根据《条例》放弃适当的保护水平。 32 GDPR——争论愈演愈...

fabiha01

GDPR 第 32(1) 条要求控制者和处理者实施适当的技术和组织措施（例如加密），以确保足够的保护级别。除了对自然人的权利和自由的风险之外，还必须考虑最先进的技术、实施成本以及处理的性质、范围、情况和目的。

这种实际上相当明确的法律情况一直是长期讨论的主题，即数据主体是否可以有效放弃《1989 年第 31 条》规定的适当保护级别。 32 GDPR。我们已经在此概述了各监管机构的观点（截至 2021 年 5 月）。除其他事项外，石勒苏益格-荷尔斯泰因州独立国家数据保护中心（ULD）在社交数据方面采取了明确的立场：

“因此，石勒苏益格-荷尔斯泰因州独立数据保护中心 (ULD) 认为，在其职责范围内，社会保障提供商无权通过不安全的通信渠道传输社会保障数据——无论其范围或背景如何——这也包括通过互联网发送未加密的电子邮件。”

他在随后的活动报告中重申了这一点：

“遵守数据安全规则是不可协商的。”

然而，也可以看到相反的观点，例如在法院判决中：
杜塞尔多夫高等地区法院在 2021 年 10 月 28 日的一项判决中指出，只要数据主体有权选择（具体而言，这涉及发送健康数据；我们在此处报告），同意就可以放弃匿名化、假名化和加密技术。汉堡社会法院也于 2023 年 6 月作出裁决：盲人有权以可访问的格式（此处为 PDF）从基本社会保障提供商处接收通知、表格和模板，印度商务传真列表 并且可以有效地同意通过未加密的电子邮件传输这些文件（社交数据）（我们在此处报告）。

特别是，汉堡社会法院的判决为根据第 14 条提供适当的保护措施提供了良好的论据。 32 GDPR：

一方面，对伴随的情况进行了全面评估：有关人员解释了为什么不能通过加密电子邮件或邮寄方式发送所要求的文件。此外，还提到了2021 年 11 月 24 日独立数据保护监督机构 (DSK) 会议的决议：该决议涉及根据第 14 条不适用技术和组织措施的可能性。 32 GDPR 应数据主体的明确要求。尽管控制者根据第 14 条应维持技术和组织措施。 32 GDPR 基于客观的法律义务，并不由相关方自行决定，不允许在同意的基础上放弃这些措施。然而，DSK 在其决定中还强调，在遵守数据主体的自决权和其他数据主体的权利的情况下，在个别情况下可以记录控制者在知情数据主体明确、主动的要求下，在合理范围内不对该数据主体采取某些技术和组织措施。

汉堡社会法院在判决中提到，数据主体曾多次请求以非加密方式传输数据，因此明确表示同意。它还强调，GDPR第32条并不要求不惜一切代价确保数据安全。相反，必须在保护的目的和所涉及的努力之间取得平衡（第 90 段）。关于DSK决定中描述的“个案”，秘书长解释说，这一例外应作广义解释。在所有案件中，都可以定期与盲人原告进行一般性沟通——这也是由于基本法第 3 条第 3 款第 2 句禁止歧视的规定。

汉堡社会法院的裁决值得欢迎，并且由于所涉及的社会数据已经存在非常高的保护标准，可以为相对敏感的数据提供良好的指导。同时，根据《第 14 条》的规定，降低适当的保护水平是不允许的。 32 GDPR，但在个别情况下提出了未加密数据传输的可理解的原因。