(Kommentare: 0)
DSGVO in der Praxis bei Kurier-, Express- und Postdiensten
Der 25. Mai 2018 als Stichtag für die Gültigkeit der europäischen Datenschutz-Grundverordnung (DSGVO) rückt näher. Die Logistiknetze von Kurier-, Express- und Postunternehmen (KEP) setzen sich in der Regel aus kleinen und mittelständischen Unternehmen zusammen. Sie bieten als regionale, nationale und internationale Netzwerke KEP-Serviceangebote an. Im Kontext der Datenschutzgrundverordnung ist es sinnvoll, dass Kernelemente der DSGVO in der Branche möglichst einheitlich umgesetzt werden. Der Bundesverband der Kurier-Express-Post-Dienste e.V. ist Teil einer Brancheninitiative zur einheitlichen Umsetzung der DGSVO in der KEP Branche. Wichtige Themenbereiche bei der Umsetzung sind wie folgt.
https://bdkep.de/KEP-Werkzeuge-zur-Umsetzung-der-DSGVO.html
Aufsichtsbehörde
Die zuständige Datenschutz-Aufsichtsbehörde ist im PostG §42 Abs. 3 festgelegt. Soweit für das geschäftsmäßige Erbringen von Postdiensten Daten von natürlichen oder juristischen Personen erhoben, verarbeitet oder genutzt werden, ist die zuständige Aufsichtsbehörde die Bundesbeauftragte für den Datenschutz. Postdienstleistungen sind für Sendungen bis 20 kg definiert. Die Branche arbeitet darauf hin, dass auch oberhalb von 20 kg die Zuständigkeit bei der Bundesbeauftragten bestehen bleibt .und nicht für ein Unternehmen zwei Aufsichtsbehörden zuständig sind.
https://bdkep.de/KEP-Werkzeuge-zur-Umsetzung-der-DSGVO.html
Rechtsgrundlagen für die Datenverarbeitung
Die Rechtsgrundlagen für die Datenverarbeitung ergeben sich grundsätzlich aus dem Artikel 6 DGSVO, hier besonders durch a) Einwilligung der betroffenen Person sowie b) Verarbeitung in Erfüllung eines Vertrages. Diese Regelungen werden für Sendungen unter 20 kg durch das Postgesetz § 41 in Kombination mit der Postdienste-Datenschutzverordnung § 3 präzisiert. Demnach dürfen Postdiensteanbieter im Zusammenhang mit der Erbringung von Postdiensten personenbezogene Daten der am Postverkehr Beteiligten erheben, verarbeiten und nutzen.
https://bdkep.de/KEP-Werkzeuge-zur-Umsetzung-der-DSGVO.html
Postdienstleistungen sind keine Auftragsverarbeitung
Das Beauftragen von Postdienstleistungen sowie die Weitergabe von Daten zwischen den Kurier- und Postunternehmen wird nicht als Auftragsverarbeitung eingestuft. Das hat die Datenschutzkonferenz im KurzpapierNr. 13, "Auftragsverarbeitung, Art. 28 DSGVO” bekräftigt. Auch unter den bisherigen Regelungen des Bundesdatenschutzgesetzes handelt es sich nicht um eine Auftragsdatenverarbeitung: siehe BayLDA, „Papier zurAuftragsdatenverarbeitung nach § 11 BDSG“ sowie Lachenmann in Koreng/Lachenmann, „Formularhandbuch Datenschutzrecht“, 2015, Seite 163.
https://bdkep.de/KEP-Werkzeuge-zur-Umsetzung-der-DSGVO.html
Hybridpost und Auftragsdatenverarbeitung
Im Zusammenhang mit dem Versand von Hybridpost = Postdienst führt Druck, Versand und ggfs. Zustellung der Sendungen durch, wird für den Teilprozess Druck & Kuvertierung der Sendungen eine Auftragsverarbeitung angenommen.
https://bdkep.de/KEP-Werkzeuge-zur-Umsetzung-der-DSGVO.html
Kategorien personenbezogener Daten
Kurier- und Postunternehmen verarbeiten in der Regel folgende Kategorien personenbezogener Daten: Name, Vorname, Titel - Geschlecht: Herr/ Frau - Unternehmen/ Einrichtung - Straße & Hausnummer - PLZ Ort - Telefon/ Fax - E-Mail – Umzugsadresse – Unterschriften. Nicht jedes Unternehmen verarbeitet alle Kategorien. Weitere Kategorien können entsprechend der angebotenen Services zusätzlich verarbeitet werden.
https://bdkep.de/KEP-Werkzeuge-zur-Umsetzung-der-DSGVO.html
Betroffene Personen
Von der Datenverarbeitung betroffene Personen sind Privatpersonen oder Mitarbeiter bzw. Vertreter der am Prozessablauf zur Beförderung der Sendungen beteiligten Unternehmen. In der Regel können folgende Personen betroffen sein: Versender - Empfänger – Ersatzempfänger - beteiligte Mitarbeiter in den Unternehmen: Abholer, Zusteller, Ansprechpartner beim Versender für operative Abwicklung und kaufmännische Angelegenheiten.
https://bdkep.de/KEP-Werkzeuge-zur-Umsetzung-der-DSGVO.html
Datenschutzfolgeabschätzung (DSFA)
Datenschutzfolgeabschätzungen sind durch die DSGV vorgeschrieben, sofern die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Die Datenverarbeitung im Kontext von Standardservices bei der Beförderung von Sendungen durch KEP Unternehmen stellt kein hohes Risiko für die Betroffenen dar. Ausschlaggebend für diese Bewertung ist der DSFA-Kriterienkatalog der Artikel 29 Gruppe. Die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA soll durch die KEP Unternehmen mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich dokumentiert werden.
Der BdKEP baut eine DSGVO-Wissenplattform sowie einen Werkzeugkasten zur DSGVO Umsetzung durch KEP Unternehmen auf: bdkep-forum.zendesk.de.
siehe auch:
Einen Kommentar schreiben