Art. 32 DS-GVO (§ 26 KDG) verpflichtet den Verantwortlichen dazu, technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Bereits unter der Geltung der früheren Rechtslage, § 9 BDSG a. F. , § 6 KDO, wurde in Praxis und Lehre darüber diskutiert, ob diese Regelung zur Disposition von Betroffenen steht, mit der Konsequenz, dass diese den Verantwortlichen von dieser Verpflichtung befreien können.
Diese Frage wird u. a. bei der Versendung von E-Mails virulent. Können Betroffene rechtswirksam in die unverschlüsselte Versendung von personenbezogenen Daten und ggf. auch von solchen besonderer Kategorie, einwilligen?
Neu aufgekommen ist diese Frage, nachdem ein Vermerk der Hamburger Datenschutzaufsicht bekannt geworden ist. Darin wird die Ansicht vertreten, der Verantwortliche könne grundsätzlich ein niedrigeres Schutzniveau wählen, wenn Betroffene darin einwilligen.