Datenschutz-Folgenabschätzung

Eine wesentliche Neuerung der Datenschutz-Grundverordnung (DS-GVO) ist das Instrument der sog. Datenschutz-Folgenabschätzung (DSFA). Die DSFA ist ein wichtiger Bestandteil des neu eingeführten Konzepts des „risikoorientierten Ansatzes" im Datenschutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gerade bei Verarbeitungen von personenbezogenen Daten, bei denen ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht, bewirken, dass gezielt Maßnahmen gefunden werden können, die dieses Risiko eindämmen.

Somit dient der risikoorientierte Ansatz der DS-GVO letztendlich zur Auswahl der „richtigen" (d. h. wirksamen und geeigneten) technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Dies bedeutet im Alltag für Verantwortliche, dass durch eine Auswahl passender Maßnahmen das Risiko der Rechte und Freiheiten für die einzelnen betroffenen Personen (z. B. Kunden, Nutzer, Beschäftigte) entscheidend reduziert bzw. eingedämmt werden kann. Die Notwendigkeit einer technischen oder organisatorischen Maßnahme hängt also somit vom „Risiko-Level" ab, d. h. von der Höhe eines möglichen Schadens für die jeweilige Person, wenn es zu einem Eintritt des Risikos bei der Verarbeitung personenbezogener Daten kommt.

Risikostufen

Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei entscheidende Dimensionen: Erstens die Schwere des potentiellen Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.

Die DS-GVO beschreibt an verschiedenen Stellen drei Risiko-Level, die formal unterschieden werden müssen: "Geringes Risiko", "Risiko" und "Hohes Risiko".