Die Abdingbarkeit von technischen und organisatorischen Maßnahmen
Der Hamburgische Datenschutzbeauftragte ist zu Beginn des Jahres 2021 der Frage nachgegangen, ob betroffene Personen einwilligen können, teilweise oder ganz auf den Einsatz von technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO zu verzichten.
Um dies beantworten zu können, muss zunächst geklärt werden, ob Art. 32 DSGVO eine abdingbare Vorschrift ist.
Einerseits soll durch die Einführung der DSGVO ein einheitliches Datenschutzniveau etabliert werden. Eine abweichende Vereinbarung mit den betroffenen Personen könnte dazu führen, dass Unternehmen sich nicht mehr die Mühe machen, entsprechende Maßnahmen bereitzustellen. Anderseits gibt Art. 32 DSGVO lediglich vor, dass die Verantwortlichen und Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen umsetzen müssen. Hierbei sieht das Gesetz Ermessensspielräume je nach Stand der Technik, Kosten, Art, Umfang und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos vor. Im vorliegenden Fall würde die Einwilligung zur abweichenden Vereinbarung jedoch von der betroffenen Person ausgehen.
Der Hamburgische Datenschutzbeauftragte geht davon aus, dass die Gesetzessystematik dafürspricht, dass die Dispositionsfreiheit der betroffenen Person durch die Art. 6 und 7 DSGVO nur in Bezug auf das „Ob“ eingeschränkt wird. Da eine Regelung über eine Beschränkung der Regelungsfreiheit über das „Wie“ fehlt, ist die betroffene Person diesbezüglich unbeschränkt.
Durch diese Entscheidungsfreiheit der betroffenen Person könnte Art. 32 DSGVO daher als abdingbares Recht angesehen werden.
Der Verantwortliche oder Auftragsverarbeiter muss allerdings in jedem Fall angemessene technische und organisatorische Maßnahmen bereitstellen, damit der betroffenen Person die Wahl überlassen ist und sie eine freie Entscheidung treffen kann. Der Betroffene kann in eine konkrete Verarbeitung einwilligen, die das nach Art. 32 DSGVO erforderliche Schutzniveau außer Acht lässt. Voraussetzung ist jedoch, dass der Verantwortliche dieses Niveau grundsätzlich gewährleisten kann.
Fazit der Aufsichtsbehörde:
Die Pflicht zur Bereitstellung der technischen und organisatorischen Maßnahmen bleibt weiterhin bestehen. Betroffene Personen können in die Herabsetzung des nach Art. 32 DSGVO vorgesehenen Schutzniveaus bezogen auf ihre eigenen Daten im Einzelfall einwilligen. Dies setzt jedoch voraus, dass der Verantwortliche die erforderlichen Schutzvorkehrungen grundsätzlich vorhält und der betroffenen Person auf Verlangen zur Verfügung stellt, ohne dass der betroffenen Person Nachteile dadurch entstehen.
Thomas Haschert Mag. iur., Fachanwalt für Arbeitsrecht, Fachanwalt für internationales Wirtschaftsrecht, Datenschutzauditor