Abo

Kurzbeitrag : Abdingbarkeit des Art. 32 DS-GVO durch Einwilligung : aus der RDV 4/2021, Seite 206 bis 209

Lesezeit 11 Min.

In Art. 32 DS-GVO werden die Anforderungen an die technischen und organisatorischen Maßnahmen (sog. TOMs) des datenschutzrechtlich Verantwortlichen definiert. Besonderes Augenmerk soll hier auf die nach Art. 32 Abs. 1 lit. a) DS-GVO erforderliche Verschlüsselung von personenbezogenen Daten gelegt werden. Denn insbesondere die End-toEnd-Verschlüsselung ist in einer Vielzahl von wirtschaftlichen Bereichen (z.B. Messenger-Dienste) nicht mehr wegzudenken und stellt einen „Trust-Faktor“ für die Einhaltung von Datenschutz dar. Da die Einhaltung von TOMs mit hohen Kosten für Unternehmen verbunden ist, wäre es für diese wohl vorteilhaft, wenn diese im Rahmen der Verarbeitung von personenbezogenen Daten eines Betroffenen individuell durch Einwilligung abbedingt werden könnten. Der folgende Artikel widmet sich der Frage nach der Zulässigkeit einer solchen Einwilligung.

I. Einleitung

Die Abdingbarkeit des Art. 32 DS-GVO und somit die Abdingbarkeit der sog. TOMs korrespondiert mit der Frage, ob betroffene Personen in ein niedrigeres Schutzniveau einwilligen können als rechtlich geboten ist, wobei diese Problematik in der Praxis regelmäßig anhand der Verschlüsselung, insbesondere im E-Mail-Bereich, deutlich wird.[1]  Als praxisbezogenes Beispiel kann herangezogen werden, ob ein Betroffener wirksam darin einwilligen könnte, dass ihm der datenschutzrechtlich Verantwortliche (z.B. eine Klinik) Dokumente mit personenbezogenen Daten (z.B. Befunde) unverschlüsselt oder mittels eines niedrigeren Datensicherheitsniveaus bezüglich der Verschlüsselung per E-Mail zusenden dürfte. Damit könnte der Verantwortliche nicht nur den Verschlüsselungsaufwand sparen, sondern sich auch zugleich der Haftung für etwaige „Hackerangriffe“ von Dritten bzw. der Haftung für sog. „Data Breaches“ (Datenpannen) entziehen. Die clientbasierten Securitykonzepte, die nur mit viel Aufwand und hohen Administrationskosten realisierbar sind,[2] würden in der E-Mail-Kommunikation für diesen Betroffenen somit wegfallen. Allein daran wird deutlich, inwiefern sich eine solche Einwilligung für den Verantwortlichen „rechnen“ würde. Noch deutlicher wird dies, wenn der Verantwortliche beispielsweise von allen Kunden eine Einwilligung für eine unverschlüsselte E-MailKommunikation einholt. In Anbetracht dieses Missbrauchsrisikos muss sich eingehend damit auseinandergesetzt werden, ob es sich bei den Vorgaben des Art. 32 DS-GVO um zwingende, nicht zur Disposition der betroffenen Person stehende Vorgaben handelt,[3] sodass eine Einwilligung nach§ 134 BGB unwirksam wäre.

II. Schutzzweck und Regelungsgehalt von Art. 32 DS-GVO

Aus Erwägungsgrund 83 der DS-GVO ergibt sich, dass der Verantwortliche und Auftragsverarbeiter zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung die mit der Verarbeitung verbundenen Risiken zu ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, zu treffen hat. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter müssen daher geeignete technische und organisatorische Maßnahmen durchführen, die für den Schutz gegen zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.[4] Somit gibt Art. 32 DS-GVO den Verpflichteten die regulatorischen Leitplanken für die Umsetzung entsprechender Maßnahmen vor[5] und soll zugleich für ein angemessenes Schutzniveau für personenbezogene Daten sorgen.[6] So regelt Art. 32 Abs. 1 DS-GVO, dass eine Pseudonymisierung und Verschlüsselung personenbezogener Daten erfolgen (lit. a), die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden (lit. b), die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden (lit. c) und ein Verfahren zur regelmäßigen Überprüfung, Bewertung sowie Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung bestehen muss (lit. d).[7] Damit stellt Art. 32 DS-GVO grundsätzlich hohe Anforderung an die Sicherheit von Verarbeitungsprozessen im Zusammenhang mit personenbezogenen Daten. Dies ist jedoch auch nachvollziehbar, da sich Betroffene darauf verlassen dürfen, dass ihre Daten bei dem Verantwortlichen sicher bzw. vor dem Zugriff von Dritten geschützt sind. Letztendlich legt Art. 32 DS-GVO dem Verantwortlichen daher im Interesse der Verarbeitungssicherheit besondere Gewährleistungspflichten auf,[8] wobei in der DSGVO keine Ausnahme dafür vorgesehen sind.

III. Abdingbarkeit von Art. 32 DS-GVO

Die herrschende Literatur ist der Ansicht, dass Art. 32 DSGVO nicht disponibel bzw. abdingbar ist.[9] Dagegen sind der Hamburger Datenschutzbeauftragte und das Bayrische Landesamt für Datenschutzaufsicht der Ansicht, dass Art. 32 DS-GVO durch Einwilligung abdingbar sei und somit zur Disposition des Betroffenen stehe.[10] Gleichwohl müsse der Verantwortliche oder Auftragsverarbeiter aber die in Art. 32 DS-GVO enthaltenen verbindlichen Regeln einhalten, da Art. 32 DS-GVO eine Pflicht zur Implementierung angemessener Maßnahmen enthält und dem Verantwortlichen oder Auftragsverarbeiter gerade keine Entscheidungsbefugnis darüber einräumt, ob er diese umsetzt.[11]

Nach deren Ansicht kann der Betroffene somit in ein niedrigeres Schutzniveau einwilligen, aber der Verantwortliche oder Auftragsverarbeiter muss dennoch die in Art. 32 DSGVO genannten Maßnahmen implementieren. Dies hat jedoch zur Folge, dass der Verantwortliche oder Auftragsverarbeiter, auch wenn er die entsprechenden Maßnahmen zu implementieren hat, grundsätzlich ein niedrigeres Datensicherheitsniveau mit Einzelnen oder sogar allen Betroffenen vereinbaren könnte. Damit könnte er sich unter Umständen Aufwand oder Kosten sparen, da er nicht mehr das in Art. 32 DS-GVO angemessene Datensicherheitsniveau hinsichtlich der eingewilligten Verarbeitungsprozesse aufrechterhalten müsste. Auch könnte er dadurch sein Haftungsrisiko für Verstöße gegen Art. 32 DS-GVO bezüglich der Datenverarbeitungsprozesse, bei denen in ein niedrigeres Datensicherheitsniveau eingewilligt wurde, minimieren. Dagegen könnte er dies nicht, wenn eine Einwilligung dem Grunde nach nicht möglich wäre.

Die besseren juristischen Argumente sprechen für die herrschende Literatur, sodass eine Einwilligung in ein niedrigeres Datenschutzniveau nicht möglich ist. Denn neben der bereits genannten Tatsache, dass die DS-GVO keine Ausnahmetatbestände für die Einhaltung der Anforderungen des Art. 32 DS-GVO kodifiziert hat, spricht auch dessen Wortlaut, der dem Verantwortlichen und dem Auftragsverarbeiter keine Wahlmöglichkeit hinsichtlich der grundsätzlichen Gewährleistungspflicht einräumt, gegen eine Abdingbarkeit.[12] Des Weiteren stehen die Möglichkeit der Einwilligung gem. Art. 6 Abs. 1 lit. a DS-GVO und ihre in Art. 7 DS-GVO normierten Bedingungen systematisch im Zusammenhang mit der Frage der Zulässigkeit der Datenverarbeitung und nicht mit den spezifischen Pflichten bei der Umsetzung.[13] Darüber hinaus setzt sich die Rechtmäßigkeit der Datenverarbeitung aus dessen Zulässigkeit und der Datensicherheit als zwei kumulative Anforderungen zusammen,[14] wobei Art. 6 Abs. 1 lit. a DS-GVO nur die Zulässigkeit und nicht die Datensicherheit betrifft. Im Übrigen steht Art. 32 DS-GVO in dem Abschnitt „Sicherheit personenbezogener Daten“, welcher dem Kapitel IV „Verantwortlicher und Auftragsverarbeiter“ unterfällt, sodass Art. 32 DS-GVO als objektive Anforderungen des Gesetzgebers an die Datensicherheit des Verantwortlichen oder Auftragsverarbeiters zu verstehen ist, was gegen dessen Disponibilität spricht.[15]

Über diese theoretischen bzw. juristischen Argumente hinaus sprechen auch praktische Gründe gegen eine Disponibilität von Art. 32 DS-GVO. So könnten große Konzerne dessen Anforderungen an die Datensicherheit, insbesondere auch im Bereich von sensiblen Daten i.S.d. Art. 9 DS-GVO, vorsätzlich umgehen, indem Einwilligungserklärungen in ein niedrigeres Schutzniveau von den Betroffenen (ggf. sogar von allen Betroffenen) eingeholt werden. Damit würde der gesetzgeberischen Intention die Datensicherheit für personenbezogene Daten mit dem Erlass der DS-GVO zu erhöhen, ohne entsprechende Sanktionsmöglichkeiten zuwidergehandelt werden können. Auch folgt generell aus einer niedrigeren Datensicherheit ein höheres Risiko für „Hackerangriff“ bzw. unberechtigten Zugriff auf personenbezogene Daten. Daher lassen auch praktische Argumente eine Abdingbarkeit des Art. 32 DS-GVO fernliegend erscheinen.

IV. Unwirksamkeit der Einwilligung

Eine Einwilligung (oder Verzichtserklärung) des Betroffenen könnte dementsprechend nach§ 134 BGB i.V.m. Art. 32 DSGVO unwirksam sein. Dies setzt voraus, dass Art. 32 DS-GVO ein Verbotsgesetz i.S.d. § 134 BGB darstellt. Für das Vorliegen einer Verbotsnorm ist nicht erforderlich, dass das Verbot in der jeweiligen Rechtsnorm ausdrücklich ausgesprochen wird, sondern vielmehr ist der Sinn und Zweck der jeweiligen Rechtsnorm ausschlaggebend.[16] Wie bereits oben dargelegt, liegt der Sinn und Zweck des Art. 32 DSGVO im Wesentlichen darin, dass ein angemessenes Sicherheitsniveau hinsichtlich der Verarbeitungsprozesse von personenbezogenen Daten vorliegt, um einen möglichst hohen Schutz für diese zu gewährleisten, wobei keine gesetzlichen Ausnahmen vorgesehen sind. Der Sinn und Zweck des Art. 32 DS-GVO verbietet somit Rechtsgeschäfte, die das Datensicherheitsniveau senken. Da die Einwilligung (oder Verzichtserklärung) als einseitiges Rechtsgeschäft dieses Verbot betrifft, wäre das verbotswidrige Geschäft, also in diesem Fall die Einwilligung, nach § 134 BGB nichtig.[17]

Selbst wenn die Möglichkeit einer Abdingbarkeit des Art. 32 DS-GVO angenommen und ein Verbotscharakter verneint werden sollte, dürfte in diesem Kontext dennoch fraglich sein, ob Betroffene nach Art. 7 DS-GVO wirksam darin einwilligen können, dass Verantwortliche oder Auftragsverarbeiter ganz oder teilweise auf Maßnahmen und Verfahren, die Art. 32 DS-GVO vorschreibt, verzichten dürfen. Denn, wenn man die Einwilligungsfähigkeit bejahen sollte, müssten gleichwohl die Voraussetzungen für eine wirksame Einwilligung, insbesondere eine ausreichende Informiertheit vorliegen. Dies umfasst bei Abgabe einer schriftlichen Erklärung insbesondere, dass die betroffene Person weiß, in welchem Umfang sie ihre Einwilligung erteilt.[18] Bei einer Einwilligung in ein niedrigeres Datensicherheitsniveau oder einer Verzichtserklärung bezüglich Selbiges müsste der Verantwortliche insbesondere über dessen mangelnde Haftung nach Art. 82 DS-GVO sowie über die Risiken von „Data breaches“ (sog. Datenpannen), die bei einem niedrigeren Datensicherheitsniveau erhöht wären, aufklären. Der Betroffene müsste somit darüber informiert werden, dass er durch mangelnde Datensicherheit Nachteile – z.B. durch das Risiko des unberechtigten Zugriffs von Dritten („Data fishing“ oder Identitätsdiebstahl) – erleiden kann.

Es dürfte jedoch zu weitgehend sein, wenn der Betroffene auch dazu verpflichtet werden sollte, dass er dem Betroffenen das verringerte Schutzniveau in technischer Hinsicht vor Abgabe seiner Einwilligung oder seines Verzichts erläutern müsste,[19] da der Betroffene dies im Zweifel mangels technischen Know-Hows – z.B. in Hinblick auf die technische Funktionsweise der Verschlüsselung von personenbezogenen Daten – nicht nachvollziehen dürfte.

Aus den obigen Ausführungen folgt somit, dass, wenn der Verantwortliche oder Auftragsverarbeiter beispielsweise dem Betroffenen Inhalte mit personenbezogenen Daten, die mit einem niedrigeren Schutzniveau hinsichtlich der Verschlüsselung versehen sind, per E-Mail zusendet und somit von den Anforderungen des Art. 32 DS-GVO abweichen möchte, er – sofern eine Abdingbarkeit angenommen werden sollte – den Betroffenen vorher zumindest auf die tatsächlichen Risiken (Identitätsdiebstahl und „Data fishing“ bzw. generell einfacherer, unberechtigter Zugriff von Dritten) sowie seine mangelnde Haftung hinweisen müsste, um von einer informierten Einwilligung ausgehen zu können.

IV. Fazit

Anhand des Anforderungskatalogs an die Datensicherheit in Art. 32 DS-GVO, der keine Ausnahmen vorsieht, wird deutlich, dass der europäische Gesetzgeber ein möglichst hohes Schutzniveau für personenbezogene Daten anstrebt. Dementsprechend würde eine Einwilligung in ein niedrigeres Schutzniveau oder sogar ein Verzicht auf Datensicherheit diesem Schutzzweck zuwiderlaufen. Konsequenterweise dürften daher der Regelungsgehalt in Art. 32 DS-GVO nicht durch eine Einwilligung oder andere Individualvereinbarung abdingbar sein. Auch dürfte daher erst Recht nicht eine Umgehung des Art. 32 DS-GVO durch Allgemeine Geschäftsbedingungen möglich sein. Selbst wenn dies entgegen der herrschenden Literatur anders beurteilt werden sollte, bedarf eine informierte Einwilligung, dass der Verantwortliche oder Auftragsverarbeiter den Betroffenen über die rechtlichen und tatsächlichen Risiken aufklärt. Dagegen dürfte es jedoch zu viel verlangt sein, wenn der Verantwortliche oder Auftragsverarbeiter darüber hinaus den Betroffenen noch über den Verzicht in technischer Hinsicht aufklären müsste, da die Betroffenen dies regelmäßig nicht nachvollziehen können.

* Richter auf Probe Alexander Bleckat ist momentan bei der Staatsanwaltschaft Hannover als Staatsanwalt tätig und Mitautor des Buches „Jura geht auch anders“.

[1] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Abdingbarkeit von Art. 32 DS-GVO, https://datenschutzhamburg.de/assets/pdf/Vermerk-Abdingbarkeit_TOMs.pdf; S. 2 (Stand: 12.05.2021).

[2] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Abdingbarkeit von Art. 32 DS-GVO, https://www.tecchannel.de/a/automatische-verschluesselung-mit-e-mail-gateways,1762105,2 (Stand: 12.05.2021)

[3] Ebenso: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Abdingbarkeit von Art. 32 DS-GVO, https://datenschutzhamburg.de/assets/pdf/Vermerk-Abdingbarkeit_TOMs.pdf; S. 2 (Stand: 12.05.2021).

[4] Kühling/Buchner/Jandt, DS-GVO, 3. Aufl. 2020, Art. 32 Rn. 3., Rn. 2; ebenso Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 32 Rn. 3.

[5] Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 32 Rn. 3.

[6] Sydow/Mantz, Europäische Datenschutzgrundverordnung, DS-GVO, 2. Aufl. 2018, Art. 32 Rn. 1

[7] Siehe auch: BeckOK DatenschutzR/Paulus, 35. Ed. 01.11.2019, DS-GVO Art. 32 Rn. 5.

[8] Paal/Pauly/Martini, DS-GVO, 3. Aufl. 2021, Art. 32 Rn. 1.

[9] Spindler/Schuster/Laue, DS-GVO, 4. Aufl. 2019, Art. 32, Rn. 21; MAH IT-R/Schwartmann/Hermann, Teil 10.5 Datenschutz und Datensicherheit im (I)IoT, Rn. 79; Kühling/Buchner/Jandt, DS-GVO, 3. Aufl. 2020, Art. 32 Rn. 40.

[10] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Abdingbarkeit von Art. 32 DS-GVO, https://datenschutzhamburg.de/assets/pdf/Vermerk-Abdingbarkeit_TOMs.pdf, S. 5 (Stand: 14.05.2021); Bayrisches Landesamt für Datenschutzaufsicht mit seinem 7. Tätigkeitsbericht von 2015/2016, https://www.lda.bayern.de/media/baylda_report_07.pdf, S. 99 (Stand: 14.05.2021).

[11] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Vermerk: Abdingbarkeit von Art. 32 DS-GVO, https://datenschutzhamburg.de/assets/pdf/Vermerk-Abdingbarkeit_TOMs.pdf, S. 5 (Stand: 14.05.2021).

[12] Kühling/Buchner/Jandt, DS-GVO, 3. Aufl. 2020, Art. 32 Rn. 40

[13] Spindler/Schuster/Laue, DS-GVO, 4. Aufl. 2019, Art. 32 Rn. 20; Kühling/Buchner/Jandt, DS-GVO, 3. Aufl. 2020, Art. 32 Rn. 40.

[14] Kühling/Buchner/Jandt, DS-GVO, 3. Aufl. 2020, Art. 32 Rn. 40.

[15] So wohl auch Kühling/Buchner/Jandt, DS-GVO, 3. Aufl. 2020, Art. 32 Rn. 40; wohl ebenso Spindler/Schuster/Laue, DS-GVO, 4. Aufl. 2019, Art. 32 Rn. 2.

[16] BeckOK BGB/Wendtland, BGB, 57. Ed. 01.02.2021, § 134 Rn. 9; MüKoBGB/Armbrüster, BGB, 8. Aufl. 2018, § 134 Rn. 41.

[17] Jauernig/Mansel, BGB, 18. Aufl. 2021, § 134 Rn. 41.

[18] Vgl. Erwägungsgrund 42 der DS-GVO.

[19] A.A. wohl Bayrisches Landesamt für Datenschutzaufsicht mit seinem 7. Tätigkeitsbericht von 2015/2016, https://www.lda.bayern.de/media/baylda_report_07.pdf, S. 99: „Der Nutzer muss zudem deutlich und verständlich darüber informiert werden, welcher Übertragungsweg dem Stand der Technik entspricht und welcher nicht (…)