Aktuelle Kurz-Information 44: Versand von Hybridbriefen durch bayerische öffentliche Stellen

Stichwörter: Auftragsverarbeitung - Briefversand - Hybridbrief - Postdienstleistung - Postgesetz - Verpflichtungsgesetz | Stand: 1. November 2022

Was sind die Kernaussagen dieser Aktuellen Kurz-Information?

Bayerische öffentliche Stellen dürfen grundsätzlich auch per Hybridbrief kommunizieren; allerdings kann neben den allgemeinen datenschutzrechtlichen Vorgaben auch das Fachrecht hier Grenzen setzen.
Ein Teil der Dienstleistung eines Hybridbrief-Anbieters wird typischerweise im Rahmen einer Auftragsverarbeitung erbracht; der Auftraggeber muss sich seiner Pflichtenstellung bewusst sein und diese aktiv gestalten.
Dies gilt auch hinsichtlich der Implementierung der nötigen technisch-organisatorischen Maßnahmen, insbesondere, was die regelmäßige Löschung von Adress- und Inhaltsdaten bei Dienstleistern betrifft.

Im Zuge der fortschreitenden Digitalisierung entstehen neue, ganz oder teilweise elektronische Postdienstleistungen. Dies gilt auch für den Bereich der Briefübermittlung. Bayerische öffentliche Stellen können insbesondere Angebote sogenannter Hybridbriefe nutzen. Hybridbriefe verbinden elektronische und papierförmige Kommunikation. Das Dokument wird vom Absender elektronisch verfasst und mitsamt den notwendigen Adressdaten elektronisch an einen Postdienstleister oder einen mit diesem kooperierenden Dienstleister übermittelt. Dort wird der Brief ausgedruckt, kuvertiert und frankiert; anschließend wird er durch den Postdienstleister dem Empfänger analog zugeleitet.

Den Bayerischen Landesbeauftragten für den Datenschutz erreichen immer wieder Anfragen bayerischer öffentlicher Stellen, die den Hybridbrief gerade für Massenverwaltungsverfahren nutzen möchten, jedoch unsicher sind, was dabei datenschutzrechtlich zu beachten ist. Die vorliegende Aktuelle Kurz-Information zeigt auf, welche Rolle das Datenschutzrecht auf den einzelnen Abschnitten des Weges spielt, den ein Hybridbrief von seinem Absender zum Empfänger nimmt (1. bis 3.). Sie geht auf das Verhältnis zwischen dem Absender und "seinem" Postdienstleister ein (4.) und gibt Hinweise zur Gewährleistung eines angemessenen Schutzniveaus während des Kommunikationsprozesses (5.).

1. Verarbeitung personenbezogener Daten beim Hybridbrief

Briefe enthalten mit obligatorischen Angaben der Absender- und Empfängeradresse, aber auch inhaltlich ("im Umschlag") regelmäßig eine Vielzahl personenbezogener Daten. Beim herkömmlichen Briefversand verfasst und verschickt eine bayerische öffentliche Stelle den Brief und verarbeitet dabei die personenbezogenen Daten aufgrund der jeweiligen - gegebenenfalls fachgesetzlichen - Rechtsgrundlagen. Der konventionelle Brief- und Pakettransport durch einen Postdienstleister wird datenschutzrechtlich üblicherweise als eine Datenverarbeitung durch einen eigenständigen Verantwortlichen angesehen. Dahinter steht die Überlegung, dass die Postdienstleistung im Kern keine Verarbeitung personenbezogener Daten zum Gegenstand habe, sondern diese Verarbeitung nur eine unvermeidliche "Begleiterscheinung" sei, und der Postdienstleister daher nicht im Auftrag und nach Weisung Daten verarbeite, wie dies bei der Auftragsverarbeitung der Fall sei.

Der Postdienstleister nimmt zum Zweck der Zustellung von den Adressdaten Kenntnis, grundsätzlich jedoch nicht vom Inhalt der Postsendung, der durch das Postgeheimnis geschützt ist. Postdienstleistung ist gemäß § 4 Nr. 1 Postgesetz (PostG) die gewerbsmäßige Sendungsbeförderung. Als eigenständiger Verantwortlicher muss der Postdienstleister die Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Datenschutz-Grundverordnung (DSGVO) stützen können. Gesetzliche Verarbeitungsbefugnisse, die sich auf die Verarbeitung der Adressdaten zum Zwecke der ordnungsgemäßen Zustellung von Postsendungen beziehen, enthält § 41a PostG.

Klassischer Briefversand

Bild Klassischer Briefversand

Der Versand von Hybridbriefen unterscheidet sich vom klassischen Briefversand durch seine Mehrstufigkeit. Das Dokument wird zunächst vom Absender elektronisch verfasst, dann aber nicht selbstständig ausgedruckt, kuvertiert und abgeschickt, sondern elektronisch an den Postdienstleister oder ein mit diesem kooperierendes Unternehmen übermittelt. Dieser Datentransfer ist der anknüpfenden klassischen Briefzustellung vorgelagert. Er unterliegt - soweit im Rahmen einer Telekommunikationsdienstleistung erbracht - dem Fernmeldegeheimnis, während die anschließende Beförderung des fertiggestellten Briefs als Postdienstleistung - wie bei der klassischen Briefzustellung - dem Postgeheimnis unterfällt.

Die Besonderheit des Hybridbrief-Versands liegt also darin, dass die eigentliche Erstellung des papierförmigen Briefs aus den übermittelten elektronischen Daten als (zusätzliche) Dienstleistung an den Postdienstleister oder ein kooperierendes Unternehmen ausgelagert wird. Soweit es bei Hybridbriefen zum Transport des fertiggestellten Briefs kommt, ergeben sich keine Unterschiede hinsichtlich der datenschutzrechtlichen Verantwortlichkeit im Vergleich zum klassischen Brieftransport: Der fertiggestellte Hybridbrief wird durch den Postdienstleister, der als eigenständiger Verantwortlicher fungiert, zugestellt.

Hybrider Briefversand

Bild Hybrider Briefversand

Die eingeschobene Phase der elektronischen Datenübertragung und Brieferstellung hält auch rechtliche Besonderheiten bereit:

Hier wird die - wenngleich automatisierte (vgl. Art 4 Nr. 2 DSGVO) - Verarbeitung von Inhaltsdaten Gegenstand der Dienstleistung. Für diese Verarbeitung personenbezogener Daten durch den Postdienstleister oder ein mit diesem kooperierendes Unternehmen existiert keine gesetzliche Verarbeitungsbefugnis. Die Leistung kann allerdings im Rahmen eines Auftragsverarbeitungs-Verhältnisses (Art. 4 Nr. 8, Art. 28 DSGVO) für den Absender erbracht werden. Aufgrund der Privilegierung der Auftragsverarbeitung - die Verarbeitung des Auftragsverarbeiters leitet sich letztlich von der Rechtsgrundlage des Verantwortlichen ab - bedarf der jeweilige Dienstleister für diese Phase des Hybridbriefversands keiner eigenständigen Rechtsgrundlage. Die bayerische öffentliche Stelle als Auftraggeber muss dann sicherstellen, dass die gesetzlichen Vorgaben für eine Auftragsverarbeitung eingehalten werden.

Abzugrenzen vom Hybridbrief-Versand ist die medienbruchfreie und somit durchgängig elektronische Briefübermittlung, wie sie beispielweise im De-Mail-Gesetz (DeMailG) geregelt ist.

Ob und zu welchen Bedingungen der Einsatz von Hybridbriefen in Betracht kommt, ist vom Verantwortlichen unter Beachtung der nachstehenden Ausführungen zu entscheiden.

2. Normative Übermittlungsregelungen

Existieren für die betrachtete Übermittlung - von eventuell vorhandenen, spezialgesetzlichen Regelungen zu einer Auftragsverarbeitung abgesehen (dazu 4.) - einschlägige Übermittlungsvorschriften, etwa Regelungen zur elektronischen Kommunikation, so ist deren Einhaltung vorab zu prüfen. Zu berücksichtigen sind insbesondere Anforderungen an die Form der zu übermittelnden Dokumente oder an Übermittlungsmodalitäten.

Da Hybridbriefe letztlich ausgedruckt werden, kommen sie jedenfalls dann nicht in Betracht, wenn auch der herkömmliche Postversand ausscheidet, also wenn etwa gesetzlich eine rein elektronische Kommunikation geboten ist, vgl. etwa Art. 20 Abs. 3 Bayerisches Digitalgesetz. Gesetzliche Vorgaben, elektronische Kommunikationsformen zu nutzen (vgl. etwa die "Soll"-Vorschrift des § 67 Abs. 1 Fünftes Buch Sozialgesetzbuch - Gesetzliche Krankenversicherung -), sollten daher nicht als Aufforderung zur Nutzung von Hybridbriefverfahren missverstanden werden. Nicht abschließend geklärt ist, ob Hybridbriefe geeignet sind, verwaltungsverfahrensrechtliche Anforderungen an die Schriftform zu erfüllen.

3. Informationspflichten

Eine weitere Besonderheit ergibt sich hinsichtlich der Informationspflichten des datenschutzrechtlich Verantwortlichen, der ein Hybridbrief-Angebot nutzt. Eine bayerische öffentliche Stelle hat als Absender im Rahmen ihrer Informationspflichten gemäß Art. 13 Abs. 1 Buchst. e DSGVO und Art. 14 Abs. 1 Buchst. e DSGVO auf den jeweiligen Postdienstleister und/oder dessen Kooperationspartner als Empfänger von personenbezogenen Daten hinzuweisen. Schließlich können auch Auftragsverarbeiter "Empfänger" im Sinne von Art. 4 Nr. 9 DSGVO sein. Zwar werden auch beim klassischen Briefversand die personenbezogenen Adressdaten des Briefempfängers dem Postunternehmen als Datenempfänger offenbart. Die Tatsache der Offenbarung von Adressdaten gegenüber dem Postunternehmen zum Zwecke der Briefzustellung ist der empfangenden betroffenen Person allerdings regelmäßig bereits bekannt, so dass sich eine gesonderte Information gegebenenfalls gemäß Art. 13 Abs. 4 DSGVO, Art. 14 Abs. 5 Buchst. a DSGVO erübrigt. Der betroffenen Person ist aber von sich aus regelmäßig nicht bekannt, ob die absendende bayerische öffentliche Stelle vom Hybridbriefverfahren Gebrauch macht oder nicht und in diesem Rahmen nicht nur Adressdaten, sondern auch den Briefinhalt dem Dienstleistungsunternehmen offenbart.

4. Auftragsverarbeitung und bereichsspezifische Sonderregelungen

Kommt der Postversand mittels Hybridbrief grundsätzlich in Betracht, müssen die Voraussetzungen der Auftragsverarbeitung gemäß Art. 4 Nr. 8, Art. 28 DSGVO eingehalten werden. Die allgemeinen Anforderungen zur Zulässigkeit von Auftragsverarbeitungen sind umfassend in der Orientierungshilfe "Auftragsverarbeitung" dargestellt. Insbesondere muss ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden, der den Anforderungen von Art. 28 Abs. 3 DSGVO genügt.

Möchte sich der Postdienstleister bei der Brieferstellung eines weiteren Dienstleisters als Unter-Auftragsverarbeiter bedienen, so sind insbesondere die Art. 28 Abs. 2 und 4 DSGVO einzuhalten (vgl. auch Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchst. d DSGVO). Dabei ist zu beachten, dass die Einbeziehung eines Unter-Auftragsverarbeiters gemäß Art. 28 Abs. 2 DSGVO stets der Genehmigung des Verantwortlichen bedarf. Der Auftragsverarbeiter muss dem Unter-Auftragsverarbeiter gemäß Art. 28 Abs. 4 DSGVO dieselben vertraglichen Datenschutzpflichten auferlegen, die ihn vertraglich binden. Grundsätzlich muss der Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchst. b DSGVO auch gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Dies ist relevant, weil es trotz einer weitgehend automatisierten Datenverarbeitung beim Ausdruck seitens des Auftragsverarbeiters zur Kenntnisnahme durch Beschäftigte kommen kann, wenn etwa bei Wartungsarbeiten oder zur Störungsbehebung technisches Personal Einsicht in Briefe nimmt oder dies stichprobenartig zur Qualitätssicherung erfolgt.

Defizite können hier nicht nur datenschutzrechtliche, sondern - mit Blick auf § 203 Strafgesetzbuch (StGB) - auch strafrechtliche Konsequenzen haben. Beschäftigte bayerischer öffentlicher Stellen können als Amtsträger (vgl. § 11 Abs. 1 Nr. 2 StGB) gemäß § 203 Abs. 2 Satz 1 Nr. 1 StGB Geheimnisträger sein. Eine gesetzliche Offenbarungsbefugnis hat der Gesetzgeber in Bezug auf externe Dienstleister zwar in § 203 Abs. 3 Satz 2 StGB geschaffen. Somit hält sich das Strafbarkeitsrisiko des Amtsträgers bei der Weitergabe entsprechend geschützter Geheimnisse im Rahmen einer zulässigen Auftragsverarbeitung in Grenzen, soweit Auftragsverarbeiter "mitwirkende Personen" im Sinne von § 203 Abs. 3 Satz 2 StGB sein können. Gleichwohl ist auch mit Blick auf die Straftatbestände des § 203 Abs. 4 StGB ein exaktes Vorgehen im Bereich der Informationsweitergabe angezeigt.

Zu beachten sind neben den allgemeinen Vorgaben der Datenschutz-Grundverordnung auch bereichsspezifische Sonderregelungen zur Auftragsverarbeitung, die der Gesetzgeber in besonders sensiblen Fällen eingeführt hat. Sonderregelungen für Auftragsverarbeitungen finden sich etwa im Melderecht, im Steuerrecht, im Sozialrecht und im Personaldatenschutzrecht.

Beispielsweise gilt bei der Verwaltung von Realsteuern (nach § 3 Abs. 2 Abgabenordnung - AO - Grundsteuer und Gewerbesteuer), kommunalen Steuern und Fremdenverkehrsbeiträgen - gegebenenfalls nach Maßgabe von Art. 13 Abs. 1 Nr. 1 Buchst. c Kommunalabgabengesetz - das steuerliche Offenbarungsverbot (§ 30 AO). Nach § 30 Abs. 9 AO dürfen die Finanzbehörden sich bei der Verarbeitung geschützter Daten nur dann eines Auftragsverarbeiters bedienen, wenn diese Daten ausschließlich durch Personen verarbeitet werden, die zur Wahrung des Steuergeheimnisses verpflichtet sind. Soweit diese Personen nicht bereits Amtsträger (vgl. §§ 7, 30 Abs. 1 AO) oder Gleichgestellte (vgl. § 30 Abs. 3 AO) sind, ist eine Verpflichtung nach dem Verpflichtungsgesetz (VerpflG) erforderlich.

Gemäß § 1 Abs. 1 Nr. 2 VerpflG soll auf die gewissenhafte Erfüllung seiner Obliegenheiten verpflichtet werden, wer unter anderem bei einem Betrieb oder Unternehmen, das für eine Behörde oder sonstige Stelle Aufgaben der öffentlichen Verwaltung ausführt, beschäftigt ist. Dies wird bei Beschäftigten eines privaten Dienstleistungsunternehmens, das mit der Erstellung von Hybridbriefen für bayerische öffentliche Stellen betraut ist, regelmäßig der Fall sein. Im Vertrag über die Auftragsverarbeitung muss zudem festgelegt werden, dass ausschließlich diese besonders verpflichteten Personen tätig werden und der Einsatz von nicht verpflichtetem Personal auch bei Beteiligung von weiteren Auftragsverarbeitern ausgeschlossen ist.

5. Nachweis eines angemessenen Schutzniveaus

Nach der Datenschutz-Grundverordnung ist jeder Verantwortliche (und grundsätzlich auch jeder Auftragsverarbeiter) verpflichtet, mittels der wirksamen Umsetzung von Schutzmaßnahmen ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten. Welche Schutzmaßnahmen dem Risiko entsprechend wirksam umgesetzt werden müssen, wird grundsätzlich durch eine datenschutzrechtliche Risikoanalyse ermittelt und nachgewiesen.

Bei einer solchen Risikoanalyse sind in dem hier betrachteten Verfahren für den hybriden Briefversand insbesondere folgende Aspekte eingehend zu behandeln:

Vertraulichkeit: Beim Hybridbrief muss die vertrauliche Behandlung der übermittelten personenbezogenen Daten durchgängig gewährleistet werden. Insbesondere bei der elektronischen Übermittlung, bei der Datenaufbewahrung, bei dem (automatisierten) Ausdruck sowie bei der (automatisierten) Kuvertierung sind angemessene Schutzmaßnahmen gegen die unbefugte Kenntnisnahme beim Auftragsverarbeiter wirksam umzusetzen.
Datenminimierung: Zu gewährleisten ist auch, dass nach der Erreichung des Verarbeitungszwecks die Briefdaten - insbesondere der Briefinhalt - beim Auftragsverarbeiter zuverlässig wieder gelöscht werden. Bei Versäumnissen in diesem Bereich kann rasch ein umfangreicher illegaler Datenbestand anwachsen.
Nichtverkettung: Beim Hybridbrief-Verfahren werden nicht nur die Adressdaten, sondern auch die vollständigen Inhalte der Hybridbriefe, die unterschiedliche und sensible Informationen enthalten können, in elektronischer Form beim Auftragsverarbeiter verarbeitet. Die Verarbeitung dieser Daten kann etwa für Werbezwecke des Auftragsverarbeiters sehr gewinnbringend sein. Daher sind Vorkehrungen zu treffen, dass die Daten eines Hybridbriefes vom Auftragsverarbeiter nur für den Versandzweck verarbeitet werden können.

6. Fazit

Bayerischen öffentlichen Stellen ist es grundsätzlich gestattet, unter Einhaltung datenschutzrechtlicher und technisch-organisatorischer Vorgaben Hybridbriefe zu versenden. Die insoweit erfolgende Verarbeitung personenbezogener Daten muss den Verarbeitungsgrundsätzen gemäß Art. 5 DSGVO entsprechen. Vor Durchführung des Hybridbriefversands ist insbesondere die Einhaltung allgemeiner und bereichsspezifischer Vorgaben zur Auftragsverarbeitung zu prüfen und der Nachweis eines angemessenen Schutzniveaus zu erbringen.

Vgl. Arning/Rothkegel, in: Taeger/Gabel, DSGVO/BDSG/TTDSG, 4. Aufl. 2022, Art. 4 DSGVO Rn. 258. [Zurück]
Vgl. Altenhain, in: Münchener Kommentar zum StGB, 4. Aufl. 2021, § 206 StGB Rn. 33. [Zurück]
Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Orientierungshilfe, Stand 4/2019, S. 7, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Auftragsverarbeitung“. [Zurück]
Dafür Schulz, in: Mann/Sennekamp/Uechtritz, Verwaltungsverfahrensgesetz, 2. Aufl. 2019, § 3a VwVfG Rn. 47; kritisch Schmitz, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 9. Aufl. 2018, § 3a VwVfG Rn. 38h. [Zurück]
Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung (Fn. 4), S. 13 ff. [Zurück]
Vgl. Weichert, in: Kühling/Buchner, DSGVO/BDSG, 3. Aufl. 2020, Art. 9 DSGVO Rn. 149. [Zurück]
Vgl. zu einzelnen Regelungen Bayerischer Landesbeauftragter für den Datenschutz, Leitfaden zum Outsourcing kommunaler IT, Stand 3/2021, S. 6 ff., Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Auftragsverarbeitung“. [Zurück]
Vgl. allgemein zur Verpflichtung nach dem Verpflichtungsgesetz: Bayerischer Landesbeauftragter für denDatenschutz, Die förmliche Verpflichtung als Instrument des Datenschutzes, Arbeitspapier, Stand 10/2021, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Einzelthemen“. [Zurück]
Vgl. Rüsken, in: Klein, AO, 15. Aufl. 2020, § 30 AO Rn. 224. [Zurück]
Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Risikoanalyse und Datenschutz-Folgenabschätzung, Orientierungshilfe, Stand 5/2022, Internet: https://www.datenschutz-bayern.de, Rubrik „DSFA“. [Zurück]