SiDIT Logo
    Zurück zum Blog
    IT-Sicherheit22. April 2022

    Einwilligung in „schlechte“ TOMs: Was sagt der Datenschutz?

    Einwilligung in „schlechte“ TOMs: Was sagt der Datenschutz?

    Einwilligung in „schlechte“ TOMs: Was sagt der Datenschutz?

    Kann ein Betroffener in vermeintlich „schlechte“ Technisch-Organisatorische Maßnahmen (TOMs) einwilligen? Diese Ansicht vertritt der Hamburger Beauftragte für Datenschutz und Informationsfreiheit. Dies ist jedoch nur dann möglich, wenn der Betroffene umfassend aufgeklärt wurde und freiwillig einwilligt. Ob und welche Vorteile dies für Ihr Unternehmen bringt, erfahren Sie in diesem Artikel.

    Was sind Technisch-Organisatorische Maßnahmen (TOMs)?

    Zu der Frage, welches Schutzniveau TOMs generell bieten müssen, haben wir bereits in unserem Blogbeitrag „Wann sind die TOMs sicher genug?“ berichtet.

    Hinter dem Begriff TOM stecken wichtige Technisch-Organisatorische Maßnahmen, mit denen der Verantwortliche die Verarbeitung von Daten absichert. Gesetzlich geregelt ist dies in Art. 32 DSGVO.

    Mögliche Maßnahmen sind beispielsweise:

    • Pseudonymisierung und Verschlüsselung der personenbezogenen Daten
    • Sicherstellen von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
    • Sicherstellen der Verfügbarkeit der personenbezogenen Daten und der Wiederherstellbarkeit
    • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs

    Der Verantwortliche ist zwar nicht verpflichtet, explizite TOMs zu ergreifen, er muss jedoch für ein angemessenes Schutzniveau bei der Datenverarbeitung im Einzelfall sorgen. Wie er dies tut, bleibt ihm überlassen. Sind dann nur sichere TOMs möglich?

    Einwilligung in „schlechte“ TOMs: Eine Möglichkeit?

    Beispiel: Der Besucher einer Webseite soll in eine Verarbeitung seiner Daten außerhalb der EU (Drittland) zustimmen. Problematisch ist hierbei, dass der Datenverarbeiter im Drittland womöglich geringere Schutzmaßnahmen ergreift als der Verantwortliche in der EU.

    Nach Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit kann der Betroffene in solche „schlechten“ TOMs einwilligen. Er stimmt damit einer geringeren Sicherheit bei der Datenverarbeitung zu. Allerdings ist der Verantwortliche verpflichtet, im Vorfeld einer konkreten Datenverarbeitung sichere TOMs anzubieten. Dem Betroffenen steht es jedoch frei, auf diese sicheren TOMs zu verzichten.

    Generell kann der Betroffene in sämtliche Formen der Verarbeitung seiner personenbezogenen Daten einwilligen. Die Möglichkeit, in „schlechtere“ TOMs bei der Verarbeitung einzuwilligen, ist daher eine logische Konsequenz.

    Wie sieht eine datenschutzkonforme Einwilligung aus?

    Zunächst muss der Verantwortliche sichere TOMs anbieten. Er kann sich nicht allein auf den Verzicht der Betroffenen verlassen. Weiterhin muss der Verantwortliche den Betroffenen ausführlich und transparent über den Verzicht auf diese TOMs aufklären. Zudem muss der Betroffene vollständig freiwillig einwilligen. Das geht selbstverständlich nur dann, wenn ihm angemessene und sichere Alternativen offenstehen. Diese Alternative muss er frei von unzumutbaren Nachteilen auswählen können.

    Beispiel: Ein Kunde kontaktiert ein Unternehmen über ein auf der Webseite bereitgestelltes Kontaktformular. Die Übermittlung seiner Anfrage erfolgt hierbei unverschlüsselt. In diesem konkreten Fall wäre jedoch eine Transportverschlüsselung erforderlich gewesen. Dem Kunden muss daher die Alternative offenstehen, seine Anfrage z. B. postalisch zu stellen. Dabei dürfen dem Kunden keine Nachteile entstehen.

    Es bleibt abzuwarten, ob sich Gerichte in Zukunft dieser Rechtsauffassung anschließen werden. Für die Praxis wird diese Einwilligungslösung nur selten umsetzbar sein. Da der Verantwortliche oft selbst nicht ausreichend über die Datenverarbeitung beim Drittanbieter informiert ist, wird eine umfassende Aufklärung des Betroffenen schwer möglich sein.

    Unsere Unterstützung bei TOMs

    Wir beraten unsere Kunden im Rahmen der Bearbeitung des „SiDIT-Fahrplans“ umfassend rund um das Thema TOMs.

    Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: 0931-780 877-0 oder info@sidit.de.

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Cyberfestung: Wie eine neue IT-Checkliste Unternehmen vor Datenpannen schützt
    IT-Sicherheit18. Juni 2025

    Cyberfestung: Wie eine neue IT-Checkliste Unternehmen vor Datenpannen schützt

    Die Frage ist nicht ob, sondern wann ein kleines Unternehmen Opfer eines Hackerangriffs wird. Die Checkliste Cyberfestung liefert praxistaugliche Antworten.

    Weiterlesen
    Wird Google reCAPTCHA jetzt DSGVO konform?
    Aktuelles21. Apr. 2026

    Wird Google reCAPTCHA jetzt DSGVO konform?

    Seit 2. April 2026 ist Google bei reCAPTCHA Auftragsverarbeiter. Was das für DSGVO, Einwilligung und US-Transfer nun konkret bedeutet.

    Weiterlesen
    Auftragsverarbeitung beendet: Was nun? Die sichere Löschung von Daten nach Art. 28 DSGVO
    Aktuelles31. März 2026

    Auftragsverarbeitung beendet: Was nun? Die sichere Löschung von Daten nach Art. 28 DSGVO

    Nach Ende der Auftragsverarbeitung müssen Daten gelöscht oder zurückgegeben werden. Was Art. 28 DSGVO und das BGH-Urteil vom 11.11.2025 von Verantwortlichen fordern.

    Weiterlesen