Die Anfor­de­run­gen an die Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten natür­li­cher Per­so­nen for­dert, dass der Ver­ant­wort­li­che geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men trifft, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten. Was aber, wenn die betrof­fe­ne Per­son das ange­bo­te­ne Schutz­ni­veau gar nicht wünscht oder, zum Bei­spiel im Fall der Ende-zu-Ende-Verschlüsselung von E‑Mails, über die erfor­der­li­chen tech­ni­schen Vor­aus­set­zun­gen schlicht nicht ver­fügt? Kön­nen Betrof­fe­ne in die­sen Fäl­len in die Her­ab­set­zung des Schutz­ni­veaus einwilligen?

Das Grund­recht auf Daten­schutz des Arti­kels. 8 der Char­ta der Grund­rech­te der Euro­päi­schen Uni­on als pri­mä­res Schutz­ziel der DSGVO steht zur Dis­po­si­ti­on des Grund­rechts­trä­gers, also der betrof­fe­nen Per­son.” – Mat­thi­as Herkert

Der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit (HmbBfDI) hat zur Fra­ge der Abding­bar­keit von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs) unlängst einen Ver­merk ver­öf­fent­licht, der dem ein­zel­nen Betrof­fe­nen in die­ser Fra­ge eine weit­rei­chen­de Dis­po­si­ti­on über des­sen Grund­recht auf Daten­schutz gem. Art. 8 GRCh zugesteht.

Ist Arti­kel 32 DSGVO zwin­gen­des oder dis­po­si­ti­ves Recht

Aus­drück­lich weist der HmbBfDI dar­auf hin, dass bei der Fra­ge, ob der gesetz­li­che Sys­tem­da­ten­schutz zwin­gen­des, unab­ding­ba­res Recht sei, eine Unter­schei­dung zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen erfol­gen müsse.

So las­se Arti­kel 32 DSGVO dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter bei der Fest­set­zung des ange­mes­se­nen Schutz­ni­veaus zwar einen Beur­tei­lungs­spiel­raum, die grund­sätz­li­che Pflicht stün­de indes nicht zur Dis­po­si­ti­on des Verantwortlichen.

Anders sei dies mit Blick auf die Ein­wil­li­gungs­ori­en­tie­rung des Arti­kels 8 Abs. 2 Satz 1 GRCh bei der betrof­fe­nen Per­son, der es unbe­nom­men sei „in alle mög­li­chen For­men von Ver­ar­bei­tun­gen ihrer per­so­nen­be­zo­ge­nen Daten ein­zu­wil­li­gen, auch wenn die­se mög­li­cher­wei­se von Außen­ste­hen­den als für die betrof­fe­ne Per­son schäd­lich wahr­ge­nom­men wer­den“. Dem stün­den auch die Rege­lun­gen der Art. 6, 7 DSGVO nicht ent­ge­gen, da die­se nicht den Rechts­kreis der betrof­fe­nen Per­son ver­grö­ßer­ten, son­dern allein den des Ver­ant­wort­li­chen, indem sie wei­te­re Rechts­grund­la­gen vor­sä­hen, auf denen der Ver­ant­wort­li­che eine Ver­ar­bei­tung über­haupt durch­füh­ren könne.

So stün­de die Ein­hal­tung der Sicher­heit der Ver­ar­bei­tung bei einer kon­kre­ten Ver­ar­bei­tung im Ergeb­nis grund­sätz­lich zur Dis­po­si­ti­on der betrof­fe­nen Person.

Dis­po­si­ti­ons­recht des Betrof­fe­nen ent­bin­det den Ver­ant­wort­li­chen nicht von sei­nen Pflichten

Im Wei­te­ren weist der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit dar­auf hin, dass ein mög­li­cher, indi­vi­du­el­ler und ein­wil­li­gungs­ba­sier­ter Ver­zicht eines Betrof­fe­nen den Ver­ant­wort­li­chen kei­nes­falls von sei­ner Pflicht zur Bereit­stel­lung und Gewähr­leis­tung eines risi­ko­ad­äqua­ten Schutz­ni­veaus ent­bin­de. Schlüs­sig argu­men­tiert der HmbBfDI, dass die betrof­fe­ne Per­son eine freie Ent­schei­dung über einen mög­li­chen Ver­zicht der Ein­hal­tung der Vor­ga­ben des Arti­kel 32 DSGVO nur dann tref­fen kön­ne, wenn der Ver­ant­wort­li­che die im gesetz­li­chen Sin­ne ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Schutz­ni­veau zumin­dest vor­hal­te und soweit auch bereits imple­men­tiert habe.

Die Vor­aus­set­zun­gen an die Wirk­sam­keit der Ein­wil­li­gung gel­ten auch beim Verzicht

Mit Blick auf die Anfor­de­run­gen an die Wirk­sam­keit der Ein­wil­li­gung des Betrof­fe­nen in die Her­ab­set­zung des Schutz­ni­veaus über­rascht es kaum, dass die Ein­wil­li­gung in die tech­ni­sche Umset­zung einer Ver­ar­bei­tung (mit­hin in das „Wie“ der Ver­ar­bei­tung) mit den­sel­ben Maß­stä­ben zu beur­tei­len sein soll wie die Fra­ge, ob eine Daten­ver­ar­bei­tung über­haupt zuläs­sig sei (also die Fra­ge nach dem „Ob“ der Ver­ar­bei­tung). Auch der Hin­weis auf die zu for­dern­de Frei­wil­lig­keit der Ein­wil­li­gung erscheint im Ver­merk des HmbBfDI deklaratorisch.

Fazit

Wäh­rend noch vor etwa einem Jahr die Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten der Katho­li­schen Kir­che Deutsch­land dar­auf hin­wies, die nor­mier­te Ver­pflich­tung des Ver­ant­wort­li­chen, geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Gewähr­leis­tung eines ange­mes­se­nen Schutz­ni­veaus zu tref­fen, sei zwin­gen­der Natur und stün­de mit­hin nicht zur Dis­po­si­ti­on der an der Daten­ver­ar­bei­tung Betei­lig­ten (wir haben in unse­rem Arti­kel „Daten­si­cher­heit kann nicht ver­han­delt wer­den“ berich­tet), zeigt der Ver­merk des Ham­bur­gi­schen Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit neue Wege. So kön­nen Ver­ant­wort­li­che auf die­ser Grund­la­ge, bei kri­ti­schem und sog­fäl­ti­gem Ver­ständ­nis der Aus­füh­run­gen und unter Beach­tung der auf­ge­zeig­ten Gren­zen und Vor­aus­set­zun­gen, mit betrof­fe­nen Per­so­nen auf indi­vi­du­al­ver­trag­li­cher Ebe­ne Gestal­tun­gen fin­den, wel­che den häu­fig ohne­hin bestehen­den Rea­li­tä­ten durch­aus ent­ge­gen­kom­men mögen.

Was Sie noch interessieren könnte:

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter
MEHR ZUM AUTOR