Versand von E-Post-Briefen

Nach Art. 32 Abs. 1 der Europäischen Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen und Behörden Maßnahmen „unter Berücksichtigung des Stands der Technik“ Maßnahmen ergreifen, um personenbezogene Daten auch bei einer E-Mail-Übertragung – zum Beispiel durch Verschlüsselung – zu schützen. Eine Möglichkeit dafür ist der Versand von E-Postbriefen.

Der E-Postbrief ist ein Dienst der Deutschen Post AG für den Austausch elektronischer Nachrichten über das Internet. Es handelt sich dabei regelmäßig um elektronische Datenübertragungen ohne Medienbruch. E-Postbriefe können aber auch alternativ in Papierform zugestellt werden - hierbei spricht man von einem Hybridbrief.

Elektronische Übertragung des E-Postbriefes

Aufgrund von Sicherheitsmaßnahmen (wie etwa einer Transportverschlüsselung) sowie weiterer Vorgaben an die Vertraulichkeit, Integrität und Authentizität der Kommunikation bietet der E-Postbrief ein höheres Sicherheits- und Datenschutzniveau als der herkömmliche E-Mail-Versand.

Allerdings findet eine verschlüsselte Datenübertragung standardmäßig nur zwischen dem Absender und den Betreiber des Verfahrens (also der Deutschen Post AG) statt. Der E-Postbrief liegt bei dem Betreiber somit unverschlüsselt vor; dadurch kann dort ein unzulässiger Datenzugriff nicht (technisch) sicher ausgeschlossen werden. Die Weiterleitung des E-Postbriefs von der Betreiberin an den Empfänger erfolgt sodann ebenfalls durch eine erneute Transportverschlüsselung geschützt.

Für die Übertragung von E-Mails mit besonders sensiblen Inhalten steht nunmehr auch eine Ende-zu-Ende-Verschlüsselung zur Verfügung. Dies ist aber natürlich mit zusätzlichem Aufwand und Kosten verbunden.

Hybridbrief

Beim Versand eines E-Postbriefes als Hybridbrief erfolgt zunächst wiederum eine Verschlüsselung des Transportwegs zwischen dem Absender und dem mit der Zustellung beauftragten Externen. Bei dem beauftragten Unternehmen wird das Dokument ausgedruckt, kuvertiert und frankiert und dann dem Empfänger in Papierform konventionell zugestellt.

Ausdruck, Kuvertierung und Frankierung verlaufen nach Angabe der Deutschen Post AG automatisch. Ein menschliches Eingreifen sei lediglich bei Störungen erforderlich. Zusätzlich würden die Ausdrucke und die Kuvertierungen durch die Deutsche Post AG stichprobenartig überprüft. Allerdings kann bei diesem Vorgang nicht ausgeschlossen werden, dass die mit dem Überprüfen beauftragten Personen diese Dokumente auch lesen und somit vom Inhalt Kenntnis nehmen können. Demzufolge müssen alle dafür eingesetzten Beschäftigten auf das Fernmelde- und Postgeheimnis verpflichtet werden. Unter das Briefgeheimnis fällt der E-Postbrief nur dann nicht, wenn er direkt (also ohne Aus-drucken) versendet wird.

Bei dem Versand eines Hybridbriefs mit sensiblem Inhalt sollte die absende Stelle zuvor die schriftliche Einwilligung des betroffenen Empfängers in diese Art des Versands einholen. Liegt diese Einwilligung nicht vor, sollte von einem Versand derartiger Schreiben mittels Hybridbriefs abgesehen werden.

Beim Versand eines Hybridbriefs liegt im Regelfall eine Auftragsverarbeitung vor. Somit muss diese Dienstleistung in dem jeweiligen Umfeld zum einen rechtlich zulässig sein, was beispielsweise im Gesundheits- und Sozialbereich nicht ohne weiteres der Fall ist. Zum anderen muss ein entsprechender Vertrag abgeschlossen werden.

Sofern die Deutsche Post AG sich zum Ausdrucken und Kuvertieren einer dritten Stelle bedient, handelt es sich um ein Unterauftragsverhältnis, das im Vertrag zur Auftragsverarbeitung ebenfalls geregelt sein muss.