Die Abdingbarkeit von technischen und organisatorischen Maßnahmen

Fachbeitrag

Der Hamburgische Datenschutzbeauftragte hat sich in einem Vermerk der Frage gewidmet, ob betroffene Personen in den gänzlichen oder teilweisen Verzicht auf technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO einwilligen können. Wir fassen die wichtigsten Argumente zusammen und stellen die Bedeutung für den Datenschutzalltag heraus.

Geeignete technische und organisatorische Maßnahmen?

Die Frage, welche TOM für den eigenen Betrieb tatsächlich ausreichend sind, lässt viele Personen ratlos aussehen – zu Recht. Denn der Art. 32 DSGVO sieht kein vorgeschriebenes Niveau vor. Stattdessen hat der Verantwortliche oder der Auftragsverarbeiter nach eigenem Ermessen verschiedene Faktoren zu berücksichtigen, um ein dem Risiko angemessenes Datenschutzniveau gewährleisten zu können.

Art. 32 DSGVO sieht Ermessensspielräume je nach Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie je nach unterschiedlichen Eintrittswahrscheinlichkeiten und Schweren des Risikos für die Rechte und Freiheiten natürlicher Personen vor.

Schwierig wird die Situation hingegen, wenn der Verantwortliche einzelne Maßnahmen möglicherweise nicht gewährleisten kann, die betroffene Person dies aber billigend in Kauf nehmen würde.

Stellungnahme des Hamburgischen Datenschutzbeauftragten

In einem Vermerk stellte der Hamburgische Datenschutzbeauftragte fest, dass die Einwilligung in ein möglicherweise niedrigeres Datenschutzniveau bei einzelnen Datenverarbeitungen von besonderer Relevanz sei. Man denke nur an Situationen, in denen eine E-Mail mit einem wichtigen Inhalt lieber verschlüsselt versendet werden sollte, der zeitliche Druck dies aber nicht hergibt.

Der Frage nach der Möglichkeit einer Einwilligung in ein niedrigeres Datenschutzniveau liegt die Abwägung zugrunde, ob von der Regelung des Art. 32 DSGVO grundsätzlich eine abweichende Vereinbarung getroffen werden kann. Der Art. 32 DSGVO müsste somit eine abdingbare Vorschrift sein.

Art. 32 DSGVO als zwingendes Recht?

Ob der Art. 32 DSGVO als unabdingbares Recht einzustufen ist, hat bereits einige Datenschützer ins Wanken gebracht. Betrachten wir einmal die wichtigsten Argumente.

Europäischer Mindeststandard für den Datenschutz

Der Hamburgische Datenschutzbeauftragte greift in seinem Vermerk das Argument auf, dass mit der DSGVO das Ziel verfolgt wurde, innerhalb der Europäischen Union ein einheitliches Datenschutzniveau zu etablieren. Dies sei nach Ansicht des Hamburgischen Datenschutzbeauftragten ein berechtigter Einwand, da ansonsten die Datensicherheit nach Vereinbarung mit den betroffenen Personen unterlaufen und auf ein Minimum herabgesetzt werden könne. Somit würden beispielsweise Unternehmen keine Kosten in die Hand nehmen, um Ihren Kunden eine datenschutzkonforme Plattform anzubieten. Stattdessen könne eine entsprechende Zustimmung der Kunden eingeholt werden, welche angesichts fehlender Alternativen möglicherweise leicht eingeholt werden könnte.

Demgegenüber stellt der Hamburgische Datenschutzbeauftragte jedoch fest, dass ein einheitliches Datenschutzniveau immer noch gewährleistet werden könne. Der Art. 32 DSGVO verpflichte nur die Verantwortlichen und Auftragsverarbeiter zu der Implementierung angemessener technischer und organisatorischer Maßnahmen. Somit würde diese Vorschrift nicht der Dispositionsfreiheit der Hauptakteure unterliegen, sondern lediglich der betroffenen Personen.

Schutz der betroffenen Person

Als weiteres Hauptziel des Art. 32 DSGVO wurde in dem Vermerk der Schutz der betroffenen Person herausgestellt. Der Hamburgische Datenschutzbeauftragte stellt dabei heraus, dass die DSGVO primär das Grundrecht auf Datenschutz nach Art. 8 GRCh schützt. Dabei zeige sich bereits in Art. 8 Abs. 2 S. 1 GRCh, wonach die betroffene Person als Grundrechtsträger über die eigenen Daten bestimmen sollte:

„Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.“

Dazu führt der Hamburgische Datenschutzbeauftragte aus:

„Es erscheint vor diesem Hintergrund nicht überzeugend, anzunehmen, dass zwar eine Einwilligung in die direkte Veröffentlichung von personenbezogenen Daten möglich sei, nicht aber das Übermitteln solcher Daten auf einem Weg, der nicht ausreichend gesichert ist.“

Einwilligung als vorgesehenes Regelungsinstrument des Art. 32 DSGVO

Dem könnte jedoch gegenüberstehen, dass dennoch eine Einwilligung als Regelungsinstrument für den Art. 32 DSGVO von dem Verordnungsgeber nicht vorgesehen sei (Laue in: Spindler/Schuster, 4. Aufl. 2019, Art. 32 DSGVO, Rn. 20). Für den Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO sei die Einwilligung explizit für die Zulässigkeit einer Datenverarbeitung geregelt, diese wurde in Art. 32 DSGVO jedoch nicht aufgenommen.

Die Rechtmäßigkeit der Datenverarbeitung setze immer die Zulässigkeit und die Datensicherheit als zwei kumulative Anforderungen voraus (Jandt in: Kühling/Buchner, 3. Aufl. 2020, Art. 32 DSGVO Rn. 40). Somit solle die Einwilligung des Betroffenen nur das „Ob“ der Datenverarbeitung regeln. Das „Wie“ sei in Form der spezifischen Pflichten von Verantwortlichen und Auftragsverarbeiter in Kapitel 5 der DSGVO geregelt, wozu auch Art. 32 DSGVO gehöre.

Aber auch hier würde der Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 7 DSGVO bezüglich der Bedingungen für die Einwilligung dem Schutz der betroffenen Person als Ausfluss des Art. 8 Abs. 2 GRCh dienen. Die Einwilligung sei nach Ansicht des Hamburgischen Datenschutzbeauftragten ein Ausdruck der grundsätzlichen Dispositionsfreiheit der betroffenen Personen über die eigenen Daten. Die restlichen Rechtsgrundlagen in Art. 6 DSGVO, wie beispielsweise die Erforderlichkeit zur Erfüllung eines Vertragsverhältnisses nach Art. 6 Abs. 1 lit. b DSGVO oder das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO würden diese Entscheidungsfreiheit der Betroffenen erst beschränken. Dazu wird ausgeführt:

„Die Gesetzessystematik spricht daher (…) gerade für die Möglichkeit der betroffenen Person in die Herabsetzung der Sicherheit der Verarbeitung einzuwilligen, da die Dispositionsfreiheit der betroffenen Person durch die Art. 6 und 7 DSGVO nur in Bezug auf das „Ob“ und nicht in Bezug auf das „Wie“ eingeschränkt wird. Da eine Regelung über eine Beschränkung der Dispositionsfreiheit über das „Wie“ fehlt, bleibt sie in Bezug auf das „Wie“ unbeschränkt.“

Die Entscheidungsfreiheit der betroffenen Personen, ob sie eine unsichere Datenverarbeitung in Kauf nehmen wollen, kann also durchaus überzeugen. Der Art. 32 DSGVO kann somit als abdingbares Recht angesehen werden, aber nur seitens des Betroffenen. Der Verantwortliche oder der Auftragsverarbeiter hat weiterhin seine Pflichten zu erfüllen.

Pflichten des Verantwortlichen oder des Auftragsverarbeiters

In dem Vermerk grenzt der Hamburgische Datenschutzbeauftragte jedoch ein, dass der Verantwortliche oder der Auftragsverarbeiter dennoch angemessene technische und organisatorische Maßnahmen vorhalten müssen, um eine freie Entscheidung der betroffenen Person gewährleisten zu können.

Beispielsweise sei es nicht möglich, die datenschutzrechtlichen Pflichten zu umgehen und sich gar nicht erst Gedanken über die Schutzvorkehrungen einer Datenverarbeitung zu machen, indem lediglich die Einwilligung der betroffenen Personen erzwungen wird. Dazu in der Stellungnahme des Hamburgischen Datenschutzbeauftragten:

„Dies schließt nicht aus, dass der Betroffene in Bezug auf eine konkrete, ihn betreffende Verarbeitung darin einwilligen kann, dass die konkrete Maßnahme ohne das nach Art. 32 DSGVO erforderliche Schutzniveau durchgeführt wird, vorausgesetzt, dass der Verantwortliche dieses grundsätzlich gewährleisten kann.“

So kann beispielsweise weiterhin ein Betroffener darauf bestehen, dass im Einzelfall eine E-Mail unverschlüsselt versendet wird, obwohl der Verantwortliche die entsprechenden Vorkehrungen zur sicheren Datenübermittlung getroffen hat. Der Betroffene müsste diese Vorkehrungen auf seiner Seite erst einrichten und möchte möglicherweise nicht zu dem Zeitpunkt die Zeit investieren. Grundsätzliche Nachteile sollten der betroffenen Person nicht entstehen.

Eine freiwillige Einwilligung könnte dann aber angezweifelt werden, wenn die betroffene Person keine Möglichkeit hat, das Dokument postalisch einzureichen oder mit einem erheblichen Zeit- und Kostenaufwand konfrontiert wird oder dauerhaft zu der Wahl des postalischen Versands mangels einer zumutbaren Alternative gezwungen wird.

Grundsätzlich möglich, aber …

Unternehmen dürfen sich hier nicht zu früh freuen. Die Pflicht zur Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO ist weiterhin anwendbar. Dennoch zeigt die Stellungnahme des Hamburgischen Datenschutzbeauftragten auf, dass im Einzelfall auf Wunsch des Betroffenen von dieser Vorschrift abgewichen werden darf. Dabei sind stets die Voraussetzungen einer wirksamen Einwilligung einzuhalten.

Auch sollte diese Ansicht noch nicht in Stein gemeißelt werden, die österreichische Datenschutzaufsicht sah in einem ähnlichen Fall mit Gesundheitsdaten eine unverschlüsselte Datenübermittlung auf Grundlage einer Einwilligung als kritisch an.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Die öDSB sieht dies wohl etwas anders:
    dataprotect.at/2019/04/16/datensicherheitsma%C3%9Fnahmen-sind-nicht-disponibel/

    liebe (kollegiale) Grüße aus Österreich

  2. Danke! Sehr hilfreich! Kleiner redaktioneller Fehler: „Dabei zeige sich bereits in Art. 8 Abs. 1 S.1 GRCh, wonach die betroffene Person als Grundrechtsträger über die eigenen Daten bestimmen sollte:“ – Gemeint ist wohl Abs. 2 Satz 1

  3. katholisches-datenschutzzentrum.de/wp-content/uploads/2019/10/KDB-Einwilligung-bei-schlechten-TOM-vom-19.09.2019.pdf

    Auch die katholische Datenschutzaufsicht sieht das Thema etwas anders als die Hamburger.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.