Es ist nicht damit getan, die Frage abstrakt zu beantworten, ob aus der Verarbeitung (materielle oder immaterielle) Schäden für die Rechte und Freiheiten von Betroffenen resultieren können. Vielmehr muss der Verantwortliche diese Frage aus Betroffenensicht auf die maßgeblichen Faktoren „Eintrittswahrscheinlichkeit“ und „Schwere des Schadens (Auswirkung)“ herunterbrechen. Wenn ein hoher Schaden droht, ist auch eine geringe Eintrittswahrscheinlichkeit kritisch zu sehen. Ebenso kann bei einer hohen Eintrittswahrscheinlichkeit auch ein nur geringer zu erwartender Schaden als nicht zu tolerieren bewertet werden.
Art. 35 Abs. 3 Datenschutz-Grundverordnung benennt in nicht abschließender Weise einige besonders sensible Fälle, die wahrscheinlich zu einem hohen Risiko führen. Diese sind insbesondere
- die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen mittels automatisierter Verarbeitung (einschließlich Profiling), die als Grundlage für Entscheidungen dient, Rechtswirkungen gegenüber natürlichen Personen entfaltet oder diese in ähnlich erheblicher Weise beeinträchtigen,
- die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten, genetische oder biometrische Daten, Daten zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen oder Gewerkschaftszugehörigkeiten) oder von personenbezogenen Daten über Verurteilungen und Straftaten (Art. 10 DSGVO),
- die systematische umfangreiche Überwachung öffentlich zugänglicher Räume (z.B. Video- oder Tonüberwachungen im öffentlichen Raum).
Da zur Abmilderung eines hohen Risikos für die Betroffenenrechte zusätzliche Maßnahmen getroffen werden müssen, ist es erforderlich, diese Risikobewertung möglichst frühzeitig, auf jeden Fall aber vor der Produktivsetzung vorzunehmen.
zurück zum Newsletter Datenschutz
weiter zum Beitrag "Orientierung an den Leitlinien der Aufsichtsbehörden"
