02.05.2016 Datenschutzrecht
Datenschutzrechtliche Anforderungen - Franck untersucht Fragen des Datenschutzes
Kurznachricht zu "Datensicherheit als datenschutzrechtliche Anforderung" von Dr. Lorenz Franck, original erschienen in: CR 2016 Heft 4, 238 - 240. Franck geht im ersten Abschnitt auf die datenschutzrech ...

Kurznachricht zu "Datensicherheit als datenschutzrechtliche Anforderung" von Dr. Lorenz Franck, original erschienen in: CR 2016 Heft 4, 238 - 240.

Franck geht im ersten Abschnitt auf die datenschutzrechtliche Einwilligung gem. § 4a BDSG ein. Er arbeitet heraus, dass diese nicht nur Datenverarbeitungsvorgänge als solche, sondern auch den Verzicht auf technisch-organisatorische Maßnahmen rechtfertigen kann (hierzu VG Berlin, 24.05.2011, Az.: 1 K 133.10). Eine Verzichtserklärung durch den Betroffenen ändert aber nichts an der Meldepflicht bei Datenpannen gem. § 42a Satz 1 BDSG, da selbst angemessene Sicherungsmaßnahmen die unrechtmäßige Kenntnisnahme durch Dritte nicht entfallen lässt. § 42a BDSG gilt insoweit verschuldensunabhängig. Der Autor geht im nächsten Abschnitt auf § 4c Abs. 1 Satz 1 Nr. 1 BDSG ein; hiernach kann der Betroffene in die Übermittlung seiner Daten in ein unsichereres Drittland wirksam einwilligen (vgl. auch Lotz/Wendler, CR 2016, 31 ff.) Anknüpfungspunkt ist dabei nach § 4b Abs. 2 Satz 2 BDSG nicht das Datenschutzniveau des Landes, sondern dasjenige der konkreten Empfängerstelle. Es ist daher denkbar, dass gerade wegen unzureichender technisch-organisatorischer Maßnahmen Vorbehalte gegen eine Stelle bestehen, die mittels einer Einwilligung ausgeräumt werden können.

Franck geht im nächsten Abschnitt auf die künftigen Voraussetzungen der Einwilligung gem. Art. 4 Nr. 8 DSGVO-E ein und erläutert Art. 6 Abs. 1 lit. a) DSGVO-E. Es ist fraglich, ob die Abbedingung technisch-organisatorischer Maßnahmen nach dieser Bestimmung weiterhin möglich sein wird. Der Autor geht näher auf Art. 8 GRCh ein, wonach Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf Grundlagen einer gesetzlich geregelten legitimen Grundlage verarbeitete werden dürfen. Art. 8 Abs. 2 Satz 1 GRCh ist dabei - so der Autor - mehr als eine reine Schrankenbestimmung. Franck weist ferner darauf hin, dass der Grundsatz von Treu und Glauben den äußeren Rahmen für die Datenverarbeitung darstellt, wonach der betroffenen Person stets auch die Einwilligung als aktive Grundrechtsausübung zu ermöglichen ist. Schließlich befasst sich der Autor mit dem Erlass gem. § 397 Abs. 1 BGB und untersucht die Einwilligung "sui generis". Aus seiner Sicht ist letztlich auch nach Anwendbarkeit der DSGVO eine unmittelbar aus Art. 8 Abs. 2 Satz 1 GRCh abgeleitete Sondereinwilligung bezüglich des Verzichts auf technisch-organisatorische Maßnahmen denkbar. Diese "Sondereinwilligung" sollte allerdings derjenigen in Art. 7 und 8 DSGVO-E weitestgehend nachgebildet sein.

Dieser Beitrag wurde erstellt von RA Dr. Henning Seel.