In einem interessanten Fall aus Österreich geht es um die Einwilligung zu einem unverschlüsselten Versand von Patienten daten z. B. per MAIL.
Kann der Betroffene auf eine Verschlüsselung verzichten?
Stellt also eine Einwilligung betroffener Personen eine geeignete Basis dar, um eine an sich notwendige Verschlüsselung zu unterlassen?
Hierzu sagt der Bescheid der
österreichischen Datenschutzaufsicht:
Eine Einwilligung ist dazu da, um eine
Rechtsgrundlage für eine Datenverarbeitung zu schaffen. Dies ergibt sich daraus, dass sie eine denkbare Rechtsgrundlage
für die „Rechtmäßigkeit der Verarbeitung“ generell (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) bzw. für die „Verarbeitung besonderer Kategorien personenbezogener Daten“ (Art. 9 Abs. 2 Buchst. a DSGVO)
darstellt.
Eine Einwilligung ist dagegen
nach dem Konzept der DSGVO nicht dafür gedacht, zum Nachteil betroffener Personen von Datensicherheits-Maßnahmen
abweichen zu können, die nach den Maßstäben der DSGVO erforderlich sind.
Mit anderen Worten: Nach dieser Auffassung ist bei Fragen der Sicherheit der Verarbeitung (Art. 32 DSGVO) kein Raum dafür, in irgendeiner Art und Weise die Haltung betroffener Personen zu diesen Fragen zu berücksichtigen.
Es bleibt spannend.