Ein Betroffener kann in vermeintlich „schlechte“ TOMs einwilligen. Diese Ansicht vertritt der Hamburgerische Datenschutzbeauftragte. Das ist aber nur dann möglich, wenn der Betroffene umfassend aufgeklärt wurde und freiwillig einwilligt. Ob und welche Vorteile dies für Ihr Unternehmen bringt, erfahren Sie in diesem Artikel.
Was sind diese TOMs?
Zu der Frage, welches Schutzniveau TOMs generell bieten müssen, haben wir bereits in diesem Blogbeitrag https://sidit.de/blog/wann-sind-die-tom-sicher-genug berichtet.
Hinter dem Begriff TOM stecken wichtige Technisch-Organisatorische Maßnahmen (TOM) mit denen der Verantwortliche die Verarbeitung von Daten absichert. Gesetzlich geregelt ist das in Art. 32 DSGVO.
Möglich ist das z.B. durch
– Pseudonymisierung und Verschlüsselung der personenbezogenen Daten
– Sicherstellen von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
– Sicherstellen der Verfügbarkeit der personenbezogenen Daten und der Wiederherstellbarkeit
– Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs
Der Verantwortliche ist zwar nicht verpflichtet, explizite TOMs zu ergreifen, er muss jedoch für ein angemessenes Schutzniveau bei der Datenverarbeitung im Einzelfall sorgen. Wie er dies tut, bleibt ihm überlassen. Sind dann nur sichere TOMs möglich?
Einwilligung in „schlechte“ TOMs möglich
Beispiel: Der Besucher einer Webseite soll in eine Verarbeitung seiner Daten außerhalb der EU (Drittland) zustimmen. Problematisch ist hierbei, dass der Datenverarbeiter im Drittland womöglich geringere Schutzmaßnahmen ergreift als der Verantwortliche in der EU.
Nach Auffassung des Hamburgischen Datenschutzbeauftragten kann der Betroffene in solche „schlechten“ TOMs einwilligen. Er stimmt damit einer geringeren Sicherheit bei der Datenverarbeitung zu. Allerdings ist der Verantwortliche verpflichtet, im Vorfeld von einer konkreten Datenverarbeitung, sichere TOMs anzubieten. Dem Betroffenen steht es jedoch frei, auf diese sicheren TOMs zu verzichten.
Generell kann der Betroffene in sämtliche Formen der Verarbeitung seiner personenbezogenen Daten einwilligen. Die Möglichkeit in „schlechtere“ TOMs bei der Verarbeitung einzuwilligen, ist daher logische Konsequenz.
Wie sieht eine solche datenschutzkonforme Einwilligung aus?
Zunächst muss der Verantwortliche sichere TOMs anbieten. Er kann sich damit nicht auf den Verzicht der Betroffenen verlassen. Weiterhin muss der Verantwortliche den Betroffenen ausführlich und transparent über den Verzicht auf diese TOMs aufklären. Zudem muss der Betroffene vollständig freiwillig einwilligen. Das geht selbstverständlich nur dann, wenn ihm angemessene und sichere Alternativen offenstehen. Diese Alternative muss er frei von unzumutbaren Nachteilen auswählen können.
Beispiel: Ein Kunde kontaktiert ein Unternehmen über ein auf der Webseite bereitgestelltes Kontaktformular. Die Übermittlung seiner Anfrage erfolgt hierbei unverschlüsselt. In diesem konkreten Fall wäre jedoch eine Transportverschlüsselung erforderlich gewesen. Dem Kunden muss daher die Alternative offenstehen, seine Anfrage z.B. postalisch zu stellen. Dabei dürfen dem Kunden keine Nachteile entstehen.
Es bleibt abzuwarten, ob sich Gerichte in Zukunft dieser Rechtsauffassung anschließen werden. Für die Praxis wird diese Einwilligungslösung nur selten umsetzbar sein. Da der Verantwortliche oft selbst nicht ausreichend über die Datenverarbeitung beim Drittanbieter informiert ist, wird eine umfassende Aufklärung des Betroffenen schwer möglich sein.
Wir beraten unsere Kunden im Rahmen der Bearbeitung des „SiDIT-Fahrplans“ umfassend rund um das Thema TOMs.
Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: 0931-780 877-0 oder info@sidit.de
[…] Betroffener in eine unsichere Datenverarbeitung einwilligen kann. Bereits in unserem Blogbeitrag „Kann ein Betroffener in „schlechte“ TOMs einwilligen?“ haben wir diese Frage beleuchtet und mussten ihr eine Absage erteilen. Nichts anderes ist ein […]
[…] nämlich ob der Betroffene in schlechte TOMs einwilligen kann, haben wir uns kürzlich in folgendem Blogartikel […]
Hat der betroffenen überhaupt Anspruch auf die mitteilung der TOM’s oder sind das nicht betriebsgeheimnisse?
Guten Tag und vielen Dank für Ihre Frage.
Grundsätzlich hat der Betroffene nur einen Anspruch auf Auskunft über die Verarbeitung seiner personenbezogenen Daten. Möchte jedoch der Verantwortliche mit den TOMs von dem Stand der Technik, wie er in Art. 32 DSGVO bei der Verarbeitung der Daten gefordert ist, abweichen, dann braucht er eine Einwilligung. Für eine Einwilligung wiederum ist es erforderlich, dass der Betroffene weiß, worin er einwilligt. Er muss also den Stand der Technik kennen sowie die Maßnahmen, die der Verantwortliche ergreift. In diesem Fall muss der Verantwortliche seine TOMs insofern offenlegen, weil der Betroffene anderenfalls nicht freiwillig und informiert einwilligen kann.