Datenschutz-Grundverordnung: So bestimmen Sie ein Risiko

Liest man die Grundverordnung durch, stößt man immer wieder auf den Begriff des Risikos. Suchen Sie nach Häufigkeit, dann ergeben sich 68 Treffer – es lohnt sich also, einen genauen Blick darauf zu werfen.

Risikobewertung ist meist subjektiv

Mit Risiken gehen die meisten von uns jeden Tag um – beim Weg zur Arbeit, beim Lottospielen (positive Risiken heißen Chancen) oder bei der Wahl des Urlaubsorts. Allen Risiken dürfte gemein sein, dass wir ihre Höhe oft völlig falsch einschätzen:

• Beim Lottospielen überschätzen wir unsere Chancen.
• Beim Autofahren unterschätzen wir die Gefahren.

Dies passiert auch deswegen, weil unsere Risikobewertung subjektiv ist.

Bei der DSGVO müssen Risiken objektiv bestimmt werden

Die DSGVO ist hier präziser und fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein Risiko oder ein hohes Risiko vorliegt. Dies dürfte einer der wichtigsten Erwägungsgründe der Grundverordnung sein. Denn eine Risikobewertung „nach Bauchgefühl“ oder „Erfahrung“ ist allein nicht ausreichend.

Risikoorientierter Ansatz

Technische und organisatorische Maßnahmen gehören zum Datenschutz wie die Butter auf das Brot. Die zentrale Frage dabei ist, wie sich denn geeignete, d.h. wirksame und vollständige Maßnahmen für eine konkrete Verarbeitungstätigkeit auswählen lassen.

Nachdem der Checklistenansatz des Bundesdatenschutzgesetzes (BDSG) – zum Glück – nicht in die Grundverordnung aufgenommen wurde, müssen andere Ansätze her. Diese Ansätze müssen laut Datenschutz-Grundverordnung die Risiken für die Rechte und Freiheiten natürlicher Personen b…