Sicherheit der Verarbeitung nach DSGVO Datenschutz und Datensicherheit sind kein Wunschkonzert

Ist die Sicherheit personenbezogener Daten auch dann eine Verpflichtung, wenn die betroffene Person gut und gerne auf die Verschlüsselung der E-Mail an sie oder ihn verzichten könnte? Die Frage ist entscheidend, denn man könnte ja mit Kunden vereinbaren, dass diese keinen Wert auf Datensicherheit legen. Die Aufsichtsbehörden für den Datenschutz haben Stellung bezogen.

Anbieter zum Thema

Der Datenschutz ist nicht verhandelbar, auf die Sicherheit der Verarbeitung kann nicht verzichtet werden, sie kann auch nicht auf Wunsch vermindert werden. Denn Betroffene sind sich oft nicht möglichen Folgen bewusst.
Der Datenschutz ist nicht verhandelbar, auf die Sicherheit der Verarbeitung kann nicht verzichtet werden, sie kann auch nicht auf Wunsch vermindert werden. Denn Betroffene sind sich oft nicht möglichen Folgen bewusst.
(© peterschreiber.media - stock.adobe.com)

Erhalten Personen unbefugt Zugang zu den in einer E-Mailnachricht enthaltenen personenbezogenen Daten, stellt dies eine Verletzung des Schutzes personenbezogener Daten dar, die durch technische und organisatorische Maßnahmen (wie individuelle Adressierung und ggfs. Verschlüsselung) zu verhindern ist, so die Aufsichtsbehörden für den Datenschutz.

Praktisch kann dies bedeuten, dass eine E-Mail mit einem Kundenanschreiben zu einer Datenpanne führen kann, wenn sie falsch adressiert wurde und eine unbefugte Kenntnisnahme insbesondere wegen fehlender Verschlüsselung nicht verhindert wird.

Nun könnte die Kundin oder der Kunde aber sagen, die E-Mail an mich muss nicht verschlüsselt sein. Vielleicht hält der Kunde oder die Kundin diesen Schutz für übertrieben oder umständlich. Da stellt sich die Frage: Wenn der oder die Betroffene gar keine Verschlüsselung wollte, führt dann eine fehlgeleitete E-Mail ohne Verschlüsselung auch zu einer Verletzung des Datenschutzes nach DSGVO (Datenschutz-Grundverordnung)?

Kann der oder die Betroffene auf Datensicherheit verzichten?

Auf den ersten Blick könnte man denken, wenn die oder der Betroffene keinen Schutz der eigenen Daten möchte, ist sie oder er „selbst schuld“, oder aber, sie oder er kann sich dann nicht beschweren, wenn die Daten in unbefugte Hände gelangen.

Die Aufsichtsbehörden für den Datenschutz in Deutschland haben sich mit der Frage explizit befasst, ob und ggf. unter welchen Bedingungen auf Wunsch von Betroffenen auf technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Sicherheit der Verarbeitung personenbezogener Daten) verzichtet werden kann.

Wenn dem so wäre, könnte also die oder der Betroffene ein Unternehmen von bestimmten Vorgaben zur Sicherheit der Verarbeitung nach DSGVO befreien.

Datenschutz steht nicht zur Disposition

Die Datenschutzkonferenz (DSK) als Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder hat dazu einen Beschluss veröffentlicht: „Zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen“.

Die Entscheidung der Aufsichtsbehörden ist eindeutig:

  • Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.
  • Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung ist nicht zulässig.

Man kann also daraus schließen: Der Datenschutz ist nicht verhandelbar, auf die Sicherheit der Verarbeitung kann nicht verzichtet werden, sie kann auch nicht auf Wunsch vermindert werden. Insbesondere kann ein Unternehmen also seine Kunden nicht einfach um Einwilligung bitten, dass die Maßnahmen zur Sicherheit der Verarbeitung reduziert werden oder entfallen können.

Das mag den einen oder anderen verwundern, aber es ist zweifellos ein Schutz für die Betroffenen, denn man kann nicht davon ausgehen, dass sich die Betroffenen wirklich der möglichen Folgen bewusst sind, wenn sie zum Beispiel sagen würden, E-Mails mit meinen personenbezogenen Daten müssen nicht verschlüsselt werden.

Aber wie immer gibt es Ausnahmen

Die Entscheidung der Aufsichtsbehörden lässt aber Ausnahmen zu. So heißt es in dem Beschluss weiter: Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.

Soll also eine bestimmte Maßnahme für die Sicherheit der Verarbeitung nach DSGVO unterbleiben, muss es zum einen ein Einzelfall sein, nicht etwa der Standard im Vorgehen des Unternehmens. Dann muss die Ausnahme dokumentiert sein und zwar ohne Zweifel ausführlich und stichhaltig: Was soll im Bereich der Sicherheit reduziert werden oder unterbleiben, warum hat sich die oder der Betroffene dies gewünscht, ist dies angemessen, also kein zu hohes Risiko für die Betroffenen.

Ganz wichtig ist dabei auch, dass die Betroffenen informiert sind, also über die möglichen Folgen aufgeklärt wurden. Nicht zuletzt muss der Verzicht auf die Sicherheitsmaßnahme auch ausdrücklich von den Betroffenen erklärt werden, und es muss auf die Eigeninitiative der Betroffenen hin erfolgen und nicht etwa von dem Unternehmen vorgeschlagen sein. Die Nachweise der Information oder Aufklärung über die möglichen Folgen und die Eigeninitiative müssen unbedingt dokumentiert sein.

Es zeigt sich: Der Verzicht auf Sicherheitsmaßnahmen wird bewusst nicht einfach gemacht, es macht Aufwand, gerade durch die Risikoanalyse und die Dokumentation. Das soll und muss aber sein, damit man die Sicherheit der Verarbeitung personenbezogener Daten nicht einfach reduziert, um Aufwände zu sparen.

Die genannte Ausnahmeregelung sollte wirklich die Ausnahme bleiben, am besten sollte es gar nicht dazu kommen, denn wer kann schon wirklich sagen, was alles passieren kann, wenn man auf den ausdrücklichen, informierten Wunsch des Betroffenen hin auf bestimmte Schutzmaßnahmen verzichtet?

Selbst wenn die Aufsicht im Fall des Falles die Ausnahme als nachgewiesen und angemessen erachtet, kann es immer noch sein, dass später die oder der Betroffene meint, das Unternehmen hätte doch nie zustimmen dürfen, um die Datenpanne zu vermeiden, immerhin sei man sich als betroffene Person mangels Expertenwissen nicht wirklich im Klaren gewesen. Da hilft dann auch die Dokumentation wenig, wenn der Kunde oder die Kundin später verärgert ist.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47965725)