Am 24.11.2021 ver?ffentlichte die Konferenz der unabh?ngigen Datenschutzaufsichtsbeh?rden des Bundes und der L?nder (DSK) einen Beschluss zur M?glichkeit der Nichtanwendung technischer und organisatorischer Ma?nahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch der betroffenen Person.
Bereits vor der Einführung der DSGVO wurde unter Juristen diese M?glichkeit diskutiert. Konkrete Anwendungsf?lle waren dabei vor allem der Versand unverschlüsselter Emails durch Berufsgeheimnistr?ger wie ?rzte oder Rechtsanw?lte, insbesondere soweit besonders sensible Daten betroffen sind. Problematisch war es hier eine schnelle und einfache Kommunikation zu erm?glichen. Der Versand verschlüsselter Emails ist in der Regel mit hohem Aufwand verbunden und nicht sehr anwenderfreundlich. Argumentiert wurde damit, dass die betroffene Person auch im Rahmen ihrer Selbstbestimmung auf einen gewissen technischen Standard verzichten k?nne, wenn sie dies selbst wünscht. Kritisch dabei war stets die Frage, ob betroffene Personen dabei tats?chlich eine bewusste und freiwillige Entscheidung in Kenntnis aller Risiken treffen.
Die DSK hat nun hierzu Stellung genommen und führt folgendes aus:
- Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Ma?nahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.
- Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Ma?nahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zul?ssig.
- Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelf?llen m?glich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Ma?nahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.
- Kapitel V der DSGVO (?bermittlungen personenbezogener Daten an Drittl?nder oder an internationale Organisationen) bleibt hiervon unberührt.
Die Beschlüsse der DSK sind nicht bindend, jedoch bieten sie einen guten ?berblick über die Rechtsmeinung der Aufsichtsbeh?rden, an der sie sich bei ihrem Handeln voraussichtlich orientieren werden. Der vorliegende Beschluss wurde von allen Aufsichtsbeh?rden - mit Ausnahme der s?chsischen – mitgetragen.
Nach diesem Beschluss lehnt die DSK ein Absenken der erforderlichen Standards auf Basis einer Einwilligung also grunds?tzlich ab. Eine Ausnahme l?sst sie nur in Einzelf?llen, auf Eigeninitiative der betroffenen Person zu. Hieran sind hohe Anforderungen geknüpft.
Es muss sichergestellt sein, dass die betroffene Person ausreichend informiert ist und sich der Risiken bewusst ist. Zudem ist diese M?glichkeit nicht in Massenverfahren einzusetzen, sondern lediglich im Einzelfall und der Wunsch soll von der betroffenen Person selbst ausgehen. Erforderlich ist weiterhin die entsprechende Dokumentation des Vorgangs. {web_name} umfasst in der Regel den Nachweis der Informiertheit, welcher durch ein Aufkl?rungsdokument geführt werden kann, sowie die schriftliche Einwilligung. Dokumentiert werden sollte auch die Eigeninitiative der betroffenen Person. Eine konkludente Einwilligung allein dadurch, dass die Person selbst die Standards unterschreitet und beispielsweise per einfacher Email anfragt, kann nach den Ausführungen der DSK nicht als ausreichend gesehen werden.
Zudem trifft die DSK weitere Einschr?nkungen, indem sie nicht den vollst?ndigen Verzicht auf entsprechende Ma?nahmen als durch Einwilligung abdingbar ansieht, sondern nur ein Verzicht ?in vertretbarem Umfang“. Es muss also weiterhin eine Risikoabsch?tzung durch den Verantwortlichen durchgeführt werden.
Zu beachten ist zudem, dass die betroffene Person eine entsprechende Einwilligung nur für ihre eigenen personenbezogenen Daten erteilen kann. Soweit Daten Dritter betroffen sind, sind diese davon nicht umfasst.
Weiterhin nicht umfasst hiervon sind die Anforderungen an eine Drittlandübermittlung. {web_name} ist jedoch unsch?dlich, da die DSGVO selbst im Einzelfall die M?glichkeit einer ?bermittlung aufgrund einer ausreichend informierten Einwilligung im Einzelfall vorsieht.
Für die Praxis empfiehlt sich folgendes Vorgehen: Grunds?tzlich ist im ersten Schritt zu prüfen, welche Kategorien von Daten verarbeitet werden und welche technisch-organisatorischen Ma?nahmen dabei erforderlich sind. Hilfreich ist hierzu die Tabelle zu Schutzklassen und Schutzbedarf der UR. Gerade bei der Verarbeitung wenig sensibler Daten reichen die standardm??ig vorhandenen Ma?nahmen oft aus.
Soweit h?here Standards erforderlich sind, sollte zun?chst geprüft werden, ob und wie diese umgesetzt werden k?nnen. Insbesondere soweit ein Verarbeitungsvorgang regelm??ig erfolgt, ist eine technische Umsetzung zu prüfen. Allein ein erh?hter Arbeitsaufwand oder Kosten bei der Implementierung sind kein ausreichendes Argument, auf technische Standards zu verzichten. Eine Einwilligung sollte nur – wie von der DSK beschrieben – im Ausnahmefall und wenn dies vom Betroffenen gewünscht ist eingeholt und ausreichend dokumentiert werden.
Bei Fragen hierzu k?nnen Sie sich gern an uns unter dsb@ur.de wenden.
Quellen:
Beschluss der DSK vom 24.11.2021 – ?Zur M?glichkeit der Nichtanwendung technischer und organisatorischer Ma?nahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen“, https://www.datenschutzkonferenz-online.de/beschluesse-dsk.html (externer Link, ?ffnet neues Fenster), Stand: 01.12.2021
Tabelle zu Schutzklassen und Schutzbedarf der UR: /rechenzentrum/unser-rz/rechtliches/index.html (externer Link, ?ffnet neues Fenster), Stand: 01.12.2021