DSGVO: Wie ist der „risikobasierte Ansatz“ zu verstehen?
Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das Mitte 2018 in Kraft tritt. In diesem Blog werden vorab einige Fragen veröffentlicht (Härting, Datenschutz-Grundverordnung, 2016).
Auch wenn personenbezogene Daten durch ein eigenes Grundrecht geschützt sind (Art. 8 GRCh), ist Datenschutz kein Selbstzweck. Datenschutz ist vielmehr Vorfeldschutz.
Geltendes Recht
Es geht seit jeher um den Schutz von Persönlichkeitsrechten, um den Schutz der Privatsphäre (Art. 7 GRCh).
Änderungen durch die DSGVO
Die DSGVO erweitert den Blick durch den Anspruch, auch die Menschenwürde (Art. 1 GRCh) und andere Grundrechte mit den Instrumenten des Datenschutzes schützen zu wollen.
Der Bezug zur Menschenwürde ist dem deutschen Recht keineswegs fremd, da sich das allgemeine Persönlichkeitsrecht einerseits aus der Entfaltungsfreiheit (Art. 2 Abs. 1 GG) und andererseits aus der Menschenwürde (Art. 1 Abs. 1 GG) ableitet.
1. Notwendiger Rückgriff auf Grundrechte
Ob bei Abwägungen, bei der Bewertung von Risiken, bei der Beurteilung der Schwere eines Eingriffs in Art. 8 GRCh oder bei Fragen der Verhältnismäßigkeit: Risiko-, Folgen- und Eingriffsabschätzungen können sich nicht darin erschöpfen, die Menge und die Art der Daten zu bewerten, um deren Verarbeitung es geht. Vielmehr bedarf es eines Rückgriffs auf die Persönlichkeitsrechte und andere Grundrechte, deren Schutz das Datenschutzrecht bezweckt:
- Art der Daten (-): Die Schwere eines Eingriffs in Persönlichkeitsrechte bemisst sich nicht danach, welche Art von Daten verarbeitet werden sollen.
- Zahl der Daten (-): Erst recht lässt sich die Schwere eines Eingriffs nicht an der Zahl der verarbeiteten Daten messen.
- Maßgeblichkeit der Informationen (+): Für das Gewicht eines Eingriffs sind vielmehr die Informationen maßgebend, die sich aus den Daten gewinnen lassen.
Das Datenschutzrecht schützt den einzelnen Bürger davor, dass Informationen über ihn gegen seinen Willen preisgegeben werden. Je sensibler diese Informationen sind, desto höher ist das Bedürfnis, den Bürger bei der Verarbeitung von personenbezogenen Daten durch Verbote und Restriktionen zu schützen.
2. Zentraler Katalog der Abwägungskriterien
Erwägungsgrund 75 DSGVO enthält eine Auflistung der Risiken, die bei den durch Art. 24 Abs. 1 DSGVO vorgeschriebenen technischen und organisatorischen Maßnahmen des Datenschutzes zu beachten sind:
„Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.” (Hervorhebungen hinzugefügt: - allgemeine Voraussetzungen kursiv - aufgezählte Einzelkriterien unterstrichen)
3. Risikobasierter Ansatz
Dieser Risikokatalog lässt sich nicht nur bei den Maßnahmen gemäß Art. 24 Abs. 1 DSGVO, sondern auch bei anderen Abwägungen und Abschätzungen heranziehen.
Dies gilt insbesondere für die Abwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO („berechtigte Interessen“), aber auch für alle anderen Passagen der DSGVO, in denen auf die „Interessen, Grundrechte und Grundfreiheiten“ der Betroffenen abgestellt wird.
Wie stark die „Interessen, Grundrechte und Grundfreiheiten“ der Betroffenen durch die Verarbeitung personenbezogener Daten gefährdet werden, hängt von einer Analyse der Risiken ab, die in Erwägungsgrund 75 DSGVO aufgezählt werden. Indem die DSGVO Verbote und Beschränkungen der Datenverarbeitung von einer solchen Risikoanalyse abhängig macht, wählt sie einen „risikobasierten Ansatz“.
4. Objektiver Maßstab
Erwägungsgrund 76 Satz 2 DSGVO schreibt einen objektiven Maßstab für die Risikoanalyse vor:
“Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.” (Hervorhebungen hinzugefügt)