Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass der Datenverarbeiter ein Bündel an Sicherungsmaßnahmen zu treffen und zu dokumentieren hat, um seiner Sorgfaltspflicht nachzukommen und ein vertretbares Datenschutzniveau zu gewährleisten (vgl. Art. 32 DSGVO). Diese Maßnahmen sind als TOM (technische und organisatorische Maßnahmen) bekannt.
Dabei stellt sich immer mal wieder die Frage ob der Betroffene, also die Person, deren Daten verarbeitet werden, nicht auf diese oder zumindest auf bestimmte Maßnahmen ausdrücklich verzichten kann bzw. darf.
Ein gutes Beispiel dafür ist die Verschlüsselung von E-Mails, die bspw. auch wir als Rechtsanwälte zur Sicherung der darin enthaltenen Informationen durchführen müssen. Zu Beginn der DSGVO wurde spekuliert, ob man den Mandanten nicht einfach um eine Einwilligung bitten kann, dass diese Verschlüsselung unterbleibt. Denn ehrlich gesagt ist diese Maßnahme für alle Beteiligten regelmäßig lästig und wird ungern durchgeführt.
Für uns Anwälte hat sich das Thema mittlerweile dadurch entschärft, dass in der Berufsordnung eine entsprechende Möglichkeit verankert wurde.
Aber grundsätzlich ist immer wieder fraglich, ob ein solcher Verzicht auf Maßnahmen möglich ist.
Die Datenschutzkonferenz (DSK) – also das Gremium, in dem sich die deutschen Datenschutzbehörden regelmäßig treffen – hat einem solchen Verzicht jetzt grundsätzlich einen Riegel vorgeschoben.
Die DSK hat in einem Beschluss festgestellt:
- Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.
- Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.
- Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.
- Kapitel V der DSGVO (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) bleibt hiervon unberührt.
Zwar handelt sich hier nur um einen unverbindlichen Beschluss, aber man kann erkennen, dass die Aufsichtsbehörden, die eine solchen Verzicht unter Umständen zu bewerten haben, hier eine klare Meinung vertreten: Die Maßnahmen (TOM) dürfen grundsätzlich nicht durch Verzicht gestutzt werden.
Also rate ich auch meinen Mandanten hier keine Zugeständnisse zu machen und allenfalls in der genannten sehr engen Ausnahme der Ziffer 3. des Beschlusses zu agieren.