Schutzniveau der Datenverarbeitung – zwingend oder abdingbar?

von Désirée Eder

Grundsätzlich müssen Verantwortliche gemäß Art. 32 Abs 1 DSGVO technische und organisatorische Maßnahmen ergreifen, die geeignet sind, ein angemessenes Schutzniveau zu gewährleisten. Die DSGVO nennt als mögliche Maßnahmen die Verschlüsselung oder Pseudonymisierung. Um festzustellen, welcher Maßstab an das angemessene Schutzniveau anzulegen ist, müssen Verantwortliche gemäß Art. 32 Abs. 2 DSGVO unter anderem die Risiken berücksichtigen, die bei der Verarbeitung relevant werden. Verantwortliche müssen technische und organisatorische Maßnahmen, die zur Gewährleistung dieses ermittelten, angemessenen Datenschutzniveaus notwendig sind, ergreifen. Bei der Entscheidung über die zu ergreifenden Maßnahmen haben sie unter anderem sowohl den Stand der Technik als auch die Implementierungskosten zu berücksichtigen. Zudem sind die Grundsätze privacy by default und privacy by design nach Art. 25 DSGVO bei der Entscheidung über die Schutzmaßnahmen einzuhalten.

Absenken des Schutzniveaus durch Einwilligung der Betroffenen?

Ein angemessenes Schutzniveau gemäß Art. 32 Abs. 1 DSGVO bei jeder Verarbeitung von personenbezogenen Daten zu gewährleisten, ist in manchen Situationen für Verantwortliche und Auftragsverarbeiter schwer oder sogar gar nicht möglich. Findige Verantwortliche stellen sich daher die Frage, ob Betroffene nicht in ein geringeres Schutzniveau einwilligen können. Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO kann als Rechtsgrundlage für vielerlei Datenverarbeitungen dienen. Wenn die Einwilligung in die Verarbeitung von Daten über das Ob der Datenverarbeitung entscheiden kann, warum sollte sie dann nicht auch Einfluss auf das Wie der Datenverarbeitung haben? Für Verantwortliche und Auftragsverarbeiter ließen sich Aufwand und Kosten sparen, wenn sie nur die betroffenen Personen in ein niedrigeres Schutzniveau einwilligen lassen müssten.

Vielen bekannt dürfte das gängige Praxisbeispiel von Steuerberatern oder Arztpraxen sein, die Betroffene darin einwilligen lassen, dass ihre sensiblen Daten per Mail übermittelt werden dürfen. Denkbar wäre jedoch auch, Betroffene darin einwilligen zu lassen, dass ihre Daten in einer nicht dem Stand der Technik entsprechend gesicherten Cloud gespeichert werden.

Was sagen die Aufsichtsbehörden zur Einwilligung in die Absenkung des Schutzniveaus?

Die Frage, ob Betroffene auf Schutzmaßnahmen verzichten können, war auch zwischen den Aufsichtsbehörden bislang umstritten. Die Datenschutzkonferenz (DSK) hat im Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. November 2021 festgestellt, dass es sich bei den zu ergreifenden Sicherheitsmaßnahmen nach Art. 32 Abs. 2 DSGVO um eine objektive Rechtspflicht handle. Eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO komme nicht dafür in Betracht, dass Betroffene auf die Ergreifung von technischen und organisatorischen Maßnahmen verzichten können. Nur in besonderen Einzelfällen, die zu dokumentieren sind, sei es unter Wahrung des Selbstbestimmungsrechts möglich, „bestimmte“ Schutzmaßnahmen nicht zu ergreifen, wenn dies auf „ausdrücklichen, eigeninitiativen Wunsch“ des Betroffenen erfolge.

Die DSK schränkt damit die Möglichkeit zur Einwilligung in das Absenken des Schutzniveaus deutlich ein. Dies sollte zu einer Stärkung des Datenschutzes führen. Datenschützer befürchten sonst, dass das Datenschutzniveau, das durch die DSGVO auf einen einheitlich hohen Standard gehoben werden sollte, systematisch unterlaufen werden könnte, wenn Verantwortliche die Betroffenen durch Ausnutzung ihrer (wirtschaftlichen) Überlegenheit oder Marktstellung dazu bringen, in die Absenkung des Schutzniveaus einzuwilligen.

Der Beschluss der DSK wurde gegen die Stimme Sachsens angenommen, was zeigt, dass noch nicht alle Aufsichtsbehörden diesen Ansatz teilen.

Die Hamburgische Aufsichtsbehörde kam zu einem ähnlichen Ergebnis wie die DSK

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat sich im „Vermerk: Abdingbarkeit der TOMs (Art. 32 DSGVO)“ vom 18. Februar 2021 zur Frage der Einwilligung der Betroffenen in das Absenken der Schutzmaßnahmen positioniert. Die Aufsichtsbehörde hat die Einwilligung als Ausdruck des Selbstbestimmungsrechts der Betroffenen anerkannt. Nach diesem Vermerk sei es grundsätzlich eine praktikable Lösung, Betroffene in das Absenken des Schutzniveaus nach Art. 6 Abs. 1 lit. a DSGVO einwilligen zu lassen. Die Sicherheit der Datenverarbeitung stehe grundsätzlich zur Disposition der Betroffenen.

Die Möglichkeit der Einwilligung der Betroffenen ist jedoch nach der Hamburgischen Aufsichtsbehörde an folgende Voraussetzungen geknüpft:

Die Einhaltung von Art. 32 DSGVO ist für den Verantwortlichen zwingend. So setze eine freie Entscheidung der betroffenen Person voraus, dass der Verantwortliche die erforderlichen technischen und organisatorischen Maßnahmen grundsätzlich vorhalte. Nur so bestehe eine echte Wahlmöglichkeit und Entscheidungsfreiheit für die betroffene Person. Im konkreten Einzelfall soll der Betroffene dann einwilligen können, von dem beim Verantwortlichen grundsätzlich vorhandenen Schutzstandard abzuweichen. Für die Wirksamkeit der Einwilligung seien die Vorgaben des Art. 7 DSGVO maßgeblich.

Somit kam auch die Hamburger Behörde zu einem ähnlichen Ergebnis wie die DSK, wenngleich die DSK Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage für nicht einschlägig hält.

Was können Verantwortliche und Auftragsverarbeiter tun?

Verantwortliche und Auftragsverarbeiter sollten Einwilligungen der Betroffenen nicht zum Anlass nehmen, gänzlich auf Schutzmaßnahmen im Rahmen der Gestaltung ihrer Verarbeitungstätigkeiten zu verzichten. Nur im Einzelfall, der gesondert zu dokumentieren ist, kann es zulässig sein, dass Betroffene auf bestimmte Schutzmaßnahmen verzichten. Die Grenzen dieser Zulässigkeit sind jedoch, wie der Beschluss der DSK und die Argumentation der Hamburgischen Aufsichtsbehörde zeigen, eher enger als weiter zu verstehen. Rechtlich ist noch nicht abschließend geklärt, für welche Fälle Betroffene zulässigerweise auf die Anwendung von bestimmten Schutzmaßnahmen verzichten können.

Bei Fragen rund um Datenschutz oder Informationssicherheit wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dazu einfach unser Kontaktformular.

assets/images/0/k-Desiree-Eder-8be89466.jpg
Désirée Eder

Die Diplomjuristin Désirée Eder studierte Rechtswissenschaften an der Universität Passau und war mehrere Jahre in Berlin in einem landeseigenen Unternehmen für Immobilienprojekte als Projektmanagerin Recht und Datenschutzbeauftragte tätig. Désirée Eder bereichert das Team nicht nur mit ihrem juristischen Know-How sondern ist auch im Bereich der Organisation und Dokumentation, sowie im Rahmen der immer wichtiger werdenden DIN-ISO Normen und für Zertifizierungsprozesse erste Ansprechpartnerin. „Für das Wohl unserer Kunden sind mir offene Kommunikation sowie eine strukturierte, effiziente und gründliche Arbeitsweise wichtig.“