SBS Firmengruppe Logos

| Datenschutzrecht

DSGVO: Einwilligung in niedrigere TOM möglich


Betroffene können wirksam zu einer Datenverarbeitung auf einem niedrigeren Schutzniveau zustimmen

Der Hamburger Datenschutzbeauftragte hat in einem Aktenvermerk vom 18.02.2021 die Rechtsansicht geäußert, dass Betroffene grundsätzlich in niedrigere technisch-organisatorische Maßnahmen (TOM) einwilligen können als von der Datenschutzgrundverordnung (DSGVO) vorgesehen. Betroffene könnten also wirksam zu einer Datenverarbeitung im Rahmen eines niedrigeren Schutzniveaus zustimmen.

Die geeigneten TOM werden durch Art. 32 DSGVO vorgeschrieben, um gemäß Art. 24 DSGVO sicherzustellen, dass die Rechte und Freiheiten der betroffenen Person gewahrt werden.  

Was genau sind technisch-organisatorische Maßnahmen (TOM)?

TOM sind die in Art. 32 DSGVO vorgeschriebenen Maßnahmen, welche die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen. Verantwortliche und Auftragsverarbeiter müssen geeignete TOM treffen, sodass die Sicherheit der Verarbeitung durch Pseudonymisierung oder Verschlüsselung der personenbezogenen Daten sowie durch die Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sichergestellt werden.

Für die TOM ist kein bestimmtes Schutzniveau vorgeschrieben, sondern sie verpflichten den Verantwortlichen zu einer Abwägung zwischen den Risiken der Verarbeitung und den Implementierungskosten sowie der Art, Umfang, der Umstände und dem Zweck der Verarbeitung. Ausgangspunkt bei all diesen Prüfungen und Vorkehrungen ist der Stand der Technik. Dem Verantwortlichen bleibt bei der Festlegung der Schutzmaßnahmen ein gewisser Spielraum, wobei der Schutzbedarf der Daten es erfordern kann, dass zumindest eine von mehreren denkbaren TOM ergriffen wird, sofern dies dem Stand der Technik entspricht.

 

Diskussionen über Einwilligung in niedrigere TOM in Wissenschaft und Praxis

Die Frage, ob Betroffene in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen können ist bisher sehr umstritten und auch gerichtlich kaum geklärt. Die Schwierigkeiten werden in der Praxis typischerweise anhand der (E-Mail-)Verschlüsselung deutlich. Wenn es sich beispielsweise um besonders schutzwürdige personenbezogene Daten nach Art. 9 DSGVO handelt, so ergibt eine Abwägung nach Art. 32 DSGVO meist, dass eine Ende-zu-Ende-Verschlüsselung geboten ist. Ist nun jedoch der Fall gegeben, dass weder der Verantwortliche noch der Betroffene über die entsprechenden technischen Mittel verfügen, um eine solche Verschlüsselung umzusetzen, so stellt sich die Frage, ob eine Einwilligung in ein niedrigeres Schutzniveau durch den Betroffenen möglich ist.

Im Endeffekt geht es also um die Frage, ob oder inwieweit es sich bei den TOM des Art. 32 DSGVO um zwingende Vorgaben handelt.

Hamburger Datenschutzbeauftragte bestimmt zwei zwingende Voraussetzungen für eine wirksame Einwilligung

In all den Diskussionen positionierte sich der Hamburger Datenschutzbeauftragte nun so, dass er eine Einwilligung in niedrigere TOM grundsätzlich für möglich hält. Hierfür hat er jedoch zwei zwingende Voraussetzungen herausgearbeitet, unter denen eine solche Einwilligung möglich sei:

1. Wirksame, freiwillige und transparente Einwilligung

Als erstes Kriterium nennt der Datenschutzbeauftragte die wirksame, freiwillige und transparente Einwilligung. Dies bedeutet, dass eine Einwilligung nur dann wirksam sei, sofern der Betroffene hinreichend transparent und umfassend aufgeklärt wurde und seine Einwilligung dabei freiwillig abgibt.

Zunächst müsse der Verantwortliche grundsätzlich in der Lage sein, das nach der Abwägung des Art. 32 DSGVO erforderliche Schutzniveau gewährleisten zu können. Die DSGVO verpflichte den Verantwortlichen zwar unabhängig vom Einzelfall dazu, ein angemessenes Schutzniveau zu gewährleisten, allerdings stehe die Regelung der Freiheit des Betroffenen, darüber zu entscheiden, wie mit den eigenen Daten umgegangen wird, dem nicht entgegen.

Insbesondere müsse der Betroffene frei von Zwang sein und eine echte Entscheidungsmöglichkeit haben. Es sei nicht rechtens, wenn er zu einer Einwilligung in eine unsichere Datenverarbeitung gezwungen würde, wenn er einen Online-Dienst, einen Rechtsanwalt o.ä. seiner Wahl aufsucht. Das bedeutet, dass immer auch eine angemessene sichere Alternative für den Betroffenen bestehen müsse, welche er frei von unzumutbaren Nachteilen auswählen könnte.

2. Verantwortlicher muss ein ausreichendes Datenschutzniveau vorhalten

Das zweite Kriterium besteht darin, dass der Verantwortliche trotz Einwilligung in ein niedrigeres Schutzniveau seitens des Betroffenen ein ausreichendes Datenschutzniveau gemäß Art. 32 DSGVO, d.h. ausreichende TOM, vorhalten müsse. Ein Unternehmen dürfe somit nicht seine gesamte Datenverarbeitung auf dem niedrigen Schutzniveau ausrichten und sich darauf verlassen, dass der Betroffene einwilligt, sondern müsse dafür sorgen, dass es die gesetzlichen Anforderungen erfüllt.

So könne der Betroffene nur frei über einen Verzicht der Einhaltung der Vorgaben des Art. 32 DSGVO entscheiden, sofern die nach Art. 32 DSGVO erforderlichen TOM durch den Verantwortlichen zumindest vorgehalten werden. Der Verantwortliche habe bereits zum Zeitpunkt der Auswahl der Mittel für die spätere Verarbeitung eine sichere Übermittlungsform vorzuhalten und könne sich nicht darauf zurückziehen, dass er schon grundsätzlich keine sichere Übermittlung gewährleisten könne.

Fazit des Datenschutzbeauftragten

Abschließen tut der Hamburger Datenschutzbeauftragte seine Ausführungen mit folgendem Fazit:

„Der Verantwortliche und der Auftragsverarbeiter haben die nach Art. 32 DSGVO erforderlichen Maßnahmen zwingend umzusetzen und vorzuhalten. Betroffene Personen können in die Herabsetzung des nach Art. 32 DSGVO vorgesehenen Schutzniveaus allerdings bezogen auf ihre eigenen Daten im Einzelfall einwilligen, wenn die Einwilligung freiwillig im Sinne des Art. 7 DSGVO erfolgt. Dies setzt jedoch voraus, dass der Verantwortliche die nach Art. 32 DSGVO erforderlichen Schutzvorkehrungen grundsätzlich vorhält und der betroffenen Person auf Verlangen zur Verfügung stellt, ohne dass der betroffenen Person Nachteile dadurch entstehen.“


SBS Legal – Rechtsanwälte für Datenschutzrecht

Haben Sie weitere Fragen zu TOM oder sind Sie sich nicht sicher, ob Sie die notwendigen Voraussetzungen als Unternehmen erfüllen? Dann sind Sie bei SBS Legal – Kanzlei für Datenschutzrecht genau richtig.

Das Team von SBS Legal begleitet Unternehmen bei der Umsetzung der umfangreichen gesetzlichen Bestimmungen, die sich durch die DSGVO stellen. Unsere Tätigkeit soll alle Datenschutzrechtsverstöße und damit behördenrechtliche Verfahren ausschließen.

Wir beraten in sämtlichen datenschutzrechtlichen Belangen, die im Unternehmensalltag aufkommen. Unsere erfahrenen Tätigkeiten gehen über die allgemeine Prüfung und Umsetzung der datenschutzrechtlichen Pflichten und die Gestaltung rechtssicherer Verträge zur Auftragsdatenverarbeitung hinaus. Wir bieten auch datenschutzrechtliche Compliance, um die Vorgaben auch aus wirtschaftlicher Sicht abzuwägen.

Haben Sie noch Fragen zu niedriger technisch-organisatorischen Maßnahmen im Datenschutz?

Wir stehen auch Ihnen gern als Partner in allen Belangen des Datenschutzes zur Seite. Sehen Sie sich entsprechenden rechtlichen Fragestellungen ausgesetzt, freuen wir uns jederzeit über Ihre Kontaktaufnahme.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.
 

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht