Hamburgischer Datenschutzbeauftragter: Betroffener kann nach DSGVO in niedrigere Technisch-Organistorische Maßnahmen (TOM) einwilligen

09.04.2021

Ein Betroffener, dessen Daten verarbeiten werden, kann wirksam darin einwilligen, dass der Verantwortliche niedrige technische und organisatorische Maßnahmen (TOM) ergreift, als sie eigentlich nach der DSGVO notwendig wären. Der Hamburgische Datenschutzbeauftragte hat diese Rechtsansicht in einem aktuellen Aktenvermerk v. 18.02.2021 geäußert (PDF-Download).

Art. 32 DSGVO schreibt grundsätzlich vor, dass der Verantwortliche entsprechend ausreichende technische und organisatorische Maßnahmen (TOM) ergreift, um das Datenschutzniveau zu schützen.

In der Praxis stellt sich nun häufig die Frage, ob ein Betroffener in ein niedrigeres Schutzniveau einwilligen kann (z.B. der Besucher einer Webseite, der einer Verarbeitung im EU-Ausland zustimmen soll).

Diese Frage ist sehr umstritten und bislang gerichtlich kaum geklärt.

Nach Meinung des Hamburgische Datenschutzbeauftragten ist eine derartige Einwilligung grundsätzlich möglich. Ein Betroffener könne wirksam zustimmen, dass seine Daten im Rahmen eines niedrigeren Schutzniveaus verarbeitet würden.

Zwingende Voraussetzungen hierfür seien jedoch zwei Dinge:

1. Wirksame, transparente und freiwillige Einwilligung:

2. Verantwortlicher muss ausreichende TOM vorhalten:

 

Im Einzelnen dazu wie folgt:

1. Wirksame, transparente und freiwillige Einwilligung:
Damit ist gemeint, dass eine Einwilligung nur dann wirksam ist, wenn der Verbraucher hinreichend transparent und umfassend aufgeklärt wurde  und er seine Erklärung freiwillig abgibt (Art. 7 DSGVO).

Nur wenn dem Betroffenen die Einzelheiten klar und bewusst vermittelt würden, hätte er auch die Möglichkeit, sich zu überlegen, ob er seine Erlaubnis erteile oder nicht:

"Die DSGVO enthält mit Art. 7 DSGVO grundsätzliche Maßstäbe zur Beurteilung, wie eine Einwilligung der betroffenen Person zu gestalten ist. Diese beziehen sich zwar unmittelbar nur auf das „Ob“ der Verarbeitung, sind jedoch entsprechend auch auf das „Wie“ anzuwenden.20 Die Einwilligung in die technische Umsetzung („Wie“) einer Verarbeitung ist sinnvollerweise nach denselben Maßstäben zu beurteilen wie die Frage, ob die Verarbeitung nach Art. 6 DSGVO zulässig ist („Ob“).

Die Wertungen des Art. 7 DSGVO und die damit verbundenen Anforderungen an die Einwilligung sollten nicht nur auf eine Teilfrage der Zulässigkeit der Verarbeitung bezogen werden, da die Verarbeitung als einheitlicher Vorgang - schon aus Gründen der Praktikabilität - betrachtet werden muss. Würde man an die Einwilligung in das „Ob“ und das „Wie“ unterschiedliche Maßstäbe anlegen, würde man erhebliche Abgrenzungsschwierigkeiten hervorrufen und weder der betroffenen Person noch dem Verantwortlichen einen Dienst erweisen."

Die Behörde legt dabei großen Wert auf das Merkmal der Freiwilligkeit:

"Voraussetzung jeder Abbedingung ist daher eine freiwillige Einwilligung, insbesondere muss der Betroffene frei von (auch faktischem) Zwang sein und eine echte Entscheidungsmöglichkeit haben.

Er kann nicht gezwungen sein, einer unsicheren Datenverarbeitung zuzustimmen, wenn er einen Online-Dienst oder einen Arzt oder Rechtsanwalt seiner Wahl aufsucht. Vielmehr muss eine angemessene sichere Alternative für ihn bestehen, die er frei von unzumutbaren Nachteilen auswählen kann.

So darf etwa, wenn als Alternative zu einem unverschlüsselten E-Mail-Versand die schriftliche Einreichung von Dokumenten angeboten wird, kein Zwang durch eine unangemessene Verlängerung der Bearbeitungsdauer oder durch Zusatzkosten ausgeübt werden. Eine Unzumutbarkeit kann sich aber auch daraus ergeben, dass Betroffene dauerhaft gezwungen sind, den aufwendigeren, zeitintensiveren und aufgrund von Druck- und Versandkosten kostenintensiveren Weg der schriftlichen Kommunikation zu wählen, weil keine sichere digitale Abwicklung ermöglicht wird. Der Verantwortliche hat deshalb von vornherein Sorge dafür zu tragen, dass auf konkret definierte und absehbare Zeit auch Möglichkeiten der sicheren digitalen Abwicklung eröffnet werden, die frei von diesen Nachteilen sind."


2. Verantwortlicher muss ausreichende TOM vorhalten:
Auch wenn die User einem niedrigen Schutzniveau zustimmen, so muss der Verantwortliche in jedem Fall ein ausreichendes Datenschutzniveau nach Art. 32 DSGVO vorhalten.

Es reicht also nicht, wenn das verantwortliche Unternehmen seine gesamte Datenverarbeitung auf den niedrigen Level ausrichtet. Vielmehr muss es dafür sorgen, dass es von Beginn an die gesetzlichen Anforderungen erfüllt und darf sich nicht darauf verlassen, dass der Betroffener einwilligt:

"Eine freie Entscheidung über einen Verzicht der Einhaltung der Vorgaben des Art. 32 DSGVO kann die betroffene Person allerdings nur dann treffen, wenn die nach Art. 32 DSGVO erforderlichen TOMs durch den Verantwortlichen zumindest vorgehalten werden.

Der Verantwortliche oder der Auftragsverarbeiter hat also schon zu dem Zeitpunkt, zu welchem er die Mittel für die spätere konkrete Verarbeitung festlegt, also beispielsweise, wenn er darüber entscheidet auf welchem Weg die Daten übertragen werden, die angemessenen technischen und organisatorischen Maßnahmen zu implementieren. Daher kann sich ein Verantwortlicher, der eine Verarbeitung durchführt, die die Übermittlung sensibler Daten erfordert, nicht darauf zurückziehen, dass er schon grundsätzlich keine sichere Übermittlung gewährleisten kann und dem Betroffenen eine pauschale Einwilligung dazu abringen. Vielmehr hat er eine sichere Übermittlungsform bereits zum Zeitpunkt der Auswahl der Mittel für die Verarbeitung vorzuhalten."

Anmerkung von RA Dr. Bahr:
Es ist erfreulich, dass die Hamburger Datenschutzbehörde anerkennt, dass Art. 32 DSGVO grundsätzlich dispositiv ist und der Betroffener in ein geringeres Datenschutzniveau einwilligen kann.

In den meisten Praxisfällen, bei denen es um massenhafte Datenverarbeitung geht, wird ein Unternehmen jedoch nur selten mit dem Instrument der Einwilligung weiterkommen. Denn häufig weiß der Verantwortliche selbst nicht zu 100 % genau, was genau bei dem Drittanbieter, den er einsetzt (z.B. Google Analytics)  passiert. Wenn ihm dies selbst nicht bekannt ist, kann er selbstverständlich auch nicht seine Kunde darüber ausreichend transparent informieren.

Es reicht also nicht, wenn das verantwortliche Unternehmen seine gesamte Datenverarbeitung auf den niedrigen Level ausrichtet. Vielmehr muss es dafür sorgen, dass es von Beginn an die gesetzlichen Anforderungen erfüllt und darf sich nicht darauf verlassen, dass der Betroffener einwilligt.