Als Ausnahme in Einzelfällen, wird die Möglichkeit einer Absenkung der TOMs in einem „vertretbaren Umfang“ von der DSK dennoch als zulässig erachtet.

Dabei muss aber der Wunsch die TOMS abzusenken, ausdrücklich und eigeninitiativ von der betroffenen und informierten Person stammen. In einem solchen Einzellfall könne unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen der Standard der TOMs „in einem vertretbaren Umfang“ abgesenkt werden. 

Zwingend erforderlich ist dabei die Dokumentation dieses Einzelfalles, insbesondere des Wunschs der informierten betroffenen Person aus Eigeninitiative. 

Aufgrund der erheblichen Risiken für den Verantwortlichen in Form von Bußgeldern, ist von einer Absenkung der TOMS entschieden abzuraten.

Es fehlt an der Definition was ein „vertretbarer Umfang“ der Absenkung der TOMs ist, eine vollumfängliche Nichtanwendung der TOMs ist jedenfalls unzulässig und ausgeschlossen.

Zudem dürfte eine rechtssichere Dokumentation des Einzelfalls kaum möglich sein. Diese würde voraussetzen, dass die „informierte“ betroffene Person konkrete Kenntnisse zu den gesetzlich normierten TOMs, den Risiken für die eigenen und fremde Daten bei Absenkung der – konkret zu benennenden – TOMs und den daraus entstehenden Gefahren hat. 

Eine Absenkung der TOMs für eine Vielzahl von Personen ist unzulässig. Daher sollte stets auf die Einhaltung der gesetzlich normierten Technisch Organisatorischen Maßnahmen Wert gelegt werden, um Sanktionen nach der DSGVO zu vermeiden.

RAin Alexa Frey, Fachanwältin für Informationstechnologierecht