x Hilfe schließen

Gehaltsabrechnungen wurden möglicherweise nicht zugestellt? Sie müssen nichts melden

Gehaltsabrechnungen wurden möglicherweise nicht zugestellt? Sie müssen nichts melden © fotolia, Andrey Popov

Versenden Sie Gehaltsabrechnungen per Post, ist für die Zustellung die Post verantwortlich. Die Post wird allerdings nicht als Auftragsverarbeiter tätig. Die Datenverarbeitung steht nicht im Vordergrund, sondern die Transportleistung. Soweit personenbezogene Daten (Adressdaten) verarbeitet werden müssen, kann Ihr Unternehmen diesbezüglich keine Weisungen erteilen.

Über den Autor

Mehr als 12 Jahre Berufserfahrung als Vollzeit-Datenschützer im Unternehmen. Darüber hinaus ist er seit vielen Jahren als Chefredakteur von "Datenschutz aktuell" tätig und zeigt seinen Lesern wie sich Datenschutz pragmatisch umsetzen lässt.

FRAGE: Bei uns gab es möglicherweise einen Datenschutzvorfall. Passiert ist Folgendes: Die Gehaltsabrechnungen der Mitarbeiter werden per Post an deren Privatanschrift geschickt. Nun ist bei 10 Mitarbeitern keine Gehaltsabrechnung angekommen. Ein Teil von ihnen hat sich beim Datenschutzbeauftragten beschwert. Eine Nachfrage bei der Post brachte kein Licht ins Dunkel. Es gibt daher mehrere Möglichkeiten, was passiert sein könnte: So könnten die Briefe irgendwo bei der Beförderung falsch sortiert oder zugestellt worden sein. Denkbar ist auch, dass es bei uns einen Fehler gab und die Abrechnungen falsch eingetütet oder erst gar nicht ausgedruckt wurden.

Wir fragen uns nun, wie wir mit diesem „möglichen Datenschutzverstoß“ umgehen müssen. Müssen wir der Aufsichtsbehörde etwas melden? Haften wir etwa dafür, dass vielleicht die Post als Auftragsverarbeiter etwas falsch gemacht hat?

ANTWORT: Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, kann eine Meldepflicht an die zuständige Datenschutzaufsichtsbehörde bestehen (Art. 33 Datenschutz-Grundverordnung (DSGVO)). Sie müssten eine Verletzung unverzüglich melden, möglichst binnen 72 Stunden, nachdem Sie davon erfahren haben. Allerdings reicht eine Vermutung nicht aus für die Meldepflicht. Vielmehr muss zumindest eine Datenschutzverletzung sehr wahrscheinlich sein. Darüber, ob es in dem geschilderten Fall tatsächlich zu einer Datenschutzverletzung gekommen ist, lässt sich nur spekulieren. Denkbar ist vieles, es bestehen nur Verdachtsmomente, dass dies oder jenes passiert sein könnte. Diesen sollten Sie nachgehen, um zu prüfen, ob an der einen oder anderen Möglichkeit etwas dran ist.

Mindestens genauso unklar ist, wer denn für eine Datenschutzverletzung verantwortlich wäre und daher melden müsste. Wurden die Briefe mit den Gehaltsabrechnungen versendet und kam es auf dem Weg zu den Empfängern zu einem Problem, liegt das nicht im Verantwortungsbereich Ihres Unternehmens. Für den Transport und die Zustellung ist die Post zuständig und trägt hierfür die Verantwortung. In diesem Zusammenhang ist wichtig: Die Post wird für den Brieftransport von A nach B nicht als Auftragsverarbeiter tätig. Die Datenverarbeitung steht nicht im Vordergrund, sondern die Transportleistung. Soweit personenbezogene Daten (Adressdaten) verarbeitet werden müssen, kann Ihr Unternehmen diesbezüglich keine Weisungen erteilen.

Es liegt kein Fall der Auftragsverarbeitung im Sinne des Art. 28 DSGVO vor, sodass Ihr Unternehmen auch nicht für einen Auftragsverarbeiter haften muss. Lässt sich weiterhin nicht ermitteln, ob es überhaupt zu einer Datenschutzverletzung gekommen ist, braucht Ihr Unternehmen nichts an die zuständige Datenschutzaufsichtsbehörde zu melden. Auch eine „vorsorgliche“ Meldung für alle Eventualitäten ist nicht notwendig. Im Übrigen sind viele Datenschutzaufsichtsbehörden inzwischen der Ansicht, dass nicht jede Datenschutzverletzung zu melden ist. Es muss vielmehr ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bestehen. Sollte sich ein Datenschutzverstoß in Ihrem Fall bestätigen, müssten Sie die Frage der Meldepflicht von einer entsprechenden Prüfung abhängig machen.

Bildquelle: Fotolia | #217259486

© 2019 TeachToProtect