Obwohl der risikobasierte Ansatz bei der Umsetzung datenschutzrechtlicher Vorgaben nicht direkt aus dem Gesetz hervorgeht, ist es übliche Praxis, risikoreichere Verarbeitungsaktivitäten intensiver und detaillierter zu adressieren.
Es gilt, zwei Perspektiven zu berücksichtigen: Zum einen die direkten Risiken für das Unternehmen, das personenbezogene Daten verarbeitet, und zum anderen die betroffenen Personen, für die aus der DSGVO zahlreiche Schutzbestimmungen resultieren. Beide Sichtweisen erfordern einen methodisch unterschiedlichen Ansatz.
