Was bedeutet die neue Risikobetrachtung?

Die EU DS-GVO unterscheidet zwischen (normalem) Risiko und hohem Risiko.

Sie sieht ihn verschiedenen Artikeln bestimmte Handlungsaufträge für die Unternehmen  vor. Die neue Risikobewertung ist also nicht nur theoretisch, sondern gibt ganz praktisch vor, was die Unternehmen zu tun haben.

Dabei geht es nicht um die Zulässigkeit der Verarbeitung, sondern darum, dass Unternehmen verpflichtet werden, vor Einführung neuer Prozesse oder bei Überprüfung der bestehenden Prozesse im Lichte der Datenschutz-Grundverordnung, eine Risikobewertung vorzunehmen.

Bspw. ist für die so genannten TOMs (technische und organisatorische Maßnahmen) das Schutzniveau im Rahmen des Risikos für die Betroffenen festzulegen, Art. 24, 25, 32 DS-GVO.

Meldepflichtig sind Datenschutz-Vorfälle, wenn ein (normales) Risiko für die Rechte und Freiheiten des Betroffenen besteht; die Benachrichtigungspflicht der Betroffenen besteht aber nur bei einem hohen Risiko.

Die Datenschutz-Folgenabschätzung (Art. 35) ist nur bei hohem Risiko durchzuführen, ebenso die vorherige Konsultation der Aufsichtsbehörde, wenn das hohe Risiko nicht wirksam eingedämmt werden kann.

(Stephanie Iraschko-Luscher)

MGDS – Ihre Unternehmensberatung für Datenschutz