18.12.2018 — Tobias Weilandt. Quelle: Verlag Dashöfer GmbH.
Art. 36 DSGVO besagt u.a.:
„Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
Nur wann liegen berechtigterweise eine solche Datenschutz-Folgeabschätzung und eine relevante Risikostufe vor? Wir zeigen Ihnen, wann Sie sich an Ihre Landesdatenschutzbehörde wenden können:
Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei entscheidende Dimensionen: Erstens die Schwere des potentiellen Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.
Die DSGVO beschreibt an verschiedenen Stellen drei Risiko-Level, die formal unterschieden werden müssen: "Geringes Risiko", "Risiko" und "Hohes Risiko".
© Bayerisches Landesamt für Datenschutzaufsicht
Ein geringes Risiko bedeutet, dass weder die mögliche Schwere des Schadens für den Betroffenen noch die Eintrittswahrscheinlichkeit hoch sind und in Kombination weder mittel noch hoch. Bei einem geringen Risiko ergeben sich in der DSGVO für den Verantwortlichen gewisse Ausnahmen verschiedener Verpflichtungen, so dass manche Maßnahmen nicht durchgeführt werden müssen:
Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen, z. B. bei der Verarbeitung von Adresslisten, Einkaufsverhalten, der Kommunikation am Arbeitsplatz oder von Mitgliederlisten eines Sportvereins. Dort kann also die Schwere des Schadens und die Eintrittswahrscheinlichkeit in Kombination ein mittleres Niveau für das Risiko des Betroffenen erreichen. Bei der Verarbeitung besonderer Arten personenbezogener Daten, d.h. sensibler Daten, ist das Risiko nicht immer gleich als hoch einzustufen. Die Risiko-Stufe „normal" kann also dort auch erreicht werden wie z. B. bei Angaben zur Religionszugehörigkeit „Römisch-Katholisch" in Bayern oder der Diagnose eines „Schnupfens" beim Hausarzt.
Ein hohes Risiko umfasst dagegen potentielle Schäden, deren Ausmaß für die Rechte und Freiheiten von Betroffenen gravierend und/oder ziemlich wahrscheinlich sind. Unter der DSGVO wird dieses Risiko-Level im Verhältnis aller Verarbeitungen eher selten vorkommen. Da ein hohes Risiko aber wesentliche Rechtsfolgen für den Verantwortlichen hat, muss das mögliche Vorkommen eines hohen Risikos zwangsläufig im Blick behalten werden.
