Rz. 200
Jede Datenverarbeitung birgt für die betroffene Person ein gewisses Risiko. Doch nicht jedes Risiko löst auf Seiten des Verantwortlichen für den Fall seiner Realisierung eine Informationspflicht gegenüber der betroffenen Person aus. Sofern eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, ist der für die Verarbeitung Verantwortliche grundsätzlich verpflichtet, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, damit diese die erforderlichen Vorkehrungen treffen können, um einen Schadenseintritt auch selbst zu verhindern.
Rz. 201
Ob ein hohes Risiko vorliegt, beurteilt sich danach, ob die Verletzung des Schutzes personenbezogener Daten – sofern nicht rechtzeitig und angemessen reagiert wird – einen schwerwiegenden physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich zieht, der etwa im Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkungen ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlusten, der unbefugten Aufhebung der Pseudonymisierung, einer Rufschädigung, dem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteile für die betroffene natürliche Person liegen kann. Ein "hohes Risiko" bei einer Verletzung des Schutzes kann auch vorliegen, wenn personenbezogene Daten betroffen sind, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen. Dies gilt ebenso bei genetischen Daten, Gesundheitsdaten oder bei strafrechtlichen Verurteilungen und Straftaten oder damit zusammenhängenden Sicherungsmaßregeln. Ein "hohes Risiko" i.S.d. des Art. 34 Abs. 1 DSGVO kommt damit in erster Line im Zusammenhang mit der vom Verantwortlichen nicht beabsichtigten Offenlegung personenbezogener Daten in Betracht. Weiterhin zu berücksichtigten ist der Schutzbedarf des oder der betroffenen Daten und das potentielle Schadensrisiko auf Seiten der betroffenen Person(en).
Rz. 202
So kann der Verlust von Bankdaten oder das Hacking von Passwörtern zu Kundenkonten sicherlich als mit einem "hohen Risiko" verbunden angesehen werden, während die unbeabsichtigte Offenlegung einer listenmäßigen Zusammenstellung öffentlicher Adressdaten zwar ebenfalls ein gewisses Risiko für die betroffene Person beinhaltet, welches aber keinesfalls als hoch, sondern – schon aufgrund der Öffentlichkeit der betroffenen Daten – eher als gering zu qualifizieren wäre.
Rz. 203
Art. 34 Abs. 1 DSGVO sieht hinsichtlich des Vorliegens eines "hohen Risikos" sowohl einen Beurteilungsspielraum, als auch eine Beurteilungspflicht allein des Verantwortlichen vor, d.h. dieser hat – unter Berücksichtigung der konkret eingetretenen oder drohenden Verletzung des Schutzes personenbezogener Daten eigenständig zu bestimmen, ob ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen besteht oder nicht. Vor dem Hintergrund, dass gemäß Art. 83 Abs. 4 lit. a) DSGVO im Falle einer Missachtung der Vorgaben in Art. 34 Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, ist die Risikobestimmung sorgsam vorzunehmen und – soweit vorhanden – in jedem Fall der betriebliche Datenschutzbeauftragte mit einzubeziehen.
Rz. 204
Es sollte darauf geachtet werden, dass die Interessen des Verantwortlichen, den mit einer Verletzung des Schutzes personenbezogener Daten verbundenen Image- und Vertrauensverlust möglichst gering zu halten, mit den Rechten der betroffenen Personen in einen angemessen Ausgleich gebracht werden. Für den Abwägungsvorgang kann zudem ergänzend auf das bereits im Jahre 2010 veröffentliche Schutzstufenkonzept des LfD Niedersachsen verwiesen werden. Die dort unter den Kategorien D und E beschriebenen Gefahren, dürften jedenfalls auf ein "hohes Risiko" hindeuten, wobei das LfD Niedersachsen hervorhebt, dass bei "der Klassifizierung sind Datenfelder niemals einzeln zu bewerten" sind.
Zitat
"Die Betrachtung ist vielmehr auf die gesamte Datei, ggf. auch auf unmittelbar verknüpfte Datenbestände auszudehnen. Werden personenbezogene Daten unter einem Auswahlkriterium in eine Datei aufgenommen, das in der Datei nicht enthalten ist, so ist dieses Auswahlkriterium bei der Klassifizierung mit zu bewerten."
In Zweifelsfällen kann es zudem sinnvoll sein, von der Berechtigung, die für den Verantwortlichen zuständige Aufsichtsbehörde um Stellungnahme zum Vorliegen einer Informationspflicht nach Art. 34 DSGVO zu ersuchen.
Rz. 205
In diesem Zusammenhang ist darauf hinzuweisen, dass die Aufsichtsbehörde unabhängig davon, ob der Veran...