Fehlgeleitete Kundenanschreiben sind (nicht immer) meldepflichtig!

Rechtsanwalt Veit Reichert Gesellschaftsrecht

iStock.com/shironosov

Serienbriefe, Terminsbestätigungen oder eine Werbe-E-Mail: Kundenanschreiben erfolgen häufig, der Teufel steckt im Detail und es kommt immer wieder vor, dass Kundenanschreiben an den falschen Adressaten erfolgen. Und dann sollten die inneren Alarmglocken klingeln: Was nun?

Aus dem Inhalt des fehlgeleiteten Schreibens kann sich dann der eigentlich vorgesehene richtige Adressat ergeben und oft der diesem Adressaten zuzuordnende Sachverhalt. Auch bei Serienbriefen kann bei Nennung einer weiteren Person als Empfänger der Hinweis auf eine bestehende Kundenbeziehung enthalten sein. Dabei handelt es sich dann auch immer gleich um personenbezogene Daten.

Der falsche Versand von Kundenanschreiben stellt grundsätzlich eine Datenschutzverletzung dar. Aber kein Grundsatz ohne Ausnahmen, was sich in diesem Text zeigen wird.

Wichtig ist, dass nicht jedes falsch versandte Schreiben eine Meldepflicht nach Art. 33 DS-GVO an die Aufsichtsbehörde nach sich zieht. Die Ausnahme – Entfall der Meldepflicht – besteht dann, wenn die Datenschutzverletzung aller Wahrscheinlichkeit nach nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt, das heißt dem eigentlichen Adressaten.

Der Versender eines fehlgeleiteten Kundenanschreibens muss daher eine Risikobewertung vornehmen, was aus der Datenschutzverletzung entstehen könnte. Dabei sind insbesondere natürlich die Person des Empfängers des Schreibens zu berücksichtigen, die eigentlich betroffene Person und der Inhalt des Schreibens.

Je nach Inhalt des Schreibens ergeben sich anders zu berücksichtigende Risiken, da z. B. lediglich der Hinweis auf eine bestehende Kundenbeziehung anders zu werten ist, als wenn Gesundheitsdaten und/oder Kontodaten in dem Schreiben enthalten sind. Gerade die letzten beiden Fälle dürften ohne weiteres sicher zu einer Meldepflicht führen.

Der tatsächliche Empfänger ist für die Beurteilung des Risikos der Folgen des Datenschutzverstoßes sicherlich ebenfalls relevant, da sich das Risiko in dieser Person eben manifestieren kann oder, je nach dessen Verhalten, deutlich reduziert ist. Meldet sich ein Empfänger und versichert, keine Kopien zu behalten, ist die Situation anders zu bewerten als bei einem unbekannten Empfänger, dessen Verhalten nicht eingeschätzt werden kann.

Bei dem eigentlichen Empfänger ist wiederum zu berücksichtigen, dass unbekannte Personen mit gängigen Namen einem anderen Risiko ausgesetzt sind als Personen des öffentlichen Interesses.

Fehlgeleitete geschäftliche Korrespondenz ist nicht nur unangenehm, sondern kann auch eine Meldepflicht an die Datenschutzbehörde nach sich ziehen – hier ist Vorsicht geboten und wir beraten Sie hierzu gerne.