… der risikobasierte Ansatz in der DSGVO.

Der risikobasierte Ansatz ist eine der wenigen großen Neuerungen, die die Datenschutz-Grundverordnung dem Datenschutzrecht beschert hat. Umso erstaunlicher ist das beredte Schweigen der meisten Fachleute zu diesem Thema.

Nun meint der baden-württembergische Landesbeauftragte für Datenschutz Brink in einer aktuellen Twitterdiskussion sogar, der risikobasierte Ansatz sei ein gescheitertes Gegenkonzept zu Art. 6 DSGVO, von dem nur noch Art. 34 Restrelevanz habe. Und weiter: dies seien „Modeerscheinungen, die mehr verkleistern als erhellen“.

Daher an dieser Stelle nochmal der freundliche Hinweis auf die Exegese, die rechtstatsächliche Verankerung und die Potentiale des risikobasierten Ansatzes:

Ist der risikobasierte Ansatz vom Normgeber gewollt?

Tatsächlich spielte der risikobasierte Ansatz in den Ratsverhandlungen zur DSGVO eine herausragende Rolle. Seine Verankerung in der DSGVO war kaum umstritten. Wieviel risikobasierter Ansatz Eingang in den Ratsentwurf gefunden hat, lässt sich an diesem Ratsdokument ersehen, dem der JI-Rat am 10. Oktober 2014 zustimmte (unterstrichene Formulierungen sind Änderungen des Rates). Dem vorausgegangen waren intensive Beratungen der Mitgliedstaaten. Allein die schriftlichen Stellungnahmen der Mitgliedstaaten zum risikobasierten Ansatz umfassen 125 Seiten. Die meisten Ratsänderungen sind im Trilog zwischen Europäischem Parlament, Europäischer Kommission und Rat erhalten geblieben.

Der Wille des Normgebers, den risikobasierten Ansatz in der DSGVO zu verankern, lässt sich nicht leugnen. Explizit ging es dabei auch darum, „den Verwaltungsaufwand/die Befolgungskosten weiter zu verringern, indem stärker auf den risikobasierten Ansatz abgestellt wird“.

Warum wird der risikobasierte Ansatz nicht gemocht?

Die Ablehnung des risikobasierten Ansatzes durch Vertreter eines radikalen datenfokussierten Datenschutzes ist nicht überraschend. Sie ist auch nicht neu. Während der Verhandlungen zur DSGVO wurde die Risikoorientierung des Datenschutzes als Trojanisches Pferd bezeichnet. Albrecht sah sie als Täuschungsmanöver. Auch die Verbraucherschützer warnten vor dem risikobasierten Ansatz.

Dem liegt offenbar die Sorge zugrunde, der risikobasierte Ansatz sei gefährlich für die  Grundrechtsorientierung des Datenschutzes (siehe zum Beispiel Rost, Risiken im Datenschutz).

Womöglich aus denselben Gründen haben sich deutschen Aufsichtsbehörden bislang fast überhaupt nicht mit dem risikobasierten Ansatz auseinandergesetzt. Im Kurzpapier Nr. 18 erläutert die Datenschutzkonferenz allerdings, was sie unter dem Begriff „Risiko für die Rechte und Freiheiten natürlicher Personen“ versteht. Darin werden die Vorgaben der DSGVO nicht oder nur höchst unpräzise analysiert. Zentrale Aussagen der DSGVO werden umgedeutet. In der Auslegung der DSK führt der risikobasierte Ansatz nicht etwa zu einer Entlastung des Verantwortlichen, sondern zu einer Verschärfung seiner Pflichten (ausführlich hierzu Veil, Datenschutzverstoß = Schaden ?).

Die Article 29 Data Protection Working Party hatte in ihrer Stellungnahme WP 2018 vom 30. Mai 2014 zwar erklärt, dass der risikobasierte Ansatz immer schon Bestandteil des Datenschutzrechts gewesen sei und dass sie ihn auch immer unterstützt habe. Gleichzeitig warnte sie jedoch auch davor, ihn auf die Rechtsgrundlagen und die Betroffenenrechte anzuwenden.

Nicht mit dem risikobasierten Ansatz als solchem, aber mit dem Begriff „likely to result in a high risk“ setzt sich die Article 29 Data Protection Working Party in ihrer Stellungnahme WP 248 vom 13. Oktober 2017 auseinander.

Wo ist der risikobasierte Ansatz in der DS-GVO verankert?

Dass nunmehr der risikobasierte Ansatz von aufsichtsbehördlicher Seite als Modeerscheinung bzw. als gescheitert bezeichnet wird, lässt befürchten, dass die Abneigung gegen den risikobasierten Ansatz dazu führt, dass geltendes Recht ignoriert wird. Der Gesichtspunkt der Risikoadäquanz durchzieht nämlich die gesamte DSGVO:

• Der Begriff des Risikos findet 68 Mal Erwähnung.
• Mindestens die Pflichten des Verantwortlichen aus Kapitel IV (also Art. 24 bis 43 DSGVO) sind risikoabhängig.
• Manche Pflichten entfallen, wenn kein Risiko vorliegt: Art. 27, Art. 30 (mit allerdings vielen Rückausnahmen) und Art. 33 DSGVO.
• Manche Pflichten bestehen nur bei hohem Risiko: Art. 34, Art. 35 und Art. 36 DSGVO.
• Bei anderen Pflichten findet eine typisierte Risikobetrachtung statt, wie bei der Pflicht zur Bestellung eines Datenschutzbeauftragten (Art. 37 Abs. 1 DSGVO).

Durch Art. 24 Abs. 1 DSGVO wird der risikobasierte Ansatz „vor die Klammer“ der gesamten DSGVO gezogen:

• TOM: Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen (TOM) ergreifen, um seine aus der DSGVO erwachsenden Verpflichtungen zu erfüllen.
• Nachweis:  Und er muss die Ergreifung dieser Maßnahmen nachweisen können.

Beide Pflichten sind risikoabhängig. Der „risikobasierte Ansatz“ skaliert somit die zu ergreifenden Maßnahmen und die zugehörigen Nachweispflichten – und zwar nach oben und nach unten:

• Besonders risikoreiche Datenverarbeitungen erfordern schärfere Maßnahmen.
• Weniger riskante Datenverarbeitungen lassen weniger strenge Maßnahmen oder den Verzicht auf einzelne Maßnahmen zu.

Von den Gegnern des risikobasierten Ansatzes war nicht zu erwarten, dass sie den Ansatz wohlwollend aufgreifen oder extensiv auslegen. Was man allerdings erwarten muss, ist dass sie die rechtstatsächliche Verankerung anerkennen.

Welche Potentiale stecken noch im risikobasierten Ansatz?

Es ist unschwer zu erkennen, dass der risikobasierte Ansatz nie klar definiert war. Seitdem er in der Diskussion ist, versuchen alle Akteure ihn in ihrem Sinne zu usurpieren. Dass der Normgeber bei der Implementation auf halber Strecke stehengeblieben ist, bedeutet nicht, dass der risikobasierte Ansatz geleugnet oder ignoriert werden könnte.

Klar ist, dass durch den risikobasierten Ansatz die Sicherstellungs- und Nachweispflichten des datenschutzrechtlich Verantwortlichen risikoadäquat skaliert werden (hierzu eingehend Veil, Accountability – Wie weit reicht die Rechenschaftspflicht der DS-GVO?, in: ZD 2018, 9, 13).

Darüber hinaus völlig ungeklärt ist die Frage, ob die Grundsätze der Datenverarbeitung (Art. 5 DSGVO), die Rechtsgrundlagen der Datenverarbeitung (Art. 6 und 9 DSGVO) und die Betroffenenrechte (Art. 12 ff. DSGVO) unter Risikogesichtspunkten zu interpretieren sind. Im Nicht-Deutschsprachigen ist man hier schon weiter. Quelle bejaht die Frage in überzeugender Weise und spricht gar von einer „risk revolution“ bzw. von der „riskification“ des europäischen Datenschutzrechts.

Meines Erachtens müssen zum Beispiel die Grundsätze der Rechtmäßigkeit, Fairness und Zweckbindung, die Interessenabwägung des Art. 6 Abs. 1 lit. f DSGVO, die Kompatibilitätsprüfung des Art. 6 Abs. 4 DSGVO und Art. 13 Abs. 2 und 14 Abs. 2 DSGVO („notwendig, um eine faire und transparente Verarbeitung zu gewährleisten“) unter Risikogesichtspunkten interpretiert werden. Auch das Konzept der Pseudonymisierung (aktuell: Fokusgruppe Datenschutz, Anforderungen an datenschutzkonforme Pseudonymisierung) kann als ein Mittel angesehen werden, den risikobasierten Ansatz in die Tat umzusetzen.

Ein gesunder Mittelweg

Insgesamt ist der risikobasierte Ansatz geeignet, die überschießenden Tendenzen des Verbotsprinzips und des one size fits all-Ansatzes der DSGVO in vernünftiger Weise zu begrenzen.

Den Unterschied zwischen der europäischen Auffassung und der US-amerikanischen Auffassung von Daten- bzw. Privatsphäreschutz kann man gut mit dem Gegensatzpaar rights-based approach (EU) und harm-based approach (USA) beschreiben (erhellend dazu Schwartz/Peifer, Transatlantic Data Privacy Law). Richtig verstanden, stellt der risk-based approach den gesunden Mittelweg zwischen der reinen, aber nicht vollziehbaren Lehre des rights-based approach und dem „bösen“ US-amerikanischen „harm-based approach“ dar.