3 Tipps für DSGVO-konforme Briefkästen

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Datenpannen am Unternehmensbriefkasten? Unsinn. Oder doch nicht? Am betrieblichen Briefkasten kann mehr schiefgehen, als viele ahnen. Wann ist ein Briefkasten DSGVO-konform? 3 einfache Tipps, wie Sie Datenschutzverstöße am Briefkasten vermeiden.

DSGVO-Verstoß am Briefkasten

Im vergangenen Jahr wurde ich Zeuge eines Vorfalls, der zu einer Meldepflicht bei der Datenschutz-Aufsichtsbehörde führte. Der Fall war beispielhaft – er hätte sich ebenso in einer Arztpraxis ereignen können wie in einer Anwaltskanzlei, einem Inkassounternehmen oder einem kleinen Handwerksbetrieb.

Was war passiert? Es ging um den Briefkasten des Unternehmens. Der war nicht allzu groß, und eines Tages kam mehr Post, als hineinpasste. Die Folge: Aus dem Briefkasten ragten einige DIN-A4-Umschläge. Einer war oben aufgerissen – das Schreiben darin war sichtbar. Und ausgerechnet in diesem Schreiben steckten sensible Informationen.

Briefe mit sensiblem Inhalt

Beispiele für sensible Informationen im betrieblichen Briefkasten? Gibt es zuhauf. In einer Arztpraxis kann es sich um den Arztbrief eines Klinikums handeln oder um Laborbefunde einer Patientin. In einer Anwaltskanzlei könnten es kritische Dokumente zu einem Missbrauchsfall sein, in einem Handwerksbetrieb Informationen zu Zahlungsschwierigkeiten eines Kunden. Was immer es ist, es fehlt nur noch jemand – wohlmeinend oder neugierig, boshaft oder kriminell – der den beschädigten Umschlag hervorzieht und einen Blick auf den Inhalt wirft. Wenn das passiert, handelt es sich in aller Regel um eine meldepflichtige Schutzverletzung im Sinne der DSGVO.

Genau das war geschehen. In diesem Fall war es eine wohlmeinende Kollegin aus dem Nachbarunternehmen mit Büros ein paar Stockwerke höher. Sie sah den beschädigten Umschlag und nahm ihn mit, um ihn später unten abzugeben. Kann man ja nicht einfach offen liegen lassen. Nur: Sie dachte nicht gleich daran, der Brief lag vergessen. Als er ihr wieder einfiel, war nicht mehr feststellbar, wann sich der Vorfall ereignet hatte. So konnten die Betroffenen nicht informiert werden, dass das sensible Dokument mittlerweile von anderen hätte eingesehen oder kopiert werden können. In so einem Fall greift die Meldepflicht – das Unternehmen musste den Vorfall der Datenschutz-Aufsichtsbehörde melden.

Dabei wäre die Sache leicht vermeidbar gewesen. Immerhin gibt es Vorgaben für rechtlich einwandfreie Briefkästen. Es gibt sogar eine DIN-Norm dafür.

"Entspricht der Briefkasten nicht den Anforderungen, haftet das Unternehmen."

Eine DIN-Norm für den Briefkasten

In Deutschland galt früher die DIN 32617 für Briefkästen. Sie wurde von der DIN EN 13724 ersetzt, die in ganz Europa gilt. Und was besagt eine DIN-Norm für Briefkästen? Hier die wichtigsten Vorgaben:

• Die Norm bestimmt vier Arten von Einwurf-Öffnungen nach Außenbereich, Innenbereich, Durchwurf und Tür/Seitenwand.
• Sie weist zwei verschiedene Einwurfgrößen aus: bei Quereinwurf mindestens 32,5 und höchstens 40 cm, bei Längseinwurf mindestens 23 und höchstens 28 cm. Die Einwurfhöhe liegt zwischen 3 und 3,5 cm.
• Widerstandsfähigkeit gegen Korrosion nach DIN EN 1670 und gegen das Eindringen von Wasser (240 Std. Salzsprühtest)
• Schutz vor Einbruch durch stabile Materialien und Schlösser mit einer Einteilung in zwei Sicherheitsstufen
• Ein Prüfumschlag im Format C4 (22,9 x 32,4 cm) muss zugestellt werden können, ohne ihn zu falten oder zu beschädigen
• Die Höhe, auf der Post eingeworfen werden kann: Die Mittellinie der Einwurföffnung sollte zwischen 70 cm und 1,70 m Einbauhöhe liegen. In Ausnahmefällen darf der Schlitz auch auf einer Höhe zwischen 40 cm und 1,80 m liegen.
• Zur Gewährleistung der Sicherheit darf der Einwurfschlitz keine scharfen Ecken haben.
• Zur Gewährleistung der Vertraulichkeit dürfen Hausbriefkästen kein Sichtfenster haben.
• Entnahmesicherung: Der Briefkasten muss den Inhalt zuverlässig vor unbefugtem Zugriff schützen.
• Das Mindestvolumen des Briefkastens liegt bei einer Stapelhöhe von mind. 4 cm Postgut im Format C4.

Datenleck Briefkasten?

Ist der Briefkasten nicht geeignet, die eintreffende Post aufzunehmen, hat das Folgen: Briefe liegen ungeschützt herum. Sind sie beschädigt, können Unbefugte den Inhalt sehen – dann ist das Briefgeheimnis verletzt. Die Verletzung des Briefgeheimnisses ist eine Straftat – es muss festgestellt werden, wer sie zu verantworten hat. Zwar handelt es sich um ein absolutes Antragsdelikt, es muss also jemand Anzeige erstatten, der betroffen ist. Wo kein Kläger, da kein Richter. Aber will man sich darauf verlassen?

Nicht unterschätzen sollte man das Risiko eines intakten Briefumschlags, der aus dem Briefkasten ragt: Ein Regenguss und das Kuvert weicht auf. Auch das kann dazu führen, dass der Inhalt einsehbar wird. Fallen Ihnen weitere denkbare Unfälle ein?

Wer haftet für rechtliche Verstöße am Briefkasten?

Wenn es zu Datenpannen am Briefkasten kommt, wer trägt die Verantwortung? Rechtlich betrachtet gilt: Sobald die Briefträgerin die Postsendung eingelegt hat, geht die Verantwortung an den Eigner des Briefkastens über. Das bedeutet: Entspricht der Briefkasten nicht den Anforderungen, haftet das Unternehmen.

Grundrecht Briefgeheimnis, Grundrecht Datenschutz

Die Verletzung des Grundrechts Briefgeheimnis bedeutet eine Verletzung des europäischen Grundrechts auf Datenschutz, mutmaßlich mit einem hohen Risiko für Rechte und Freiheiten der betroffenen Person. Das wiederum löst eine Meldepflicht an die Datenschutz-Aufsichtsbehörde aus.

Vorsicht besser als Nachsicht

Haben Sie als Datenschutzbeauftragte/r schon einmal geprüft, ob der Briefkasten Ihres Unternehmens der DIN-Norm entspricht? Wenn nicht, ist jetzt eine gute Gelegenheit!

Tipps, Verstöße gegen Datenschutz und Briefgeheimnis zu verhindern

Werfen wir einen Blick auf die DIN-EN-Normen. Da gibt es eine für den Bereich aus unserem Beispiel: Die DIN EN 13724 befasst sich mit „Postalischen Dienstleistungen – Einwurföffnungen von Hausbriefkästen – Anforderungen und Prüfungen“.

Nach dieser Norm muss ein ordnungsgemäßer Briefkasten mit einem Entnahmeschutz versehen sein – oder so tief, dass sich auch größere Briefumschläge nicht durch den Schlitz entnehmen lassen.

3 Tipps für einen DSGVO-konformen Briefkasten

Maßnahmen, um Datenpannen am Briefkasten zu vermeiden

Das ist schon alles! Kleiner Aufwand, große Wirkung.

Die Kernfrage: Ist gewährleistet, dass Briefsendungen unbeschädigt ankommen und ausreichend vor unbefugtem Einblick geschützt sind?