+49 (0)2236 509 34 01
welcome@duratos.de

Abdingbarkeit der technischen und organisatorischen Maßnahmen

Die Frage, ob eine betroffene Person in ein niedrigeres Schutzniveau einwilligen können als es datenschutzrechtlich geboten ist, beschäftigt Verantwortliche immer wieder. In der Praxis tauchte dieses Problem häufig bei der Bereitstellung von Ende-zu-Ende-Verschlüsselungen bei E-Mails auf:

Darf ein Verantwortlicher eine E-Mail mit datenschutzrechtlich sensiblem Inhalt auch ohne Ende-zu-Ende-Verschlüsselung an eine betroffene Person senden, wenn die betroffene Person dies verlangt und eingewilligt hat? 

Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat zu diesem Thema einen Vermerk veröffentlicht.

In diesem wird die Frage behandelt, ob es sich bei den Vorgaben des Art. 32 DSGVO um zwingende Vorgaben handelt, die nicht durch eine Einwilligung der betroffenen Personunterlaufen werden dürfen.

Auf der einen Seite werde hierzu häufig argumentiert, dass die DSGVO einen europäischen Mindeststandart für den Datenschutz schaffen wolle und daher ein unterschreiten der vorgegebenen Standards nicht zulässig sei.

Auf der anderen Seite würde dies für die betroffenen Personen eine erhebliche Beschränkung ihrer Entscheidungsfreiheit bedeuten, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünschen, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann.

Nach Abwägung dieser unterschiedlichen Interessen kommt der HmbBfDI zu dem Ergebnis, dass Verantwortliche und Auftragsverarbeiter die nach Art. 32 DSGVO erforderlichen Maßnahmen zwingend umzusetzen und vorzuhalten haben.

Im Einzelfall können betroffene Personen aber in die Herabsetzung des nach Art. 32 DSGVO vorgesehenen Schutzniveaus, bezogen auf ihre eigenen Daten, einwilligen.

Voraussetzungen hierfür sei die Freiwilligkeit der Einwilligung nach Art. 7 DSGVO und das grundsätzliche Vorhalten und zur Verfügung stellen der Schutzmaßnahmen. Weiterhin darf den betroffenen Personen durch Nutzung der nach Art. 32 DSGVO erforderlichen Schutzmaßnahmen kein Nachteil entstehen.

 

Quelle: https://datenschutz-hamburg.de/assets/pdf/Vermerk-Abdingbarkeit_TOMs.pdf

Mitgliedschaften