Abdingbarkeit der Sicherheit der Verarbeitung durch eine datenschutzrechtliche Einwilligung

2. Dezember 2024

Die Frage, ob das Niveau der IT-Sicherheit durch eine Einwilligung abgesenkt werden kann, wird gerade in Deutschland immer wieder diskutiert, und dies auch schon zu Zeiten unter dem „alten“ Bundesdatenschutzgesetz. Die vorherrschende Literatur ist der Ansicht, dass Art. 32 DS-GVO nicht disponibel beziehungsweise abdingbar ist. Dies deutet aber zugleich darauf hin, dass es auch davon abweichende Auffassungen gibt. Neben der DS-GVO werden in verschiedenen Rechtsakten der EU wie auch des deutschen Gesetzgebers Mindestanforderungen an die IT-Sicherheit vorgegeben, welche einzuhalten sind. IT-Sicherheit ist somit keine Anforderung, die nur und ausschließlich durch die DS-GVO bestimmt wird, sondern es sind auch andere Rechtsakte zu beachten.

Im Folgenden werden einige ausgewählte Rechtsakte in Bezug auf Regelungen zur Gewährleistung der IT-Sicherheit dahingehend bewertet, ob die darin enthaltenen gesetzliche Vorgaben zur IT-Sicherheit durch eine datenschutzrechtliche Einwilligung abgeschwächt werden können. Diese Bewertung soll die Verantwortlichen informieren, damit sie ihre Entscheidung, wie sie mit dem Thema umgehen wollen, informierter treffen können.

Dazu werden zunächst die wichtigsten europäischen und deutschen rechtlichen Rahmenbedingungen kurz dargestellt, danach die Rechtsprechung zu den datenschutzrechtlichen Aspekten betrachtet (die meisten anderen Regelungen sind zu neu, als dass sich bereits Gerichte mit Fragen aus der Gesetzgebung befasst hätten), gefolgt von einer Darstellung der Positionen verschiedener Datenschutz Aufsichtsbehörden, die sich naturgemäß nur mit der datenschutzrechtlichen Thematik befassen. Abschließend werden die Auswirkungen der Positionen diskutiert und in einem Fazit die wesentlichen Punkte des Beitrags festgehalten.

Die gesetzlichen Vorgaben

Europäisches Recht

Art. 24, 25 und 32 DS-GVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen, welche ein angemesseneres Schutzniveau gewährleisten.

Art. 24 Abs. 1 DS-GVO verlangt, dass der Verantwortliche „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen“ umsetzt. Alle Maßnahmen müssen berücksichtigen, dass die Verarbeitung in Übereinstimmung mit den Vorgaben der DS-GVO durchgeführt wird. Art. 24 Abs. 2 DS-GVO hebt das Gebot für die Datenschutzvorkehrungen sogar ausdrücklich hervor, die Maßnahmen müssen „in einem angemessenen Verhältnis“ zu den Verarbeitungstätigkeiten und den mit diesen verbundenen Risiken stehen. Zugleich enthält Art. 24 Abs. 1 S. 1 DS-GVO eine Nachweispflicht.

Entsprechend Art. 25 DS-GVO muss der Verantwortliche für die gesamte Dauer der Verarbeitung – das heißt von der Planung der Verarbeitung bis zur Beendigung der Verarbeitung inklusive der Löschung aller Daten – geeignete Maßnahmen treffen, um zu gewährleisten, dass alle Rechte betroffener Personen geschützt sind und die DS-GVO vollständig eingehalten wird. Die zu berücksichtigenden Faktoren für die Bewertung der Geeignetheit von technischen und organisatorischen Maßnahmen werden in Art. 25 Abs. 1 DS-GVO abschließend genannt, die Einwilligung ist nicht dabei.

Art. 32 DS-GVO formt den in Art. 5 Abs. 1 lit. f DS-GVO befindlichen allgemeinen Grundsatz der Integrität und Vertraulichkeit näher aus und verlangt, dass ein angemessenes Schutzniveau für die Sicherheit personenbezogener Daten gewährleistet wird. Die Risiken, die durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung personenbezogener Daten entstehen können, müssen von den für die Verarbeitung Verantwortlichen – und auch von ihren Auftragsverarbeitern – als Faktoren bei ihrer Wahl von geeigneten und angemessenen Schutzmaßnahmen berücksichtigt werden, da eine einzige Schwachstelle den gesamten Schutz beeinträchtigen kann. Wird daher auch nur in einem einzigen Einzelfall das Schutzniveau gesenkt, müssen die Auswertungen betrachtet und in Form einer Risikobetrachtung dargestellt werden. Beispielsweise kann das Öffnen eines Mailanhangs Schadsoftware verschiedenster Form den Weg in die eigentlich gesicherte IT-Umgebung ebnen.

Art. 24, 25 und 32 DS-GVO weisen Verantwortlichen Pflichten zu, ohne diese Pflichten von einer Zustimmung der betroffenen Personen abhängig zu machen, wie es der Gesetzgeber beispielsweise als Ausnahme in Art. 49 Abs. 1 lit. a DS-GVO bei der Drittlandübermittlung tat. Die rechtfertigende Wirkung, welche Art. 6 Abs. 1 lit. a DS-GVO der Einwilligung zugesteht, bezieht sich ausschließlich auf das „Ob“ der Verarbeitung, nicht aber auf das „Wie“.

Am 12. März 2024 wurde die Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen („Cyber Resilience Act“) angenommen, bisher aber noch nicht im EU-Amtsblatt veröffentlicht und damit noch nicht rechtskräftig. Die Verordnung gilt nicht für (Art. 2 Abs. 2-4) Verordnung (EU) 2017/745 (Medizinprodukte), Verordnung (EU) 2017/746 (In-vitro-Diagnostika), Verordnung (EU) 2019/2144 (Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern usw.), Verordnung (EU) 2018/1139 (Zivilluftfahrt), Richtlinie 2014/90/EU (Schiffsausrüstung). Dementsprechend gilt die Verordnung für alle medizinischen IT-Systeme, die keine Medizinprodukte darstellen.

Grundsätzlich betrifft die Verordnung in erster Linie Hersteller bzw. Händler/Akteure, welche entsprechende Produkte auf dem europäischen Markt bereitstellen. Gemäß Art. 6 Cyber Resilience Act müssen aber bei der Beschaffung oder Nutzung von Produkten mit digitalen Elementen (= Software- oder Hardwareprodukte) zwingend die in Anhang I und II vorgegebenen „grundlegenden Anforderungen“ umgesetzt werden (Art. 6). Zu den Vorgaben für Nutzer entsprechender Produkte gehört unter anderem der Umgang mit Sicherheitsschwachstellen, aber auch grundlegende Anforderungen an die IT-Sicherheit wie beispielsweise Authentifizierungs-, Identitäts- oder Zugangsverwaltungssysteme, welche die Software unterstützen muss. Indirekt entstehen mit diesen gesetzlich vorgegebenen Möglichkeiten, die Software bei der Nutzung bereitstellen muss, Anforderungen an die Nutzer bezüglich des Umgangs mit diesen Möglichkeiten.

Die NIS-2-Richtlinie, welche bis zum 17. Oktober 2024 in deutsches Recht umgesetzt werden muss, erweitert den von der NIS-Richtlinie definierten Anwendungsbereich und umfasst neben kritischen Infrastrukturen auch „wesentliche und wichtige Einrichtungen“, das heißt, es werden mehr Unternehmen von der Richtlinie erfasst.

Entsprechend Art. 21 NIS-2-Richtlinie müssen Einrichtungen verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und Auswirkungen von Sicherheitsvorfällen auf die Nutzer ihrer Dienste und auf andere Dienste zu verhindern oder diese möglichst gering zu halten. Die Vorgaben müssen zwingend umgesetzt werden, eine Absenkung der IT-Sicherheit ist für von der europäischen Richtlinie betroffenen Einrichtungen nicht vorgesehen.

Die sogenannte CER-Richtlinie, welche bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss, legt Verpflichtungen für kritische Einrichtungen fest, die darauf abzielen, ihre Resilienz und ihre Fähigkeit zur Erbringung von Diensten zu stärken. Mit Art. 13 CER-Richtlinie werden die durch Art. 6 Abs. 1 bestimmten kritischen Einrichtungen, wozu nach Anhang Ziff. 5 CER-Richtlinie insbesondere auch Gesundheitsdienstleister zählen können, dazu verpflichtet, geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Cyber-Resilienz zu ergreifen. Auch diese Vorgaben können nicht durch die Einwilligung betroffener Personen beschränkt werden.

Deutsches Recht

§ 8a Abs. 1 BSIG verpflichtet Betreiber Kritischer Infrastrukturen dazu, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.“ Im Bereich Gesundheit wird durch § 6 i. V. m. Anhang V BSI-KritisV festgelegt, welche Einrichtungen aus dem Gesundheitswesen als Kritische Infrastrukturen anzusehen sind. Fällt eine Einrichtung darunter, müssen die Maßnahmen umgesetzt werden. Eine fehlende Umsetzung der Anforderungen durch eine Einwilligung betroffener Personen kann auch im Einzelfall einen Rechtsbruch nicht legalisieren.

Zu beachtende gesetzliche Vorgaben die Einwilligung betreffend

An dieser Stelle können die Vorgaben für eine datenschutzrechtliche Einwilligung nicht vollumfänglich dargestellt werden. Es wird hier auf die entsprechende Literatur verwiesen.

Gemäß Art. 4 Ziff. 11 DS-GVO ist eine Einwilligung eine Erklärung oder eine sonstige eindeutige bestätigende Handlung“, mit der die betroffene Person zu verstehen gibt, dass „sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Eine Einwilligung sagt hingegen nichts über das „wie“ der Verarbeitung aus. Allerdings muss die betreffende Person über das „wie“ der Verarbeitung aufgeklärt worden sein, sonst erfolgt eine Einwilligung nicht informiert, wie es Art. 4 Ziff. 11 DS-GVO verlangt. Eine Einwilligung legitimiert somit immer die Verarbeitung und nur indirekt auch das „wie“, dementsprechend muss eine Einwilligung immer der eigentlichen Verarbeitung gelten, nicht nur der Art und Weise wie Daten verarbeitet werden.

Eine Einwilligung kann sich zudem nur auf die Beziehung zwischen dem Verantwortlichen und der betroffenen Person beziehen, aber niemals auf das Verhältnis zu Dritten erstrecken. Art. 25 und 32 DS-GVO beinhalten Anforderungen, welche der Verantwortliche für einen rechtskonformen Betrieb seiner IT-Systeme zwingend vorhalten muss.

Er kann von diesen Anforderungen durch eine betroffene Person auf der Grundlage einer Einwilligung im Einzelfall – sofern man davon ausgeht, dass dies möglich ist – nur entbunden werden, wenn mit dieser auf einer Einwilligung beruhenden Absenkung des Schutzniveaus keine Beeinträchtigung Dritter einhergeht. Der Schutz der Dritten muss vollumfänglich gewährleistet bleiben. Es ist daher vorab immer eine entsprechende Risikoanalyse durchzuführen und das Ergebnis dieser Analyse im Hinblick auf die Auswirkungen auf den Schutz der Daten Dritter genau zu analysieren.

Weiterhin muss das Abhängigkeitsverhältnis zwischen Verantwortlichen und betroffenen Personen beachtet werden. Nach ErwGr. 43 DS-GVO soll in besonderen Fällen, „wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht“ „und es in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde“, eine solche Einwilligung nicht als gültige Rechtsgrundlage angesehen werden. Daher muss immer auch die bestehende Abhängigkeit einer betroffenen Person sowie die Umstände (zum Beispiel Eingriffstiefe, Art des verarbeiteten Datums oder Umfang der Datenverarbeitung), unter denen die Einwilligung erteilt worden ist, bei der Beurteilung bezüglich des Vorliegens der Freiwilligkeit einer abgegebenen Einwilligung berücksichtigt werden.

Weitere zu berücksichtigende Aspekte können in einer konkreten Drucksituation liegen, welcher eine betroffene Person ausgesetzt ist. Beispielsweise kann der Zeitpunkt der Einholung einer Einwilligung kurz vor oder nach Vertragsschluss etwa bei Arbeitsverträgen ein Anhaltspunkt dafür sein, welcher die Freiwilligkeit infrage stellen kann.

Urteile zum Thema

Deutsche Gerichte

Das OLG Düsseldorf urteilte 2021, dass eine Einwilligung ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand ist und es der Privatautonomie widerspräche, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte. Das OLG Düsseldorf sieht also eine Möglichkeit, dass die Einwilligung einer betroffenen Person die Herabsenkung eigentlich zur Gewährleistung eines angemessenen Schutzniveaus erforderlichen Maßnahmen legitimieren kann.

Das SG Hamburg urteilte 2023, dass „insbesondere beim Umgang mit sensiblen Sozialdaten konkrete Anforderungen an eine sichere Kommunikation, wie beispielsweise die Verschlüsselung, zu stellen sind“ und betroffene Personen grundsätzlich nicht wirksam in eine unverschlüsselte Kommunikation einwilligen können. Im Urteil wurde auch festgehalten, dass Art. 32 DS-GVO „keine Datensicherheit um jeden Preis“ verlangt, sondern es „muss eine Abwägung zwischen Schutzzweck und Aufwand vorgenommen werden“. In dem Fall war die klagende Person blind. Laut SG Hamburg musste eine Abwägung einerseits „die Verletzung des Grundrechts des Klägers auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und zum anderen die Verletzung seines subjektiven Abwehrrechts aus dem Benachteiligungsverbot nach Art. 3 Abs. 3 Satz 2 GG“ beinhalten. Entsprechend dem Hamburgischen Behindertengleichstellungsgesetz hatte die Person das Recht auf zeitnahe Zustellung. Ein Aufruf einer Homepage des beklagten Jobcenters für den Download der pdf-Datei war ihr aufgrund der Erblindung nicht möglich, eine Entschlüsselung auch nicht. Es bestand ein Sonderfall, bei dem auf eine Diskriminierung und Schlechterstellung von erblindeten Personen Rücksicht genommen werden musste und eine unverschlüsselte Übersendung der Daten durch das Jobcenter als angemessen anzusehen war.

EuGH

Ein Urteil seitens des EuGH zu der Frage, ob eine Einwilligung dazu dienen kann, die einem Verantwortlichen oder Auftragsverarbeiter gesetzlich auferlegten Pflichten zu modifizieren, lag zum Zeitpunkt dieses Beitrags noch nicht vor. Jedoch urteilte der EuGH bereits, wie die Geeignetheit der technischen und organisatorischen Maßnahmen zu beurteilen ist, ebenso äußerte er sich zu den Nachweispflichten für die Geeignetheit der Mittel.

Der EuGH urteilte, dass die Geeignetheit von technischen und organisatorischen Maßnahmen in zwei Schritten zu beurteilen ist:

  • Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen.
  • Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind.

Bei der Kontrolle der Geeignetheit muss eine materielle Prüfung dieser Maßnahmen anhand aller genannten Kriterien sowie der Umstände des Einzelfalls und der dafür zur Verfügung stehenden Beweismittel vorgenommen werden.

Der für die betreffende Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DS-GVO geeignet waren. Die Rechenschaftspflicht des Verantwortlichen verlangt, dass im Rahmen einer auf Art. 82 DS-GVO gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DS-GVO geeignet waren.

Im Schadensfall obliegt es, entsprechend der Rechtsprechung des EuGH, dem Verantwortlichen zu beweisen, dass die getroffenen Maßnahmen geeignet i. S. d. DS-GVO waren. Bei der Bewertung der Geeignetheit spielt eine Einwilligung entsprechend EuGH-Urteil keine Rolle, wohl aber Folgen für die Rechte und Freiheiten natürlicher Personen.

Gerade im medizinischen Kontext gibt es Vorgänge, die zeitkritisch sind. Ein Beispiel:

Wird eine Frau mit Verdacht auf Gebärmutterhalskrebs operiert und intraoperativ genetisches Material zur Histologie geschickt, so die Patientin in Narkose gehalten wird, bis das Ergebnis der Histologie eintrifft. Somit spielen in diesem Fall zeitkritische Faktoren eine Rolle: Jede Narkose beinhaltet ein Risiko, sie muss also so kurz wie möglich erfolgen, auch, um Nebenwirkungen zu vermeiden. Der Versand eines verschlossenen Briefumschlages mit dreitägiger Wartezeit ist hier keine Alternative zu einem Telefonat, welches immer das Risiko des Abhörens der Gesprächsinhalte beinhaltet.

Bei IP-Telefonie kann über das Netzwerk die Kommunikation mitgeschnitten werden, somit könnten Dritte auf die Inhalte zugreifen. Bei Mobiltelefonen kann ein IMSI-Catcher eingesetzt werden, sodass sich Mobiltelefone mit diesem statt mit einer regulären Funkzelle verbinden. Der Betreiber des IMSI-Catchers kann dann Gespräche mithören.

Trotz des potenziellen Risikos des Abhörens von Gesundheitsinformationen bei einem Telefongespräch wird in Anbetracht der voraussichtlichen negativen gesundheitlichen Folgen für die operierte Person sowie der äußerst geringen Eintrittswahrscheinlichkeit ein Telefongespräch das Mittel der Wahl darstellen, damit die Information so schnell und auch so sicher wie in Anbetracht der Umstände möglich und erforderlich zwischen Histologen und Operateur ausgetauscht werden können.

Die Sicht von Datenschutz-Aufsichtsbehörden

Deutsche Aufsichtsbehörden

Folgende deutschen Aufsichtsbehörden vertreten die Auffassung, dass unter bestimmten Bedingungen auf Grundlage einer Einwilligungserklärung in zu dokumentierenden individuellen Fällen auf angemessene technische und organisatorische Maßnahmen verzichtet werden kann:

  • Der Hamburger Datenschutzbeauftragte vertritt die Ansicht, dass Art. 32 DS-GVO durch Einwilligung unter bestimmten Bedingungen im konkreten Einzelfall abdingbar sei und somit zur Disposition des Betroffenen stehe.
  • Das Bayrische Landesamt für Datenschutzaufsicht teilte diese Auffassung, allerdings noch unter Geltung des § 9 BDSG a. F. Unter Geltung der DS-GVO vertrat die Behörde zumindest in Bezug auf E-Mail-Verschlüsselung einen der Hamburger Behörde ähnlichen Ansatz, wonach ein geringeres Schutzniveau unter bestimmten Bedingungen möglich ist.
  • Auch der Sächsische Datenschutz- und Transparenzbeauftragte sieht zumindest in Bezug auf E-Mail-Kommunikation die Möglichkeit, dass betroffene Personen in ein niedrigeres Schutzniveau einwilligen können.
  • Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland bewertete 2022 in ihrem Beschluss, dass die § 26 KDG normierte Pflicht eines Verantwortlichen, geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu treffen, zwar grundsätzlicher Natur ist, im Einzelfall eine betroffene Person jedoch in das Nichtanwenden von einzelnen technischen und organisatorischen Schutzmaßnahmen gemäß § 6 Abs. 1 lit. b bzw. § 11 Abs. 2 lit. a KDG auf informierte Weise einwilligen kann.

Andere deutsche Aufsichtsbehörden vertreten die Meinung, dass eine Abdingung der gesetzlichen Vorgaben zur IT-Sicherheit durch eine Einwilligung nicht möglich ist.

  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit stellte 2019 in seiner Stellungnahme zur steuerlichen Förderung der Elektromobilität fest, dass eine Einwilligung i. S. v. Art. 4 Nr. 11 DS-GVO kein taugliches Instrument ist, um von dem zu beachtenden Grundsatz der Sicherheit der Verarbeitung abzuweichen; entsprechende Einwilligungen wären im Hinblick auf das zu wählende Schutzniveau ohne Wirkung.
  • Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht des Landes Brandenburg vertrat 2020 in ihrem Tätigkeitsbericht die Auffassung, dass eine datenschutzrechtliche Einwilligung sich ausschließlich auf die Frage bezieht, ob die eigenen personenbezogenen Daten zu einem bestimmten Zweck verarbeitet werden dürfen, und eine Einwilligung somit „nicht Vorschriften zur Art und Weise ihrer Verarbeitung aushebeln“ kann.
  • Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein verneint die Abdingbarkeit der vom Verantwortlichen zu ergreifenden Maßnahmen durch eine Einwilligung betroffener Personen.

Im November 2021 veröffentlichte die DSK einen Beschluss, wonach von Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen auf objektiven Rechtspflichten, beruhen und daher nicht zur Disposition der Beteiligten stehen. Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung ist daher nicht möglich.

Aber es kann, in zu dokumentierenden Einzelfällen, möglich sein, dass Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwenden.

Österreichische Aufsichtsbehörde

Die österreichische Datenschutzbehörde urteilte 2018, dass Datensicherheitsmaßnahmen nach Art. 32 DS-GVO alleine von der Verantwortlichen zu beurteilen sind, die Einholung einer Einwilligung keine Abweichung von erforderlichen Maßnahmen erlauben kann.

Diskussion

Der Gesetzgeber hat das Recht – und nutzt dieses auch – den Willen von betroffenen Personen durch Gesetze außer Kraft zu setzen, sodass eine Verarbeitung auch durch eine Einwilligung nicht legitimiert werden kann. Ein Beispiel hierzu findet sich in der Sozialgesetzgebung.

Im Bereich der IT-Sicherheit gab der Gesetzgeber Regelungen vor, welche durch eine Einwilligung nicht geändert werden können. Neben den Regelungen der europäischen DS-GVO ist beispielsweise die Gesetzgebung für Kritische Infrastrukturen (BSIG i. V. m. BSI-KritisV) zu nennen. In dieser nationalen Regelungen werden den Normadressaten Pflichten auferlegt, welche durch eine Einwilligung nicht geändert werden können.

Art. 24, 25 und 32 DS-GVO legen den Verantwortlichen Pflichten auf, wobei sowohl Art. 25 als auch Art. 32 DS-GVO eine abschließende Aufzählung von Bedingungen enthalten, welche bei der Festlegung des Schutzniveaus und der zu treffenden technischen und organisatorischen Maßnahmen zu berücksichtigen sind – die Einwilligung gehört in beiden Fällen nicht dazu.

Für die Bewertung der Angemessenheit der Maßnahmen muss der Verantwortliche „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ bewerten. Zu den Rechten und Freiheiten betroffener Personen gehört entsprechend Titel II („Freiheiten“) der Charta der Grundrechte der Europäischen Union neben dem Schutz personenbezogener Daten (Art. 8 Charta) auch das Recht auf Sicherheit (Art. 6 Charta). Das Recht auf Sicherheit ist nach Rechtsprechung des EuGH weit zu fassen. Dieses Recht umfasst nicht nur den Schutz vor Kriminalität und Gewalttaten, sondern auch die Sicherheit des eigenen Lebens sowie der Gesundheit. Dementsprechend muss ein Verantwortlicher bei der Bewertung der Angemessenheit des nach Art. 32 DS-GVO zu gewährleistenden Schutzniveaus auch immer die Auswirkungen der technisch-organisatorischen Maßnahmen auf Leben und Gesundheit einer betroffenen Person berücksichtigen.

Abseits der DS-GVO sehen europäische und deutsche Rechtsnormen eine Absenkung in der Regel nicht vor, die Gedanken zur Einhaltung der EU-Grundrechtecharta gelten aber natürlich gleichermaßen. Auch in diesen Rechtsakten werden „geeignete und angemessene“ Maßnahmen gefordert.

Ein gewisser Spielraum zur Bewertung von angemessenen Maßnahmen verbleibt beim Rechtsanwender.

Fazit

Die Einwilligung betroffener Personen kann die gesetzlichen Anforderungen an die zu gewährleistende IT-Sicherheit nicht ändern. Der Wille der betroffenen Personen kann jedoch einen wichtigen Faktor bei der Bestimmung der Angemessenheit in einem konkreten Fall darstellen.

Eine Einwilligung gibt den Willen der betroffenen Person wieder, aber ob dem Willen in Anbetracht der individuellen Situation aus Gründen der Risikobetrachtung für die Rechte und Freiheiten der betroffenen Person gefolgt werden kann oder nicht, diese Entscheidung muss ein Verantwortlicher tragen.

Zumindest die DS-GVO bietet mit Art. 24, 25 und 32 DS-GVO viel Raum für „Ausnahmen“ und Einzelfallbetrachtungen hinsichtlich des individuellen Schutzniveaus. Denn nach dem Wortlaut der Norm hat der der Verantwortliche – und gegebenenfalls nach Art. 32 DS-GVO auch gemeinsam mit einem oder mehreren Auftragsverarbeitern – „geeignete“ Maßnahmen zu treffen, um ein „angemessenes“ Schutzniveau zu gewährleisten. Hierbei muss der Verantwortliche zwar auch den „Stand der Technik“ berücksichtigen, aber gleichermaßen die „Zwecke der Verarbeitung“ und die „Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“, zu denen auch das Recht auf Leben sowie körperliche und geistige Gesundheit der betroffenen Person gehören, in die Bewertung einbeziehen. Die DS-GVO bietet also die Möglichkeit, über das Merkmal der Angemessenheit das konkrete Schutzniveau im Einzelfall festzustellen und den Interessen der betroffenen Personen Rechnung zu tragen, auch ohne Einwilligung.

Das deutsche Recht verlangt bei Kritischen Infrastrukturen hingegen den „Stand der Technik“ einzuhalten, welcher in der Regel durch die Verbandsvertretungen herausgegebenen branchenspezifischen Sicherheitsstandards definiert wird. Eine Einzelfallabwägung zugunsten von betroffenen Personen sieht der deutsche Gesetzgeber nicht vor.

Verantwortliche müssen entsprechend den europäischen und deutschen gesetzlichen Anforderungen die Sicherheit der Verarbeitung entsprechend dem Stand der Technik gewährleisten, wobei zumindest das europäische Recht einen Ermessensspielraum hinsichtlich der Vorgaben der Geeignetheit beziehungsweise der Angemessenheit bietet.

Ob in einer bestimmten Situation für eine einzelne betroffene Person eine individuelle Entscheidung getroffen wird und darauf basierend in diesem Einzelfall eine Absenkung des Sicherheitsniveaus, muss der jeweils Verantwortliche selbst entscheiden und verantworten, sich im Zweifelsfall vor Gericht dafür verantworten, was gegebenenfalls auch eine Haftung gegenüber geschädigten natürlichen oder juristischen Personen einschließt.

Praxishilfe zum EuGH-Urteil vom 23.12.2023, Rechtssache C-667/21 veröffentlicht

In Ausgabe 1/2024 der BvD-News (S. 28 bis 35) wurden die Auswirkungen des EuGH-Urteils vom 11. November 2023 (Rechtssache C-667/21) in Bezug auf die Erlaubnistatbestände bei der Verarbeitung der in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien von personenbezogenen Daten besprochen.

Zwischen den Mitgliedern des BvD, dem Arbeitskreis Gesundheit/Soziales der GDD und der Arbeitsgruppe Datenschutz der GMDS besteht ein reger Austausch, bei dem schon verschiedene Kommentierungen gesetzlicher Regelungen und Praxisthemen zu verschiedenen Themen erarbeitet wurden. Auch zu der Thematik des EuGH-Urteils erarbeiteten Mitglieder der drei genannten Verbände eine „Praxishilfe zum Umgang mit Erlaubnistatbeständen bei der Verarbeitung von Gesundheitsdaten und genetischen Daten“ (Stand: 06.07.2024).

In der Praxishilfe wird unter anderem

  • auf die besonderen Datenkategorien nach Art. 9 Abs. 1 DS-GVO eingegangen,
  • die in Art. 6 Abs. 1 DS-GVO enthaltenen Rechtfertigungsgründe betrachtet,
  • eine Zuordnung der in Art. 9 Abs. 2 DS-GVO enthaltenen Erlaubnistatbeständen zu den in Art. 6 Abs. 1 DS-GVO enthaltenen Rechtfertigungsründen vorgeschlagen,
  • Rahmenbedingungen für nationale gesetzliche Erlaubnistatbestände aus verschiedenen Blickwinkeln betrachtet sowie
  • verschiedene deutsche Gesetze im Hinblick auf das EuGH-Urteil untersucht, d.h. auch für die beispielhaft betrachteten deutschen Erlaubnistatbestände korrespondierende Regelungen in den Art. 9 i. V. m. Art. 6 DS-GVO vorgeschlagen.

Die Praxishilfe ist im Mitgliederbereich des BvD abrufbar. Nicht-BvD-Mitglieder finden eine Möglichkeit zum Download auf der Webseite
https://gesundheitsdatenschutz.org/html/erlaubnistatbestandgesundheitsdaten.php

Dr. Bernd Schütze


beschäftigt sich seit 1995 mit den datenschutzrechtlichen Aspekten innerhalb der Gesundheitsversorgung. Nach gut dreißigjähriger beruflicher Tätigkeit in verschiedenen Krankenhäusern arbeitet Dr. Schütze seit 2014 als „Senior Experte Medical Data Security“ bei der Deutschen Telekom Healthcare and Security Solutions GmbH. Als Lehrbeauftragter ist er zudem an verschiedenen Hochschulen tätig und veröffentlicht regelmäßig Beiträge in Büchern und Fachzeitschriften. Dr. Schütze leitet die Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesund- heitswesen“ der GMDS, gehört zum Leitungskreis der Arbeitsgruppe „Datenschutz & IT-Sicherheit“ des bvitg und ist Mitglied des Ausschusses „Recht & Politik“ des BvD.

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.