Rz. 4
Nach Art. 24 Abs. 1 DSGVO ist der Verantwortliche verpflichtet, sicherzustellen und nachzuweisen, dass die von ihm vollzogenen Verarbeitungen unter Einhaltung der DSGVO erfolgen. Hierzu hat er unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen und – dort wo dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht – "geeignete Datenschutzvorkehrungen" (Art. 24 Abs. 2 DSGVO) zu etablieren.
Rz. 5
Art. 24 DSGVO konkretisiert zum einen die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht des Verantwortlichen und beschreibt zugleich die an ihn gerichteten Anforderungen. Die DSGVO setzt dabei auf einen risikoorientierten Ansatz und nimmt den Verantwortlichen in die Pflicht, über "geeignete technische und organisatorische Maßnahmen" die rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen. Dies ist grundsätzlich nicht neu: Schon die Datenschutzrichtlinie forderte derartige Maßnahmen und
Zitat
"zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung, um insbesondere deren Sicherheit zu gewährleisten und somit jede unrechtmäßige Verarbeitung zu verhindern".
Nach Art. 17 Abs. 1 Datenschutzrichtlinie waren hierfür Maßnahmen zu etablieren, die unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. Art. 24 DSGVO normiert leicht modifiziert und detaillierter, dass die Maßnahmen nach Art, Umfang, Umständen und den Zwecken der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignet sein müssen. Diese Formulierung findet sich in ähnlicher Form auch in Art. 25 DSGVO sowie in Art. 32 DSGVO.
Rz. 6
Eine nähere Definition der Kriterien Art, Umfang, Umstände und Zwecke der Verarbeitung findet sich in der Verordnung selbst nicht. Die Erwägungsgründe beschreiben besondere Verarbeitungssituationen, in denen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person bestehen kann. So soll sich aus der Verarbeitung besonderer Kategorien personenbezogener Daten, wie Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Zugehörigkeit zu einer Gewerkschaft oder der Verarbeitung von genetischen Daten, Gesundheitsdaten oder Daten über das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln ein grundsätzliches Risiko für die Rechte und Freiheiten von natürlichen Personen ergeben. Dies gilt ebenso, "wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen". Weiterhin soll auch die Lebenssituation der betroffenen Person eine Rolle spielen, z.B., wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden. Auch können die Verarbeitung einer großen Menge personenbezogener Daten und/oder eine große Anzahl von betroffenen Personen ein Risiko bedeuten.
Rz. 7
Hieraus lässt sich für die inhaltliche Bestimmung der in die Risikobewertung einzustellenden Kriterien nahfolgendes ableiten:
(1) |
Die Art der Verarbeitung beschreibt zum einen die in Art. 4 Nr. 2 DSGVO beschriebenen "Verarbeitungsstadien", aus denen sich unterschiedliche Risiken für die betroffene Person ergeben können. So kann eine Pseudonymisierung oder Anonymisierung personenbezogener Daten die mit ihrer Verarbeitung verbundenen Risiken für die betroffene Person erheblich reduzieren oder gänzlich ausschließen, während eine "Offenlegung durch Übermittlung" den Kreis der mit der Verarbeitung erfassten Daten auf Dritte erstreckt, was für die betroffene Person mit einem hohen Risiko verbunden sein kann, weil die personenbezogene Daten den Einflussbereich des Verantwortlich verlassen. Weiterhin ist hiermit auch die Durchführung der Verarbeitung beschrieben (nicht automatisiert, automatisiert, automatische Entscheidungsfindung). |
(2) |
Der Umfang der Verarbeitung beschreibt ein quantitatives Kriterium und bezieht sowohl die Anzahl der betroffenen personenbezogenen Daten, als auch die Anzahl der von einer Verarbeitung betroffenen natürlichen Personen mit ein. |
(3) |
Die Umstände der Verarbeitung beschreiben die konkrete Verarbeitungssituation, ihr Umfeld und die für die Verarbeitung eingesetzten Mittel (bspw. Verarbeitung innerha... |