1. Home
  2. Vermerk zu Abdingbarkeit von Art....
DataAgenda

Vermerk zu Abdingbarkeit von Art. 32 DS-GVO

32 DSGVO

Eine als Vermerk veröffentlichte Publikation des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) fand in den letzten Tagen in Datenschutzkreisen große Beachtung.

Darin beschäftigt sich der HmbBfDI mit der Frage, ob betroffene Personen in ein niedrigeres Schutzniveau einwilligen können als rechtlich geboten ist. Es geht also um die Frage, ob oder inwieweit es sich bei den Vorgaben des Art. 32 DS-GVO um zwingende, nicht zur Disposition der betroffenen Person stehende Vorgaben handelt. Die Frage, ob Art. 32 DS-GVO zwingendes, nicht zur Disposition stehendes Recht darstellt, ist besonders praxisrelevant, weil dies teilweise mit dem Argument bejaht wird, dass die DS-GVO einen europäischen Mindeststandard des Systemdatenschutzes schaffen wolle.

Auf der anderen Seite würde es jedoch eine erhebliche Beschränkung der Entscheidungsfreiheit der betroffenen Personen bedeuten, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünschen, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann. Als praxisrelevantes Beispiel werden in dem Vermerk Arztpraxen, Steuerberater oder Anwälte genannt, bei denen ein undifferenziertes Festhalten an dieser Auffassung dazu führen würde, dass die Auskünfte oder die Übermittlung dringend benötigter Unterlagen per einfacher E-Mail nicht durchgeführt würden, da sie befürchten müssten Art. 32 DSGVO zuwiderzuhandeln, selbst wenn die betroffene Person ausdrücklich in die unsichere Übermittlungsart einwilligt hat.

Aufgrund dieser widerstreitenden Interessen sei die Frage der Abdingbarkeit des Systemdatenschutzes daher nicht pauschal zu beantworten. Die Antwort müsse insbesondere zwischen dem Verantwortlichen oder Auftragsverarbeiter und der betroffenen Person differenzieren.

Der HmbBfDI zieht nach einer ausführlichen Betrachtung der Sach- und Rechtslage folgendes Fazit:
„Der Verantwortliche und der Auftragsverarbeiter haben die nach Art. 32 DS-GVO erforderlichen Maßnahmen zwingend umzusetzen und vorzuhalten. Betroffene Personen können in die Herabsetzung des nach Art. 32 DS-GVO vorgesehenen Schutzniveaus allerdings bezogen auf ihre eigenen Daten im Einzelfall einwilligen, wenn die Einwilligung freiwillig im Sinne des Art. 7 DS-GVO erfolgt. Dies setzt jedoch voraus, dass der Verantwortliche die nach Art. 32 DS-GVO erforderlichen Schutzvorkehrungen grundsätzlich vorhält und der betroffenen Person auf Verlangen zur Verfügung stellt, ohne dass der betroffenen Person Nachteile dadurch entstehen.“

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)

(Foto: Tierney – stoc.adobe.com)

Letztes Update:10.04.21

Verwandte Produkte

  • Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung

    1.368,80 € Mehr erfahren
  • Hacker-Tools für Datenschutzbeauftragte

    Hacker-Tools für Datenschutzbeauftragte

    Seminar

    963,90 € Mehr erfahren

Das könnte Sie auch interessieren

  • Interessenkollision DSB in Personalunion

    Interessenkonflikte bei DSB in (zusätzlich) leitender Funktion

    Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat zwei Fälle geprüft, in denen betriebliche Datenschutzbeauftragte gleichzeitig in leitenden Positionen innerhalb ihrer Unternehmen tätig waren. Konkret handelte es sich um Funktionen als Leiter der IT-Abteilung bzw. der Konzernsicherheit. Beide Fälle wurden aufgrund von Beschwerden geprüft und im Rahmen aufsichtsbehördlicher Verfahren behandelt. Rechtlicher Hintergrund Nach Art. 37

    Mehr erfahren
  • Rauchwarnmelder und Datenschutz

    Datenschutzrechtliche Anforderungen an Rauchwarnmelder mit Klima-Monitoring

    Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat berreits Ende 2024 Stellung zu Rauchwarnmeldern mit integrierter Klimaüberwachung bezogen. Diese Geräte erfassen neben Rauchentwicklung auch Raumtemperatur und Luftfeuchtigkeit und übermitteln die Daten an externe Dienstleister, die sie analysieren und den Bewohner*innen beispielsweise Lüftungsempfehlungen geben. Zentrale Datenschutzaspekte: Empfehlungen der LDI NRW: Auch die Sächsische Datenschutz-

    Mehr erfahren
  • Data Act

    Data Act: Neue Anforderungen an Datenzugang und Datenschutz

    Am 12. September 2025 wird der Data Act der Europäischen wirksam. Ziel der Verordnung ist es, den Zugang zu und die Nutzung von Daten, insbesondere aus vernetzten Geräten, zu fördern. Hersteller und Anbieter entsprechender Produkte werden künftig verpflichtet, sowohl nicht-personenbezogene als auch personenbezogene Daten Dritten auf Anforderung bereitzustellen – etwa Nutzenden oder Dienstleistern. Dies betrifft

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner