Katholische DSK lässt Einwilligung in schlechtere ToMs zu

Verantwortliche müssen technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten – so steht es in § 26 KDG. Dazu gehören beispielsweise besonders gesicherte Kommunikationskanäle. Lediglich transportverschlüsselte E-Mail fällt damit regelmäßig aus – das ist sicher, aber unpraktisch. In der Praxis stellt sich daher die Frage, ob auf angemessene ToMs durch eine Einwilligung verzichtet werden kann: »Ich willige in eine Zusendung des Untersuchungsbefunds per E-Mail ein«, zum Beispiel.

Ein offenes Vorhängeschloss an einem Riegel
Mit Einwilligung darf das Schloss künftig manchmal ab. (Bildquelle: iMattSmart on Unsplash)

Bislang war die Position der katholischen Datenschutzkonferenz, dass eine Einwilligung in schlechtere ToMs nicht zulässig ist. Die Verpflichtung sei »zwingender Natur und steht mithin nicht zur Disposition der an der Datenverarbeitung Beteiligten«, lautete bislang der Beschluss. Nun hat die Konferenz der Diözesandatenschutzbeauftragten ihren Beschluss revidiert und spricht von einem »Dispositionsrecht zur Einwilligung in die Nichtanwendung von technischen und organisatorischen Maßnahmen«. Der Beschluss der Juni-Sitzung wurde jetzt veröffentlicht.

Die bisherige Rechtsauffassung

Im Beschluss vom 19. September 2019 wurde die Möglichkeit einer Einwilligung in schlechtere ToMs komplett ausgeschlossen. Eine Einwilligung dürfe insbesondere nicht verwendet werden, »um nicht ausreichend geeignete technische und organisatorische Maßnahmen durch den Betroffenen zu legitimieren«.

Damit war die bisherige Rechtsauffassung sogar noch strenger als die der Datenschutzkonferenz des Bundes und der Länder vom 24. November 2021. Die DSK vertritt darin die Position, dass die gemäß § 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen auf »objektiven Rechtspflichten« beruhen, »die nicht zur Disposition der Beteiligten stehen«. Lediglich in zu dokumentierenden Einzelfällen soll es möglich sein, »dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet« – ein generelles Wahlrecht, den Arztbrief per Mail zu bekommen, war damit nicht zu realisieren.

Die neue Rechtsauffassung

Der Beschluss betont weiterhin die Pflicht, geeignete ToMs zu implementieren, ohne sie absenken zu dürfen. Als zulässig wird nun aber erachtet, »in das Nichtanwenden von einzelnen technischen und organisatorischen Schutzmaßnahmen […] auf informierte Weise einzuwilligen«. Diese Einwilligung ist nicht wie nach Auffassung der DSK  auf Ausnahmefälle beschränkt, kann aber auch keinen generellen Verzicht begründen: »Diese Dispositionsbefugnis ist nur gegeben, wenn der Verantwortliche eine Übermittlung der betreffenden personenbezogenen Daten auch auf gesichertem Weg (ohne Wegfall einzelner, im konkreten Fall in die Disposition des Betroffenen fallende Maßnahmen) anbietet und diese Wahlmöglichkeit der betroffenen Person keinen Nachteil bringen würde.«

Die katholische Datenschutzkonferenz greift damit die Position des Hamburgischen Landesdatenschutzbeauftragten auf. In einem vielbeachteten Vermerk zur »Abdingbarkeit von TOMs« vom 5. Januar 2022 sprach dieser sich schon für eine Auslegung aus, wie sie jetzt von den katholischen Diözesandatenschutzbeauftragten gewählt wurde. Auch das Hamburger Modell sieht vor, dass angemessene ToM vorzuhalten sind und ein Verzicht darauf nach Einwilligung möglich ist. Im Vergleich zum katholischen Beschluss wird in dem Vermerk noch die Anforderung aufgenommen, dass der Verzicht »eigeninitiativ« und »im Einzelfall« erfolgt.

Der Verzicht auf diese beiden Kriterien dürfte den katholischen DSK-Beschluss noch einmal praxisnäher machen: Während es nach Hamburger Modell fraglich ist, ob die Einwilligung in schlechtere ToM standardmäßig in Formularen abgefragt werden darf, scheint das in der katholischen Variante durchaus denkbar zu sein.

Auswirkungen auf die Praxis

In der Praxis dürfte die neue Rechtsauffassung eine erhebliche Erleichterung darstellen, zumindest jedoch bislang als nicht zulässig erachtete, aber übliche Verfahren legitimieren. Kommunikation mit Patienten und Klientinnen und digitale Bewerbungen per E-Mail kann so künftig mit einer Einwilligung rechtskonform stattfinden.

Wichtig ist dabei, die sicheren Kommunikationskanäle weiter vorzuhalten. Eingeschränkt wird die Wahlmöglichkeit nur dadurch, dass sie »der betroffenen Person keinen Nachteil bringen« darf. Das ist wohl dahingehend zu interpretieren, dass beispielsweise Bewerbungen per Post nicht schlechter als Bewerbungen per E-Mail behandelt werden dürfen. In der Natur der Sache liegende Nachteile (Post kostet Porto) sind wohl eher nicht damit gemeint (schließlich willigt man ja gerade in schlechtere ToMs ein, um solchen Nachteilen zu entgehen).

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert