Die Darstellung ist richtig, aber rechtswidrig. Ich gebe zu, dass ich schon bereits zu diesem Zeitpunkt vermutet habe, dass die Post Direkt die Formvorschrift ignorieren wird. Aber da die meisten Aufsichten erst bei einem vollendeten Datenschutzverstoß aktiv werden hatte ich keine andere Wahl. Tatsächlich war die Anschrift aber auch zur Identifikation/Authentifizierung erforderlich und hätte für das Passwort nach Verfahren a oder eine elektronischen Übermittlung nach Verfahren b unter 1.2 genutzt werden können. Insofern war die Antwort von mir auch nicht böswillig und es ergab sich daraus mit Sicherheit keine plausible Grundlage für den letzten Teilsatz von Art. 15 Abs. 3 Satz 3. Es ist Aufgabe der Verantwortlichen die DSGVO einzuhalten, nicht die des Betroffenen sie dabei fachlich zu beraten.

Auch die gelb hinterlegte Aussage "Nach Zugang der Anschrift werden wir Ihr Anliegen umgehend bearbeiten und Ihnen eine schriftliche Bestätigung zukommen lassen" ändert daran nichts. Auch wenn es wünschenswert ist die ganze Auskunft elektronisch zu erhalten - spart Zeit, Papier und Energie - die Formvorschrift gilt formal nur für die Datenkopie nach Artikel 15 Abs. 3 und nicht für Abs. 1, insofern ist irrelevant in welcher Form mir die Bestätigung zugeht solange die Kopie elektronisch übermittelt wird.

2.1        Erläuterungen zum Nachsendeauftrag

Diese Angaben stehen m.E. im Widerspruch zum Transparenzgebot in Art. 5 Abs. 1 und Art. 12 Abs. 1 DSGVO schon alleine deswegen weil ich die Informationen in der Auskunft vom 20.02.2025 nicht verstanden habe und daher nachfragen musste – siehe auch meine Ausführungen unter 1.1.3 oben, denn zu diesem Zeitpunkt war für mich schon naheliegend, dass die Post Direkt ihre Auskunftsverpflichtung zum Antrag vom 03.04.2025 nicht erfüllt. Ich verstehe diese Informationen immer noch nicht. Dass unklar ist, ob die Postreferenzdatenbank nur für den Adressabgleich verwendet wird oder auch für Werbung und dass ich noch nie Informationen nach Art. 13/14 DSGVO dazu von der Post Direkt erhalten habe, habe ich oben bereits ausgeführt.

2.2        Altadresse aus dem Nachsendeauftrag

********** beruft sich bei Ihnen auf "§ 34 Abs. 1 Nr. 2 a) und b) BDSG nicht beauskunftet", ignoriert dabei aber die Begründungspflicht in §34 Abs. 2 Satz 2 BDSG. Weder ein Hinweis auf §34 noch eine Begründung liegt mir in der Auskunft vom 20.02.2025 vor, die Auskunft ist daher als unvollständig anzusehen. Vielleicht hat er Ihnen deswegen Auskunft und Schriftverkehr nicht übersandt, ich füge Ihnen die Auskunft bei.

Aus 2.1 und 2.2: ich hätte als transparente Darstellung im Sinne von Art. 12 Abs. 1 und Art. 5 Abs. 1 lit. a erwartet, dass man sowohl die Nachsendeaufträge als auch die aus anderen Quellen erhaltenen Adressen auflistet und dann darstellt, welche Adresse danach für Werbung oder Adressabgleich wirksam ist. Dass diese Daten vorhanden sind bestreitet ********** nicht. Eine verständliche und aussagekräftige Darstellung kann man nicht nur bei automatisierten Entscheidungen sondern generell erwarten (EuGH, Urteil vom 27. Februar 2025 – C-203/22).

2.3        Empfänger der Daten

********** bezeichnet die Post Direkt beim Adressabgleich als Auftragsverarbeiter. Das ist nach meinem Verständnis nur teilweise richtig, denn die Post Direkt ist gleichzeitig Verantwortlicher für die Adressdatenbank, die der auftragserteilende Verantwortliche nicht hat. Dass der Abgleich als Auftragsverarbeitung durchgeführt wird hat nach meinem Verständnis im wesentlichen den Sinn, dem auftragsverarbeitenden Verantwortlichen nicht gleich vollen Zugriff auf die Adressdatenbank geben zu müssen sondern nach der Anzahl der Prüfungen oder verwendeten Adressen abrechnen zu können. Dennoch findet bei dieser Verarbeitung bei jeder richtigen oder berichtigten Adresse eine Weitergabe - Offenlegung im Sinne von Art. 4 Nr. 9 DSGVO - von Daten statt, auch dann, wenn mit einem einfachen Binärwert "Ja" oder "Wahr" lediglich die Richtigkeit der geprüften Adresse bestätigt wird. Unter datenschutzaffinen Softwareentwicklern ist jedenfalls unumstritten, dass nicht nur die Antwort, sondern auch die zugehörige Anfrage protokollierungsrelevant ist. Dass die Post Direkt diese Daten nicht in irgendeiner Form protokolliert ist unwahrscheinlich, denn schon allein zur Abrechnung des Dienstes hat die Post Direkt die Verpflichtung einen Nachweis ihrer erbrachten Leistung führen zu können. Last but not least sollte spätestens seit dem EuGH Urteil vom 12.01.2023 C‑154/21 jedem Verantwortlichen, also auch die Post Direkt, klar sein, dass er zur Beauskunftung der konkreten Empfänger verpflichtet ist und ggfs. technisch-organisatorische Vorkehrungen dafür zu treffen sind. Die im Urteil mögliche Alternative "Empfänger nicht identifizierbar" kann man ausschließen, denn die Post Direkt berechnet dem Empfänger diesen Dienst, einen Nachweis dafür, dass es unmöglich ist, die Empfänger zu identifizieren, hat die Post Direkt jedenfalls nicht erbracht.

Strenggenommen findet eine Weitergabe in beiden Richtungen statt, vom Auftraggeber an die Post Direkt und dann im Bestätigungsfall von der Post Direkt an den Auftraggeber. Ob es dafür eine Rechtsgrundlage gibt kann offen bleiben, aber beide Richtungen sind meiner Meinung nach nach Art. 15 Abs. 1 lit. c bzw. g von beiden Verantwortlichen zu beauskunften bzw. ist nach Art. 13/14 DSGVO darüber zu informieren. Daran ändert auch nichts, dass die Post Direkt sowohl Auftragsverarbeiter als auch Verantwortlicher ist. Dass ********** nur die Rolle Auftragsverarbeiter betont dient vermutlich dazu, die Informationspflichten der DSGVO zu unterlaufen bzw. Sie davon abzulenken.

3.1        Erneutes Auskunftsersuchen

Auch hier zeigt ********** mit "Aufgrund der bereits erteilten Auskunft vom 20.02.2025 wurde hier keine Notwendigkeit für die Wiederholung der Auskunft gesehen." Ignoranz für die Vorschriften der DSGVO. Die Post Direkt hat ein Auskunftsersuchen fristgemäß (unverzüglich, maximal ein bzw. mit Begründung drei Monate) zu erfüllen oder es in Ausnahmefällen nach Art. 12 Abs. 5 abzulehnen. Nichts tun ist m.E. keine zulässige Option. Auch eine wiederholte Übermittlung der alten Auskunft ist keine zulässige Option. Meine Motivation für das Auskunftsersuchen ist irrelevant (EuGH Urteil vom 26.10.2023 C‑307/22), aber da ich bei der Adressprüfung bewusst neue Daten generiert habe und verstehen will, wie die Verarbeitung einer Postwurfspezial-Sendung aussieht, durfte ich angesichts der begrenzten Aufbewahrungsdauer der Auswahl bei Postwurfspezial zeitnah eine erneute Auskunft einfordern. Das Ignorieren meiner neuen Auskunftsanfrage war in meinen Augen damit klar rechtswidrig.

Ich denke ich habe umfangreich Stellung bezogen. Sollten Sie weitere Fragen haben lassen Sie es mich bitte wissen.

Vielen Dank und viele Grüße

Joachim Lindenberg

Von:                   Referat-24@ldi.nrw.de

An:                     **********@lindenberg.one

Bearbeitung:      ***********, Tel. 0211/38424-***

GeschäftsZ:       24.56.2025-0003298

Aufsicht nach Artikel 58 der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, hier: DS-GVO)

Stellungnahme des Verantwortlichen vom 16.06.2025; hier Deutsche Post Direkt GmbH

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihre o. g. E-Mail.

Im Rahmen der Bearbeitung Ihrer Beschwerde vom 03.03.2025 wurde die von Ihnen benannte verantwortliche Stelle – die Deutsche Post Direkt GmbH – mit dem Sachverhalt befasst und um eine Stellungnahme gebeten.

Die Stellungnahme der verantwortlichen Stelle vom 16.06.2025 liegt nunmehr vor und ist im Anhang beigefügt.

Ihnen wird hiermit Gelegenheit gegeben, bis spätestens zum 09.07.2025 zu der beigefügten Stellungnahme des Verantwortlichen Stellung zu nehmen.

Für Rückfragen stehe ich Ihnen gerne zur Verfügung.


Mit freundlichen Grüßen
Im Auftrag
gez. ******

Die Landesbeauftragte für Datenschutz und Informationsfreiheit

Nordrhein-Westfalen

Kavalleriestraße 2-4, 40213 Düsseldorf

Tel.: 0211 38424- 418

Fax: 0211 38424-999

E-Mail: referat-24@ldi.nrw.de   

Internet: www.ldi.nrw.de

Allgemeiner Hinweis zur Erfüllung unserer Informationspflichten gemäß Art. 13, 14 Datenschutz-Grundverordnung: Informationen zur Verarbeitung personenbezogener Daten durch die LDI finden Sie unter

https://www.ldi.nrw.de/informationspflicht.

Allgemeine E-Mail-Adresse: poststelle@ldi.nrw.de          

Öffentlicher Schlüssel für allgemeine E-Mail-Adresse:

https://www.ldi.nrw.de/pgp-schluessel