{"id":58061,"date":"2021-05-21T07:54:36","date_gmt":"2021-05-21T05:54:36","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=58061"},"modified":"2021-05-20T01:55:17","modified_gmt":"2021-05-19T23:55:17","slug":"einwilligung-niedrige-toms","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/einwilligung-niedrige-toms\/","title":{"rendered":"Kann ein Betroffener in niedrigere TOMs einwilligen?"},"content":{"rendered":"
\"Einwilligung
Song_about_summer – stock.adobe.com<\/figcaption><\/figure>\n

Art. 32 DSGVO<\/a> sieht vor, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Ma\u00dfnahmen (TOM) treffen, um die Rechte und Freiheiten der betroffenen Personen zu sch\u00fctzen \u2013 ein bestimmtes Schutzniveau wird hingegen nicht vorgeschrieben. <\/em><\/p>\n

Doch k\u00f6nnen Betroffene auch in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen? <\/em><\/p>\n

Nach Ansicht des Hamburgischen Datenschutzbeauftragten ist eine derartige Einwilligung grunds\u00e4tzlich m\u00f6glich \u2013 jedoch nur unter zwei zwingenden Voraussetzungen.<\/em><\/p>\n

Wer oder was ist TOM?<\/h2>\n

Darunter sind technische und organisatorische Ma\u00dfnahmen zu verstehen. Diese verhindern im Datenschutz den Zugriff Unberechtigter auf personenbezogene Daten. Unberechtigt ist dabei jeder, der die personenbezogenen Daten nicht zur Aus\u00fcbung seiner T\u00e4tigkeit ben\u00f6tigt \u2013 also anders ausgedr\u00fcckt, jemand, den bestimmte personenbezogene Daten \u201enichts angehen\u201c.<\/p>\n

Die Datenschutz-Grundverordnung (DSGVO)<\/a> sieht in Art. 32 vor, dass die verantwortliche Stelle geeignete technische und organisatorische Ma\u00dfnahmen umsetzt, um die Rechte und Freiheiten betroffener Personen zu sch\u00fctzen. Das Ausma\u00df von den jeweiligen Ma\u00dfnahmen ergibt sich aus den konkreten Umst\u00e4nden und den Zwecken der Verarbeitung personenbezogener Daten. Daneben m\u00fcssen m\u00f6gliche Risiken und Eintrittswahrscheinlichkeiten ber\u00fccksichtigt werden. Am Ende haben all diese Gesichtspunkte Auswirkungen auf die Wirksamkeit und Eignung der Ma\u00dfnahmen an sich. So setzen hohe Risiken f\u00fcr Betroffene auch hohe Sicherheitsvorkehrungen voraus \u2013 geringere Eintrittswahrscheinlichkeiten k\u00f6nnten demnach auch weniger aufwendige Ma\u00dfnahmen rechtfertigen. Prim\u00e4res Ziel ist es also, zu verhindern, dass Unbefugte Kenntnis von personenbezogenen Daten erlangen.<\/p>\n

Art. 32 DSGVO<\/a> als zwingendes Recht?<\/h2>\n

Der Frage nach der M\u00f6glichkeit einer Einwilligung in ein niedrigeres Datenschutzniveau liegt die Abw\u00e4gung zugrunde, ob von der Regelung des Art. 32 DSGVO<\/a> grunds\u00e4tzlich eine abweichende Vereinbarung getroffen werden kann. Dann m\u00fcsste es sich bei Art. 32 DSGVO<\/a> um eine abdingbare Vorschrift und mithin dispositives Recht handeln. Diese Frage hat bereits einige K\u00f6pfe zum Qualmen gebracht.<\/p>\n

Der Hamburgische Datenschutzbeauftragte greift in seinem Vermerk das Argument auf, dass mit der DSGVO das Ziel verfolgt werde, innerhalb der Europ\u00e4ischen Union ein einheitliches Datenschutzniveau zu etablieren. Zwar sei dies ein berechtigter Einwand gegen die Einwilligungsm\u00f6glichkeit, da ansonsten die Datensicherheit nach Vereinbarung mit den betroffenen Personen unterlaufen und auf ein Minimum herabgesetzt werden k\u00f6nne. Allerdings k\u00f6nne ein einheitliches Datenschutzniveau trotzdem gew\u00e4hrleistet werden. Denn Art. 32 DSGVO<\/a> verpflichte nur die Verantwortlichen und Auftragsverarbeiter zu der Umsetzung angemessener technischer und organisatorischer Ma\u00dfnahmen. Somit unterliege die Vorschrift nicht der Dispositionsfreiheit der Verantwortlichen, sondern lediglich der betroffenen Personen.<\/p>\n

Zwingende Voraussetzungen f\u00fcr die Einwilligung<\/h2>\n

Zun\u00e4chst m\u00fcsse es sich um eine wirksame, transparente und freiwillige Einwilligung handeln. Damit ist gemeint, dass eine Einwilligung nur dann wirksam ist, wenn der Verbraucher hinreichend transparent und umfassend aufgekl\u00e4rt wurde und er seine Erkl\u00e4rung dann freiwillig \u2013 aus eigenem Antrieb \u2013 abgibt. Nur wenn dem Betroffenen alle Einzelheiten klar und bewusst vermittelt w\u00fcrden, habe er auch die M\u00f6glichkeit, sich zu \u00fcberlegen, ob er seine Erlaubnis erteile oder nicht. Daher sei zwingende Voraussetzung jeder Abbedingung, dass die Einwilligung freiwillig erfolge, insbesondere m\u00fcsse der Betroffene frei von Zwang sein und eine echte Entscheidungsm\u00f6glichkeit haben. So m\u00fcsse immer eine angemessene sichere Alternative f\u00fcr den Verbraucher bestehen, die er frei von unzumutbaren Nachteilen ausw\u00e4hlen k\u00f6nne. Wenn also als Alternative zu einem unverschl\u00fcsselten E-Mail-Versand die schriftliche Einreichung von Dokumenten angeboten werde, d\u00fcrfe kein Zwang durch eine unangemessene Verl\u00e4ngerung der Bearbeitungsdauer oder durch Zusatzkosten ausge\u00fcbt werden. Eine Unzumutbarkeit k\u00f6nne sich aber auch daraus ergeben, dass Betroffene dauerhaft gezwungen werden, den aufwendigeren, zeitintensiveren und aufgrund von Druck- und Versandkosten kostenintensiveren Weg der schriftlichen Kommunikation zu w\u00e4hlen, weil keine sichere digitale Abwicklung erm\u00f6glicht werde. Daher m\u00fcsse der Verantwortliche von vorherein daf\u00fcr Sorge tragen, dass auf konkret definierte und absehbare Zeit auch M\u00f6glichkeiten der sicheren digitalen Abwicklung er\u00f6ffnet werden, die frei von diesen Nachteilen seien \u2013 so der Hamburgische Datenschutzbeauftragte.<\/p>\n

Daher m\u00fcsse der Auftragsverarbeiter angemessene technische und organisatorische Ma\u00dfnahmen im Sinne des Art. 32 DSGVO<\/a> vorhalten, um eine freie Entscheidung der betroffenen Person gew\u00e4hrleisten zu k\u00f6nnen. Das f\u00fchre dazu, dass es garnicht erst m\u00f6glich sei, die datenschutzrechtlichen<\/a> Pflichten zu umgehen und sich gar keine Gedanken \u00fcber die Schutzvorkehrungen einer Datenverarbeitung zu machen, indem lediglich die Einwilligung der Betroffenen erzwungen wird. Eine freiwillige Einwilligung k\u00f6nnte also immer dann angezweifelt werden, wenn die betroffene Person \u00fcberhaupt keine M\u00f6glichkeit hatte, beispielsweise das Dokument anderweitig einzureichen. Daraus ergebe sich die Pflicht des Verantwortlichen, eine sichere \u00dcbermittlungsform bereits zum Zeitpunkt der Auswahl der Mittel f\u00fcr die Verarbeitung vorzuhalten. Ausreichende Vorbereitung ist also das A und O.<\/p>\n

Einwilligung in niedrigere TOMs m\u00f6glich<\/h2>\n

Nach Auffassung des Hamburgischen Datenschutzbeauftragten kann der Betroffene also auch in geringere technische und organisatorische Ma\u00dfnahmen einwilligen, womit er einer geringeren Sicherheit bei der Datenverarbeitung zustimmt. Allerdings ist der Verantwortliche trotzdem verpflichtet, im Vorfeld sichere TOMs anzubieten und darf sich nicht drauf verlassen, dass der Betroffene einwilligt. Letzten Endes kann nur auf Wunsch des Betroffenen von der Vorschrift des Art. 32 DSGVO<\/a> abgewichen werden, wenn grunds\u00e4tzlich die M\u00f6glichkeit besteht eine sichere Datenverarbeitung in Anspruch zu nehmen.<\/p>\n

Es bleibt abzuwarten, ob sich die Gerichte in Zukunft dieser Rechtsauffassung anschlie\u00dfen werden. In der Praxis wird die Einwilligungsm\u00f6glichkeit demgegen\u00fcber nur selten umsetzbar sein, denn h\u00e4ufig wei\u00df der Verantwortliche selber nicht ausreichend \u00fcber die Datenverarbeitung beim Drittanbieter Bescheid. So wird eine umfassende Aufkl\u00e4rung des Betroffenen nur schwer m\u00f6glich sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

Art. 32 DSGVO sieht vor, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Ma\u00dfnahmen (TOM) treffen, um die Rechte und Freiheiten der betroffenen Personen zu sch\u00fctzen \u2013 ein bestimmtes Schutzniveau wird hingegen nicht vorgeschrieben. Doch k\u00f6nnen Betroffene auch in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen? Nach Ansicht des Hamburgischen Datenschutzbeauftragten ist eine derartige […]<\/p>\n","protected":false},"author":85,"featured_media":58062,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[256,17739,19032],"class_list":["post-58061","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzrecht","tag-einwilligung","tag-datenschutzgrundverordnung","tag-toms","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/58061","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/85"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=58061"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/58061\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media\/58062"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=58061"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=58061"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=58061"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}