Abdingbarkeit von technisch-organisatorischen Maßnahmen (Art. 32 DSGVO)

Art. 32 DSGVO sieht vor, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Die Sicherheit der Verarbeitung ist durch den Verantwortlichen oder den Auftragsverarbeiter durch Pseudonymisierung oder Verschlüsselung der personenbezogenen Daten sowie durch die Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen. Die DSGVO schreibt dabei in Art. 32 DSGVO kein bestimmtes Schutzniveau vor, sondern verpflichtet den Verantwortlichen zu einer Abwägung zwischen den Risiken der Verarbeitung und den Implementierungskosten, der Art, dem Umfang, der Umstände und der Zwecke der Verarbeitung.

Der nachstehend herunterladbare Vermerk behandelt die Frage, ob betroffene Personen in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen können. Es geht darum, ob oder inwieweit es sich bei den Vorgaben des Art. 32 DSGVO um eine zwingende, nicht zur Disposition der betroffenen Person stehende Vorgaben handelt (Stand: Januar 2022).

• Vermerk des HmbBfDI zur Abdingbarkeit von technisch-organisatorischen Maßnahmen (PDF)