Technische und organisatorische Maßnahmen (TOM´s) spielen im Datenschutzrecht eine zentrale Rolle. Gerade für kleinere Unternehmen kann die Implementierung der erforderlichen Maßnahmen eine große Herausforderung darstellen, sei es aufgrund der örtlichen Gegebenheiten oder der technischen Infrastruktur. Können die notwendigen Maßnahmen nicht ergriffen werden, stellt sich für viele Unternehmen die Frage, ob technische und organisatorische Maßnahmen im Einzelfall abdingbar sind. Diese Problematik zeigt sich in der Praxis insbesondere bei Verschlüsselung von E-Mails. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar hat sich hierzu in einem Vermerk geäußert.
Ausgangspunkt
Die technischen und organisatorischen Maßnahmen sind in Art. 32 DSGVO geregelt. Die Vorschrift selbst schreibt kein bestimmtes Datenschutzniveau vor, da sie lediglich von „geeigneten“ Maßnahmen spricht. Den Verantwortlichen/Auftragsverarbeitern steht bei der Auswahl der Maßnahmen vielmehr ein Ermessensspielraum zu, um „ein dem Risiko angemessenes Schutzniveau zu gewährleisten„. Dieser variiert je nach Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie je nach unterschiedlichen Eintrittswahrscheinlichkeiten und Schweren des Risikos für die Rechte und Freiheiten natürlicher Personen.
Entscheidend für die Frage, ob technische und organisatorische Maßnahmen im Einzelfall abdingbar sind, ist, ob in jedem Fall ein „angemessenes Schutzniveau“ zu gewährleisten ist, was der Fall wäre, wenn es sich bei Art. 32 DSGVO um zwingendes Recht handeln würde.
TOM´s abdingbar?
Nach Ansicht des hamburgischen Datenschutzbeauftragten müsse zur Beantwortung dieser Frage zwischen den von der Datenverarbeitung betroffenen Personen auf der einen und Verantwortlichen/Auftragsverarbeitern auf der anderen Seite differenziert werden. Sinn und Zweck des Art. 32 DSGVO sei zum einen der Schutz der betroffenen Person und zum anderen die Etablierung eines hohen, europaweit einheitlichen Niveaus der Datensicherheit. Beides könne nach seiner Auffassung auch dann gewährleistet werden, wenn die betroffenen Personen auf die Einhaltung bestimmter TOM´s verzichten können. Dies sei auch mit Art. 32 DSGVO vereinbar, da dieser ausschließlich die Verantwortlichen/Auftragsverarbeiter zur Implementierung angemessener technischer und organisatorischer Maßnahmen verpflichte und nicht die Entscheidungsfreiheit der betroffenen Personen beschränken soll. Vor diesem Hintergrund stünden die Vorgaben des Art. 32 DSGVO zur Disposition der betroffenen Personen. Auch Art. 6 DSGVO und Art. 7 DSGVO stünden einer Abdingbarkeit nicht entgegen. da die Dispositionsfreiheit der betroffenen Person durch die Art. 6 und 7 DSGVO nur in Bezug auf das „Ob“ und nicht in Bezug auf das „Wie“ eingeschränkt werde. Da eine gesetzliche Regelung über eine Beschränkung der Dispositionsfreiheit über das „Wie“ fehle, bleibe sie in Bezug auf das „Wie“ unbeschränkt.
Voraussetzungen für einen Verzicht
Eine Herabsetzung des Schutzniveaus ist nach Ansicht des Datenschutzbeauftragten allerdings nur möglich, wenn die Einwilligung der betroffenen Personen den Anforderungen des Art. 7 DSGVO analog genügen. Die Einwilligung muss demnach insbesondere freiwillig erteilt werden. Dies setze voraus, dass der Verantwortliche/Auftragsverarbeiter die nach Art. 32 DSGVO erforderlichen Maßnahmen grundsätzlich vorhalte und der betroffenen Person auf Verlangen zur Verfügung stellen könne, ohne dass ihr dadurch Nachteile entstehen. Ungeachtet der Möglichkeit des Verzichts müsse der Verantwortliche/Auftragsverarbeiter somit grundsätzlich in der Lage sein, das nach der Abwägung des Art. 32 DSGVO erforderliche Schutzniveau zu gewährleisten.
Fazit:
Auch wenn nach Ansicht des hamburgischen Datenschutzbeauftragten technische und organisatorische Maßnahmen im Einzelfall abdingbar sind, bleibt die Pflicht der Verantwortlichen/Auftragsverarbeitern zur Implementierung geeigneter Maßnahmen unverändert bestehen. Selbst wenn man also der Auffassung des Datenschutzbeauftragten folgt, sind die damit verbundenen Erleichterungen für Unternehmen sehr überschaubar.
Stand: 21.04.2021
Weiterer interessanter Artikel: Technische und organisatorische Maßnahmen in Arztpraxen