TOMs stehen nicht zur Disposition

Technisch Organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO müssen – selbst gegen den ausdrücklichen Wunsch der betroffenen Person – angewendet werden:

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat in einem aktuellen Beschluss klargestellt, dass die Verpflichtung zur Vorhaltung der TOMs auf einer objektiven Rechtspflicht beruht und nicht zur Disposition der Beteiligten steht.

Der Verzicht auf die vom Verantwortlichen vorzuhaltenden TOMs oder auch die Absenkung der gesetzlich vorgeschriebenen Standards auf Basis der Einwilligung der betroffenen Person ist unzulässig.

Ausnahme – eigeninitiativer Wunsch

Als Ausnahme in Einzelfällen, wird die Möglichkeit einer Absenkung der TOMs in einem „vertretbaren Umfang“ von der DSK dennoch als zulässig erachtet.

Dabei muss aber der Wunsch die TOMS abzusenken, ausdrücklich und eigeninitiativ von der betroffenen und informierten Person stammen. In einem solchen Einzellfall könne unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen der Standard der TOMs „in einem vertretbaren Umfang“ abgesenkt werden. 

Zwingend erforderlich ist dabei die Dokumentation dieses Einzelfalles, insbesondere des Wunschs der informierten betroffenen Person aus Eigeninitiative. 

Aufgrund der erheblichen Risiken für den Verantwortlichen in Form von Bußgeldern, ist von einer Absenkung der TOMS entschieden abzuraten.

Es fehlt an der Definition was ein „vertretbarer Umfang“ der Absenkung der TOMs ist, eine vollumfängliche Nichtanwendung der TOMs ist jedenfalls unzulässig und ausgeschlossen.

Zudem dürfte eine rechtssichere Dokumentation des Einzelfalls kaum möglich sein. Diese würde voraussetzen, dass die „informierte“ betroffene Person konkrete Kenntnisse zu den gesetzlich normierten TOMs, den Risiken für die eigenen und fremde Daten bei Absenkung der – konkret zu benennenden – TOMs und den daraus entstehenden Gefahren hat. 

Eine Absenkung der TOMs für eine Vielzahl von Personen ist unzulässig. Daher sollte stets auf die Einhaltung der gesetzlich normierten Technisch Organisatorischen Maßnahmen Wert gelegt werden, um Sanktionen nach der DSGVO zu vermeiden.

RAin Alexa Frey, Fachanwältin für Informationstechnologierecht 

Münsterplatz 23
T +49 731 967 95-0

Heimstraße 11
T +49 731 155 390-0

89073 Ulm

kanzlei@wws-ulm.de