Eine wesent­li­che Neue­rung der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ist das Instru­ment der sog. Daten­schutz-Fol­gen­ab­schät­zung (DSFA). Die DSFA ist ein wich­ti­ger Bestand­teil des neu ein­ge­führ­ten Kon­zepts des „risi­ko­ori­en­tier­ten Ansat­zes” im Daten­schutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gera­de bei Ver­ar­bei­tun­gen von per­so­nen­be­zo­ge­nen Daten, bei denen ein hohes Risi­ko für die von der Ver­ar­bei­tung betrof­fe­nen Per­so­nen besteht, bewir­ken, dass gezielt Maß­nah­men gefun­den wer­den kön­nen, die die­ses Risi­ko ein­däm­men.

Somit dient der risi­ko­ori­en­tier­te Ansatz der DS-GVO letzt­end­lich zur Aus­wahl der „rich­ti­gen” (d. h. wirk­sa­men und geeig­ne­ten) tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten. Dies bedeu­tet im All­tag für Ver­ant­wort­li­che, dass durch eine Aus­wahl pas­sen­der Maß­nah­men das Risi­ko der Rech­te und Frei­hei­ten für die ein­zel­nen betrof­fe­nen Per­so­nen (z. B. Kun­den, Nut­zer, Beschäf­tig­te) ent­schei­dend redu­ziert bzw. ein­ge­dämmt wer­den kann. Die Not­wen­dig­keit einer tech­ni­schen oder orga­ni­sa­to­ri­schen Maß­nah­me hängt also somit vom „Risi­ko-Level” ab, d. h. von der Höhe eines mög­li­chen Scha­dens für die jewei­li­ge Per­son, wenn es zu einem Ein­tritt des Risi­kos bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kommt.

Wei­ter geht es hier.