Vermerk zu Abdingbarkeit von Art. 32 DS-GVO

32 DSGVO

Eine als Vermerk veröffentlichte Publikation des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) fand in den letzten Tagen in Datenschutzkreisen große Beachtung.

Darin beschäftigt sich der HmbBfDI mit der Frage, ob betroffene Personen in ein niedrigeres Schutzniveau einwilligen können als rechtlich geboten ist. Es geht also um die Frage, ob oder inwieweit es sich bei den Vorgaben des Art. 32 DS-GVO um zwingende, nicht zur Disposition der betroffenen Person stehende Vorgaben handelt. Die Frage, ob Art. 32 DS-GVO zwingendes, nicht zur Disposition stehendes Recht darstellt, ist besonders praxisrelevant, weil dies teilweise mit dem Argument bejaht wird, dass die DS-GVO einen europäischen Mindeststandard des Systemdatenschutzes schaffen wolle.

Auf der anderen Seite würde es jedoch eine erhebliche Beschränkung der Entscheidungsfreiheit der betroffenen Personen bedeuten, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünschen, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann. Als praxisrelevantes Beispiel werden in dem Vermerk Arztpraxen, Steuerberater oder Anwälte genannt, bei denen ein undifferenziertes Festhalten an dieser Auffassung dazu führen würde, dass die Auskünfte oder die Übermittlung dringend benötigter Unterlagen per einfacher E-Mail nicht durchgeführt würden, da sie befürchten müssten Art. 32 DSGVO zuwiderzuhandeln, selbst wenn die betroffene Person ausdrücklich in die unsichere Übermittlungsart einwilligt hat.

Aufgrund dieser widerstreitenden Interessen sei die Frage der Abdingbarkeit des Systemdatenschutzes daher nicht pauschal zu beantworten. Die Antwort müsse insbesondere zwischen dem Verantwortlichen oder Auftragsverarbeiter und der betroffenen Person differenzieren.

Der HmbBfDI zieht nach einer ausführlichen Betrachtung der Sach- und Rechtslage folgendes Fazit:
„Der Verantwortliche und der Auftragsverarbeiter haben die nach Art. 32 DS-GVO erforderlichen Maßnahmen zwingend umzusetzen und vorzuhalten. Betroffene Personen können in die Herabsetzung des nach Art. 32 DS-GVO vorgesehenen Schutzniveaus allerdings bezogen auf ihre eigenen Daten im Einzelfall einwilligen, wenn die Einwilligung freiwillig im Sinne des Art. 7 DS-GVO erfolgt. Dies setzt jedoch voraus, dass der Verantwortliche die nach Art. 32 DS-GVO erforderlichen Schutzvorkehrungen grundsätzlich vorhält und der betroffenen Person auf Verlangen zur Verfügung stellt, ohne dass der betroffenen Person Nachteile dadurch entstehen.“

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)

(Foto: Tierney – stoc.adobe.com)

Letztes Update:10.04.21

  • Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung

    1368.80 € Mehr erfahren
  • Hacker-Tools für Datenschutzbeauftragte

    Hacker-Tools für Datenschutzbeauftragte

    Seminar

    2021-11-02, 08:00 | Köln

    963.90 € Mehr erfahren
  • Cloud Services

    Datenschutz & Datensicherheit bei der Nutzung von Cloud Services

    Immer mehr Unternehmen lagern ihre Daten in sogenannten Clouds aus. Beim Cloud Computing werden Daten auf externen Servern flexibel und kostengünstig verarbeitet. Durch die Inanspruchnahme von Cloud Services können sich gravierende Risiken für den Datenschutz und die Datensicherheit ergeben. Die Einführung der Datenschutz-Grundverordnung (DS-GVO) hat den Datenschutz nachhaltig verändert. Auch bei der Verwendung von Cloud-Managements

    Mehr erfahren
  • Kurzpapier zur Einwilligung nach der DS-GVO

    Neue Praxishilfe zur Einwilligung

    Unter der Mitarbeit des GDD-Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“ (AK GSW) wurde eine Praxishilfe mit dem Titel „Die datenschutzrechtliche Einwilligung: Freund (nicht nur) des Forschers“ erarbeitet und veröffentlicht. Bei der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten ist stets zu beachten, dass eine Einwilligung in die Verarbeitung dieser Daten nur möglich

    Mehr erfahren
  • Homeoffice IT-Sicherheit

    BSI: Umfrage zur IT-Sicherheit im Home-Office

    „In der Pandemie sind allein in Deutschland zwölf Millionen Berufstätige ins Home-Office gewechselt“, so eines der Ergebnisse einer repräsentativen Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dazu hat das BSI 1.000 Unternehmen und Betriebe befragt. Eine weitere eher besorgniserregende Feststellung im Rahmen dieser Umfrage ist jedoch, dass die IT-Sicherheit mit dem häufiger anzutreffendem

    Mehr erfahren