1. Home
  2. Abdingbarkeit des Art. 32 DS-GVO
DataAgenda

Abdingbarkeit des Art. 32 DS-GVO

Toms

Eine als Vermerk veröffentlichte Publikation des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) fand bereits April 2021 in Datenschutzkreisen einige Beachtung.

Darin beschäftigte sich der HmbBfDI mit der Frage, ob betroffene Personen in ein niedrigeres Schutzniveau einwilligen können als rechtlich geboten ist. Es gehe dabei um die Frage, ob oder inwieweit es sich bei den Vorgaben des Art. 32 DS-GVO um zwingende, nicht zur Disposition der betroffenen Person stehende Vorgaben handele. Die Frage, ob Art. 32 DS-GVO zwingendes, nicht zur Disposition stehendes Recht darstellt, sei besonders praxisrelevant, weil dies teilweise mit dem Argument bejaht werde, dass die DS-GVO einen europäischen Mindeststandard des Systemdatenschutzes schaffen wolle.

Auf der anderen Seite würde es jedoch eine erhebliche Beschränkung der Entscheidungsfreiheit der betroffenen Personen bedeuten, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünschen, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann. Als praxisrelevantes Beispiel werden in dem Vermerk Arztpraxen, Steuerberater oder Anwälte genannt, bei denen ein undifferenziertes Festhalten an dieser Auffassung dazu führen würde, dass die Auskünfte oder die Übermittlung dringend benötigter Unterlagen per einfacher E-Mail nicht durchgeführt würden, da sie befürchten müssten Art. 32 DS-GVO zuwiderzuhandeln, selbst wenn die betroffene Person ausdrücklich in die unsichere Übermittlungsart einwilligt hat.

Mit dieser Fragestellung hat sich nunmehr auch die DSK beschäftigt und hat ihre Sichtweise in einem Beschluss (vom 24. November 2021) veröffentlicht. Darin kommt sie zu folgenden Ergebnissen:

1. Die vom Verantwortlichen nach Art. 32 DS-GVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.

2. Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO ist nicht zulässig.

3. Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.

4. Kapitel V der DS-GVO (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) bleibt hiervon unberührt

(Foto: vanillya – stock.adobe.com)

Letztes Update:27.11.21

Verwandte Produkte

  • Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung

    1.368,80 € Mehr erfahren
  • Teil 2: Einführung in den technisch-organisatorischen Datenschutz

    Teil 2: Einführung in den technisch-organisatorischen Datenschutz

    Seminar

    1.630,30 € Mehr erfahren
  • Basiswissen IT-Sicherheit

    Basiswissen IT-Sicherheit

    Seminar

    574,20 € Mehr erfahren

Das könnte Sie auch interessieren

  • BSI IT-Grundschutz++

    BSI veröffentlicht Methodikleitfaden für Grundschutz++

    Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard. Inhalt und Zielsetzung Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems.

    Mehr erfahren
  • Podcast-Folge 91 der Data Agenda mit Prof. Dr. Schwartmann und Céleste Spahić im Experten-Talk über Daten und Digitalisierung.

    Folge 91: KI-Kompetenz und KI-Kompetenzen

    KI ist ein Werkzeug, welches vielfältig eingesetzt wird. Das erfordert Verständnis für die neue Technik und Kompetenz für den Einsatz. Allerdings kann KI auch Kompetenzen in Menschen entfalten und gezielt eingesetzt werden, um sich seiner selbst bewusster zu werden. Wie das gehen kann, erklärt die Buchautorin Céleste Spahić im DataAgenda Datenschutz Podcast. Weitere ThemenFolge 82:

    Mehr erfahren
  • Arbeitszeiterfassung datenschutzkonform

    Datenschutzkonforme Anwesenheitsübersicht im Zeiterfassungssystem

    Ein Fallbeispiel aus dem sächsischen Tätigkeitsbericht 2025 zeigt, wie die flächendeckende Freischaltung einer „Anwesenheitsübersicht“ in einem elektronischen Zeiterfassungssystem gegen den Grundsatz der Datenminimierung verstoßen kann – und welche Konsequenzen drohen, wenn Verantwortliche die datenschutzrechtliche Erforderlichkeit nicht hinreichend begründen können. Ausgangslage In sächsischen Finanzämtern war die Funktion „Anwesenheitsübersicht“ eines Zeiterfassungssystems zunächst so konfiguriert, dass sämtliche Beschäftigte

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner