Kann ein Betroffener in niedrigere TOMs einwilligen?

Art. 32 DSGVO sieht vor, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) treffen, um die Rechte und Freiheiten der betroffenen Personen zu schützen – ein bestimmtes Schutzniveau wird hingegen nicht vorgeschrieben.

Doch können Betroffene auch in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen?

Nach Ansicht des Hamburgischen Datenschutzbeauftragten ist eine derartige Einwilligung grundsätzlich möglich – jedoch nur unter zwei zwingenden Voraussetzungen.

Wer oder was ist TOM?

Darunter sind technische und organisatorische Maßnahmen zu verstehen. Diese verhindern im Datenschutz den Zugriff Unberechtigter auf personenbezogene Daten. Unberechtigt ist dabei jeder, der die personenbezogenen Daten nicht zur Ausübung seiner Tätigkeit benötigt – also anders ausgedrückt, jemand, den bestimmte personenbezogene Daten „nichts angehen“.

Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 32 vor, dass die verantwortliche Stelle geeignete technische und organisatorische Maßnahmen umsetzt, um die Rechte und Freiheiten betroffener Personen zu schützen. Das Ausmaß von den jeweiligen Maßnahmen ergibt sich aus den konkreten Umständen und den Zwecken der Verarbeitung personenbezogener Daten. Daneben müssen mögliche Risiken und Eintrittswahrscheinlichkeiten berücksichtigt werden. Am Ende haben all diese Gesichtspunkte Auswirkungen auf die Wirksamkeit und Eignung der Maßnahmen an sich. So setzen hohe Risiken für Betroffene auch hohe Sicherheitsvorkehrungen voraus – geringere Eintrittswahrscheinlichkeiten könnten demnach auch weniger aufwendige Maßnahmen rechtfertigen. Primäres Ziel ist es also, zu verhindern, dass Unbefugte Kenntnis von personenbezogenen Daten erlangen.

Art. 32 DSGVO als zwingendes Recht?

Der Frage nach der Möglichkeit einer Einwilligung in ein niedrigeres Datenschutzniveau liegt die Abwägung zugrunde, ob von der Regelung des Art. 32 DSGVO grundsätzlich eine abweichende Vereinbarung getroffen werden kann. Dann müsste es sich bei Art. 32 DSGVO um eine abdingbare Vorschrift und mithin dispositives Recht handeln. Diese Frage hat bereits einige Köpfe zum Qualmen gebracht.

Der Hamburgische Datenschutzbeauftragte greift in seinem Vermerk das Argument auf, dass mit der DSGVO das Ziel verfolgt werde, innerhalb der Europäischen Union ein einheitliches Datenschutzniveau zu etablieren. Zwar sei dies ein berechtigter Einwand gegen die Einwilligungsmöglichkeit, da ansonsten die Datensicherheit nach Vereinbarung mit den betroffenen Personen unterlaufen und auf ein Minimum herabgesetzt werden könne. Allerdings könne ein einheitliches Datenschutzniveau trotzdem gewährleistet werden. Denn Art. 32 DSGVO verpflichte nur die Verantwortlichen und Auftragsverarbeiter zu der Umsetzung angemessener technischer und organisatorischer Maßnahmen. Somit unterliege die Vorschrift nicht der Dispositionsfreiheit der Verantwortlichen, sondern lediglich der betroffenen Personen.

Zwingende Voraussetzungen für die Einwilligung

Zunächst müsse es sich um eine wirksame, transparente und freiwillige Einwilligung handeln. Damit ist gemeint, dass eine Einwilligung nur dann wirksam ist, wenn der Verbraucher hinreichend transparent und umfassend aufgeklärt wurde und er seine Erklärung dann freiwillig – aus eigenem Antrieb – abgibt. Nur wenn dem Betroffenen alle Einzelheiten klar und bewusst vermittelt würden, habe er auch die Möglichkeit, sich zu überlegen, ob er seine Erlaubnis erteile oder nicht. Daher sei zwingende Voraussetzung jeder Abbedingung, dass die Einwilligung freiwillig erfolge, insbesondere müsse der Betroffene frei von Zwang sein und eine echte Entscheidungsmöglichkeit haben. So müsse immer eine angemessene sichere Alternative für den Verbraucher bestehen, die er frei von unzumutbaren Nachteilen auswählen könne. Wenn also als Alternative zu einem unverschlüsselten E-Mail-Versand die schriftliche Einreichung von Dokumenten angeboten werde, dürfe kein Zwang durch eine unangemessene Verlängerung der Bearbeitungsdauer oder durch Zusatzkosten ausgeübt werden. Eine Unzumutbarkeit könne sich aber auch daraus ergeben, dass Betroffene dauerhaft gezwungen werden, den aufwendigeren, zeitintensiveren und aufgrund von Druck- und Versandkosten kostenintensiveren Weg der schriftlichen Kommunikation zu wählen, weil keine sichere digitale Abwicklung ermöglicht werde. Daher müsse der Verantwortliche von vorherein dafür Sorge tragen, dass auf konkret definierte und absehbare Zeit auch Möglichkeiten der sicheren digitalen Abwicklung eröffnet werden, die frei von diesen Nachteilen seien – so der Hamburgische Datenschutzbeauftragte.

Daher müsse der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO vorhalten, um eine freie Entscheidung der betroffenen Person gewährleisten zu können. Das führe dazu, dass es garnicht erst möglich sei, die datenschutzrechtlichen Pflichten zu umgehen und sich gar keine Gedanken über die Schutzvorkehrungen einer Datenverarbeitung zu machen, indem lediglich die Einwilligung der Betroffenen erzwungen wird. Eine freiwillige Einwilligung könnte also immer dann angezweifelt werden, wenn die betroffene Person überhaupt keine Möglichkeit hatte, beispielsweise das Dokument anderweitig einzureichen. Daraus ergebe sich die Pflicht des Verantwortlichen, eine sichere Übermittlungsform bereits zum Zeitpunkt der Auswahl der Mittel für die Verarbeitung vorzuhalten. Ausreichende Vorbereitung ist also das A und O.

Einwilligung in niedrigere TOMs möglich

Nach Auffassung des Hamburgischen Datenschutzbeauftragten kann der Betroffene also auch in geringere technische und organisatorische Maßnahmen einwilligen, womit er einer geringeren Sicherheit bei der Datenverarbeitung zustimmt. Allerdings ist der Verantwortliche trotzdem verpflichtet, im Vorfeld sichere TOMs anzubieten und darf sich nicht drauf verlassen, dass der Betroffene einwilligt. Letzten Endes kann nur auf Wunsch des Betroffenen von der Vorschrift des Art. 32 DSGVO abgewichen werden, wenn grundsätzlich die Möglichkeit besteht eine sichere Datenverarbeitung in Anspruch zu nehmen.

Es bleibt abzuwarten, ob sich die Gerichte in Zukunft dieser Rechtsauffassung anschließen werden. In der Praxis wird die Einwilligungsmöglichkeit demgegenüber nur selten umsetzbar sein, denn häufig weiß der Verantwortliche selber nicht ausreichend über die Datenverarbeitung beim Drittanbieter Bescheid. So wird eine umfassende Aufklärung des Betroffenen nur schwer möglich sein.