Rz. 89
Art. 35 Abs. 1 DSGVO definiert nicht, wann von einem "hohen Risiko" für die Rechte und Freiheiten natürlicher Personen auszugehen ist, sondern beschränkt sich auf eine beispielhafte Beschreibung möglicher Risikofaktoren. Dies ist insofern verständlich, als dass Risiken sowohl in den einzelnen Mitgliedstaaten, als auch in der Bewertung durch jedes einzelne Individuum höchst unterschiedlich und uneinheitlich beurteilt werden und es für den Gesetzgeber sicherlich nicht einfach gewesen wäre, die Kriterien, nach denen sich ein Risiko bestimmt, genauer zu definieren. Für den Verantwortlichen als Adressat des Art. 35 DSGVO stellt diese Vorgehensweise, nicht zuletzt mit Blick auf die Bußgeldbewährung in Art. 83 Abs. 4 lit. a) DSGVO, ein nicht unerhebliches Problem dar, kann die Nichtdurchführung einer Datenschutz-Folgenabschätzung doch im Einzelfall mit Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden. Die Art. 29-Datenschutzgruppe empfiehlt – wohl auch aus diesem Grunde – in den Fällen, in denen nicht sicher beurteilt werden kann, ob eine Datenschutz-Folgenabschätzung durchzuführen ist oder nicht, sich in jedem Fall für die Durchführung zu entscheiden und verweist darauf, dass eine Datenschutz-Folgenabschätzung in jedem Fall ein hilfreiches Mittel zur Herstellung von Datenschutz-Compliance des Verantwortlichen darstellen kann.
Rz. 90
Ob ein Risiko im Sinne des Art. 35 Abs. 1 DSGVO als hoch zu qualifizieren ist, soll sich nach der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung bestimmen. Erwägungsgrund 90 benennt als zusätzliches Kriterium die Ursache des Risikos. Eine Gewichtung der hier benannten Kriterien findet nicht statt, auch bleibt unklar, ob stets alle Faktoren zu berücksichtigen sind oder es ausreicht, wenn lediglich einer der genannten Faktoren in einer besonderen Ausprägung auftritt. Erwägungsgrund 89 lässt jedenfalls darauf schließen, dass die Anforderungen an das Bestehen eines hohen Risikos nicht zu niedrig anzusetzen sind, nachdem hier ausdrücklich darauf verwiesen wird, dass die in der Datenschutzrichtlinie normierte generelle Verpflichtung zur Meldung von Verarbeitungen mit einem bürokratischen und finanziellen Aufwand verbunden war und dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt hat, was im Rahmen der DSGVO vermieden werden soll. In den Erwägungsgründen finden sich zahlreiche Beispiele für Verarbeitungsvorgänge, die ein hohes Risiko beinhalten können.
Rz. 91
Es wird insbesondere auf solche Vorgänge Bezug genommen, "bei denen neue oder neuartige Technologien eingesetzt werden". Wann eine "neue oder neuartige Technologie" vorliegt, bleibt unbeantwortet. Hier könnte zum einen darauf abzustellen sein, dass es sich für den jeweiligen Verantwortlichen "um eine neue oder neuartige Technologie" handelt, zum anderen darauf, ob die Technologie – unabhängig von jeweiligen Verantwortlichen – "neu oder neuartig" ist. Es ist, auch mit Blick auf die Verwendung des Topos "neuartig", nicht auf die Situation des einzelnen Verantwortlichen, sondern auf eine allgemeine (Markt-)Betrachtung abzustellen und unter Berücksichtigung des "Stands der Technik" darüber zu entscheiden, ob eine einzusetzende Technologie neu oder zumindest neuartig ist. Technologien, die den Stand der Technik zum geplanten Einsatzzeitpunkt darstellen, begründen für sich genommen daher keine Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung. Eine Verpflichtung kann sich jedoch daraus ergeben, dass bekannte Technologien in anderen, bislang nicht hierzu verwandten, Szenarien und Umgebungen zum Einsatz kommen sollen. Ein anschauliches Beispiel ist die Etablierung des besonderen elektronischen Anwaltspostfachs (beA). Die hier eingesetzten Technologien sind allesamt nicht "neu" und entsprechen sicherlich dem Stand der Technik; das Einsatzumfeld der elektronischen Kommunikation unter Rechtsanwälten und zwischen Rechtsanwälten, Gerichten und Behörden ist indes neu; neu ist auch die zentrale Verwaltung des Postfaches durch die Bundesrechtsanwaltskammer.
Rz. 92
Weiterhin soll ein hohes Risiko bei umfangreichen Verarbeitungsvorgängen, die dazu dienen, "große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten und eine große Zahl von Personen betreffen könnten" in Betracht kommen. Wann eine große Zahl von Personen oder eine große Menge von Daten betroffen sein kann, definiert die DSGVO nicht. Im Erwägungsgrund Nr. 75 des Parlamentsentwurfs zur DSGVO aus dem Jahr 2014 war von "mehr als 5000 betroffenen Personen innerhalb von zwölf Monaten" gesprochen worden. Diese Formulierung findet sich in der schlussendlich verabschiedeten Endfassung der DSGVO nicht mehr. Ob dies – wie von Sassenberg/Schwendemann angenommen – Rückschlüsse darauf zulässt, dass nunmehr "von...