Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Same Same but Different?

Der risikobasierte Ansatz nach DSGVO und CRA im Vergleich

03/2026

1 Zwei Verordnungen, ein Prinzip

Die Datenschutz-Grundverordnung (DSGVO) hat den risikobasierten Ansatz als zentrales Steuerungsinstrument im Datenschutzrecht der EU etabliert. Organisationen sind seither verpflichtet, technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten abhängig vom jeweiligen Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen auszuwählen und zu ergreifen. Mit der Verordnung über Cyberresilienz (Cyber Resilience Act, CRA) ist nun ein weiteres Regelwerk hinzugekommen, das ebenfalls auf einen risikobasierten Ansatz setzt – jedoch mit anderer Zielrichtung: Im Zentrum steht die Gewährleistung der Cybersicherheit vernetzter Produkte mit digitalen Elementen.

Viele Organisationen – dies betrifft insbesondere Hersteller von vernetzten Produkten und digitalen Diensten, etwa im Bereich Wearables oder Smart-Home-Anwendungen, die dabei auch personenbezogene Daten verarbeiten – stehen nun vor der Herausforderung, die beiden Regelwerke parallel anwenden zu müssen. Dies wirft nicht nur Fragen der praktischen Umsetzung auf, sondern ebenso grundlegende Fragen zur konzeptionellen Ausrichtung beider Regelwerke: Wo liegen die Gemeinsamkeiten und Unterschiede? Welche Risiken stehen jeweils im Fokus? Und: Wie können Synergien genutzt werden?

Vor diesem Hintergrund untersucht der vorliegende Beitrag systematisch die Gemeinsamkeiten, Unterschiede und Überschneidungen der beiden Verordnungen. Dazu werden in Abschn. 2 zunächst die jeweiligen Anwendungsbereiche analysiert und anhand eines praxisnahen Beispiels die Bedingungen der parallelen Anwendbarkeit veranschaulicht. In Abschn. 3 folgt eine detaillierte Gegenüberstellung des risikobasierten Ansatzes: Es wird gezeigt, wie Risiken in beiden Verordnungen definiert und bewertet werden, und welche technischen und organisatorischen Maßnahmen zur Mitigation dieser zur Verfügung stehen. Auf dieser Grundlage werden in Abschn. 4 zentrale Erkenntnisse für Praxis und Weiterentwicklung abgeleitet: Wo ergänzen sich DSGVO und CRA? Wo bestehen Zielkonflikte? Und wie lässt sich ein integriertes, interdisziplinäres Risikomanagement entwickeln, das beiden Regelungszielen gerecht wird?

Ziel ist es, Datenschutz und Cybersicherheit nicht getrennt, sondern im Sinne eines integrierten Risikoverständnisses zu denken – unter dem Leitgedanken „Same same but different“ – mit dem Ziel, Synergien zu identifizieren und praxisnahe Lösungsansätze zu fördern.

2 Anwendungsbereich

Um beurteilen zu können, wann eine parallele Anwendung von DSGVO und CRA rechtlich geboten und praktisch relevant ist, bedarf es zunächst einer klaren Abgrenzung ihrer jeweiligen Anwendungsbereiche. Auf dieser Grundlage, wird sodann exemplarisch anhand eines praxisnahen Beispiels veranschaulicht, in welchen Fällen beide Regelwerke gleichzeitig zur Anwendung gelangen können.

2.1 DSGVO

Die Datenschutz-Grundverordnung (DSGVO) gilt gemäß Art. 2 Abs. 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für nichtautomatisierte Verarbeitungen, sofern dieser Teil eines Dateisystems sind oder sein solle. Unter den Begriff der automatisierten Verarbeitung fallen dabei sämtliche computergestützten Prozesse – von der einfachen Speicherung über algorithmische Auswertungen bis hin zu KI-gestützten Analysen. Auch analoge Verarbeitungen unterfallen der Verordnung, sofern sie Teil eines strukturierten Dateisystems sind. Ausgenommen vom Anwendungsbereich sind die in Art. 2 Abs. 2 DSGVO genannten Fälle, etwa rein persönliche oder familiäre Tätigkeiten, Maßnahmen im Bereich der nationalen Sicherheit oder bestimmte Formen der Strafverfolgung.

Zentraler Adressat der DSGVO ist der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Als solcher gilt jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Die Verordnung sieht für Verantwortliche umfassende Pflichten vor – etwa zur rechtmäßigen Datenverarbeitung (Art. 5 ff. DSGVO), zur Gewährleistung eines angemessenen Schutzniveaus (Art. 24), zur datenschutzfreundlichen Technikgestaltung (Art. 25), zur Durchführung und zur Sicherheit der Verarbeitung (Art. 32).

2.2 CRA

Der CRA gilt gemäß Art. 2 Abs. 1 CRA für Produkte mit digitalen Elementen, die direkt oder indirekt mit anderen Geräten oder Netzwerken verbunden werden können. Der sachliche Anwendungsbereich richtet sich damit nicht nach der Verarbeitung einer bestimmten Art von Daten, sondern nach der technischen Beschaffenheit und Konnektivität des Produkts. Erfasst werden sowohl physische Produkte wie Router, Smartwatches oder vernetzte Haushaltsgeräte als auch immaterielle digitale Produkte wie Apps, Betriebssysteme oder Softwaredienste.

Zentraler Adressat des CRA ist der Hersteller im Sinne von Art. 3 Nr. 19 CRA. Als Hersteller gilt jede natürliche oder juristische Person, die ein Produkt mit digitalen Elementen entwickelt oder herstellen lässt und es unter ihrem Namen oder ihrer Marke vermarktet. Die Verordnung enthält für Hersteller weitreichende Pflichten – etwa zur sicheren Konzeption, Entwicklung und Herstellung der Produkte (Art. 13 Abs. 1 CRA), zur Risikobewertung (Art. 13 Abs. 2 CRA), zur technischen Dokumentation (Art. 13 Abs. 12 CRA) sowie zur Schwachstellenbehandlung (Art. 13 Abs. 8 CRA).

2.3 Parallele Anwendbarkeit

In zahlreichen praktischen Konstellationen können sich die Anwendungsbereiche von DSGVO und CRA überschneiden. Dies betrifft insbesondere Produkte mit digitalen Elementen im Sinne des CRA, die zugleich personenbezogene Daten im Sinne der DSGVO verarbeiten – etwa Smartwatches, Fitness-Tracker oder digitale Gesundheits-Apps.

Ein Beispiel: Eine internetfähige Smartwatch misst kontinuierlich die Herzfrequenz ihrer Trägerin und übermittelt diese Daten zusammen mit Standortinformationen an eine Cloud-Plattform des Herstellers. Die Daten werden dort analysiert, um personalisierte Gesundheitsberichte und Bewegungsprofile zu generieren.

Die DSGVO ist anwendbar, da es sich bei den Herzfrequenz- und Standortdaten um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO handelt, deren Verarbeitung datenschutzrechtlich zu reguliert wird; der CRA greift, weil die Smartwatch ein vernetztes Produkt mit digitalen Elementen darstellt, das cybersicherheitsbezogenen Anforderungen unterliegt.

Ist der Hersteller der Smartwatch zugleich Betreiber der App, so ist er verpflichtet, sowohl die datenschutzrechtlichen Anforderungen der DSGVO – etwa zur Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten – als auch die cybersicherheitsbezogenen Vorgaben des CRA – etwa zur Konzeption, Entwicklung und Herstellung des Produkts – zu erfüllen.

3 Risikobasierter Ansatz

Sowohl die DSGVO als auch der CRA beruhen auf einem risikobasierten Regelungskonzept. In beiden Fällen richtet sich der Umfang der zu treffenden technischen und organisatorischen Maßnahmen nach der Bewertung der mit der jeweiligen Verarbeitung (DSGVO) bzw. dem jeweiligen Produkt (CRA) verbundenen Risiken.

Trotz dieser gemeinsamen Grundstruktur unterscheiden sich die beiden Regelwerke in wesentlichen Aspekten: Der risikobasierte Ansatz der DSGVO zielt auf den Schutz der Grundrechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Der CRA hingegen dient der Sicherstellung eines angemessenen Cybersicherheitsniveaus für vernetzte Produkte mit digitalen Elementen – unabhängig davon, ob personenbezogene Daten betroffen sind.

Im Folgenden werden die jeweiligen Regelungsansätze systematisch gegenübergestellt. Dabei stehen insbesondere der normative Maßstab der Risikobewertung, die methodische Ausgestaltung sowie die Art der daraus abzuleitenden Schutzmaßnahmen im Fokus.

3.1 DSGVO

Die Datenschutz-Grundverordnung (DSGVO) basiert auf einem risikobasierten Ansatz, der insbesondere in Art. 24, 25, 32 und 35 DSGVO normativ verankert ist. Ziel ist es, den Schutz der Grundrechte und Freiheiten natürlicher Personen durch technische und organisatorische Maßnahmen sicherzustellen, deren Art, Umfang und Intensität sich nach dem mit der konkreten Verarbeitung verbundenen Risiko bemessen.

Verantwortliche sind daher verpflichtet, frühzeitig – idealerweise bereits in der Konzeptionsphase – zu prüfen, welche potenziellen Risiken sich aus einer geplanten oder laufenden Verarbeitung personenbezogener Daten ergeben können. Diese Analyse dient als Grundlage für die Auswahl geeigneter Schutzmaßnahmen. Eine formalisierte Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO ist nur in besonders risikogeneigten Fällen verpflichtend, wohl aber verlangt die DSGVO in jedem Fall eine strukturierte Risikoabwägung. Art. 24 DSGVO verpflichtet Verantwortliche, geeignete Maßnahmen zu treffen, um die Einhaltung der Verordnung sicherzustellen und dies auch nachweisen zu können. Art. 32 konkretisiert diese Pflicht für die Sicherheit der Verarbeitung – insbesondere durch Maßnahmen zur Wahrung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Beide Normen bilden gemeinsam den normativen Kern des risikobasierten Ansatzes.

Art. 24 und 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen dazu, die mit der Verarbeitung verbundenen Risiken systematisch zu bewerten und geeignete technische und organisatorische Maßnahmen zu ergreifen, um diese Risiken auf ein akzeptables Maß zu reduzieren. Wie die Risikobewertung im Einzelnen auszugestalten ist – insbesondere, welches Restrisiko noch als vertretbar gilt – bleibt unbestimmt. Die DSGVO enthält hierzu weder eine Legaldefinition noch eine abschließende Liste von Bewertungskriterien. Die Normen operieren mit offenen Begriffen wie „angemessen“, „geeignet“ oder „erforderlich“, deren Auslegung sich stets am konkreten Risiko orientieren muss. Maßgeblich ist, dass die Maßnahmen in einem angemessenen Verhältnis zur Eintrittswahrscheinlichkeit und zum möglichen Schaden für die betroffene Person stehen. Zur Beurteilung der Risikolage sind nach Art. 24 Abs. 1 S. 1 DSGVO insbesondere folgende Faktoren zu berücksichtigen:

  • Art der Verarbeitung (z. B. besonders sensible Daten),
  • Umfang der Verarbeitung (Menge der Daten und betroffener Personen),
  • Umstände (z. B. ob anonymisiert oder öffentlich einsehbar),
  • Zweck (z. B. De-Pseudonymisierung).

Dabei ist abzuwägen, welche Schäden – etwa Diskriminierung, Identitätsdiebstahl oder Reputationsverlust – entstehen könnten und wie wahrscheinlich deren Eintritt ist. Selbst ein geringer Schaden kann bei hoher Eintrittswahrscheinlichkeit ein hohes Risiko darstellen; umgekehrt kann ein schwerwiegender Schaden durch geringe Eintrittswahrscheinlichkeit relativiert werden.

Zu den daraus abzuleitenden technischen und organisatorischen Maßnahmen zählen unter anderem:

  • Pseudonymisierung und Verschlüsselung: Verhindern, dass unbefugte Dritte personenbezogene Daten ohne zusätzliche Informationen einer Person zuordnen oder einsehen können.
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme: Schützen Daten vor unbefugtem Zugriff, Manipulation, Verlust oder Systemausfällen.
  • Notfallkonzepte zur Wiederherstellung des Zugangs: Stellen sicher, dass bei technischen oder physischen Zwischenfällen ein schneller Zugriff auf die Daten wiederhergestellt werden kann.
  • Regelmäßige Überprüfung der Maßnahmen: Dient der Evaluierung der Wirksamkeit und Anpassung an neue Risiken oder technische Entwicklungen.
  • Berücksichtigung bereits in der Planungsphase („Security by Design“): Sicherheitsanforderungen sollen von Anfang an in die Systemgestaltung integriert werden, nicht erst im laufenden Betrieb.

Ergänzend fordert die DSGVO, dass die Wirksamkeit der eingesetzten Schutzmaßnahmen regelmäßig überprüft, bewertet und gegebenenfalls angepasst wird, um ein dauerhaft angemessenes Schutzniveau sicherzustellen.

Ein wesentliches Umsetzungsproblem des risikobasierten Ansatzes der DSGVO liegt in der fehlenden strukturierten und kontinuierlichen Überwachung der gewählten technischen und organisatorischen Maßnahmen. In der Praxis erfolgt diese Überprüfung meist punktuell, manuell und mit erheblichem Dokumentationsaufwand – etwa im Rahmen klassischer Datenschutzaudits. Eine fortlaufende, risikoadäquate Anpassung der Maßnahmen ist auf dieser Grundlage nur eingeschränkt möglich. Diese Lücke in der Umsetzungspraxis adressieren Gärtner und Selzer mit ihrem Vorschlag zum Einsatz von Datenschutzmetriken als Mittel zur effektiveren Umsetzung des risikobasierten Ansatzes vor. Dabei handelt es sich um Kennzahlen, die den Umsetzungsgrad technischer und organisatorischer Schutzmaßnahmen – etwa in den Bereichen Datenminimierung, Zugriffskontrolle oder Speicherbegrenzung – systematisch und (teil-)automatisiert bewerten. Diese Metrikensysteme erlauben eine objektive, kontinuierliche Erhebung und Auswertung datenschutzrelevanter Zustände innerhalb einer Organisation und können zur frühzeitigen Erkennung von Defiziten beitragen. Dadurch lassen sich Schutzmaßnahmen dynamisch an veränderte Risikolagen anpassen und überdimensionierte Maßnahmen gezielt zurückfahren. Neben einem Effizienzgewinn für Verantwortliche soll durch Metrikensysteme auch die Rechenschaftspflicht gemäß Art. 24 Abs. 1 DSGVO besser erfüllt werden können. Zugleich steige die Nachvollziehbarkeit für Aufsichtsbehörden, und es entstehe ein positiver Anreiz, Datenschutz nicht nur als regulatorische Last, sondern als steuerbares Compliance-Instrument zu begreifen.

Letztlich ist entscheidend, dass Verantwortliche ihre Risikobewertung nachvollziehbar dokumentieren und aufzeigen können, dass die Risiken systematisch geprüft, angemessen gewichtet und mit geeigneten Maßnahmen adressiert wurden – ganz im Sinne des Rechenschaftsprinzips gemäß Art. 5 Abs. 2 DSGVO.

3.2 CRA

Auch der Cyber Resilience Act (CRA) folgt einem risikobasierten Regelungskonzept, das jedoch einen anderen normativen Fokus als die DSGVO aufweist: Während die DSGVO auf den Schutz der Grundrechte natürlicher Personen im Kontext der Datenverarbeitung abzielt, verfolgt der CRA das Ziel, ein einheitlich hohes Niveau der Cybersicherheit für Produkte mit digitalen Elementen in der EU sicherzustellen. Im Mittelpunkt steht dabei der Schutz vor sicherheitsrelevanten Störungen wie unbefugtem Zugriff, Manipulation oder dem Ausnutzen von Schwachstellen – unabhängig davon, ob personenbezogene Daten betroffen sind.

Gemäß Art. 13 Abs. 2 CRA sind Hersteller verpflichtet, vor dem Inverkehrbringen eines Produkts eine systematische Risikobewertung durchzuführen. Diese muss sämtliche Phasen des Produktlebenszyklus abdecken – von der Konzeption über die Entwicklung bis hin zu Wartung und Betrieb – und bildet die Grundlage für die Auswahl geeigneter technischer und organisatorischer Maßnahmen. Letztere sind in Anhang I Teil I der Verordnung konkretisiert.

In Abhängigkeit von der Risikobewertung sind unter anderem folgende Maßnahmen zu ergreifen:

  • Die Produkte dürfen keine bekannten, ausnutzbaren Schwachstellen aufweisen (Anhang I Teil I Abs. 2 lit. a CRA);
  • Schwachstellen müssen durch Sicherheitsaktualisierungen behoben werden können (Anhang I Teil I Abs. 2 lit. c CRA);
  • es sind angemessene Zugriffskontrollen und Schutzmechanismen gegen unbefugten Zugriff vorzusehen
  • (Anhang I Teil I Abs. 2 lit. d CRA).

Die gewählten Maßnahmen sind in die technische Dokumentation gemäß Art. 31 Abs. 1 CRA aufzunehmen und müssen dem identifizierten Risikoniveau angemessen sein. Darüber hinaus besteht gemäß Art. 31 Abs. 2 CRA die Pflicht zur kontinuierlichen Aktualisierung der Risikobewertung während des gesamten Unterstützungszeitraums. Dieser Zeitraum muss so bemessen sein, dass ein angemessenes Schutzniveau über die zu erwartende Nutzungsdauer hinweg sichergestellt ist – mindestens jedoch für fünf Jahre (Art. 13 Abs. 8 CRA).

In der Zusammenschau zeigt sich, dass der CRA einen strukturierten, technisch orientierten Risikobewertungsansatz verfolgt, der stärker auf objektivierbare Kriterien abstellt als die eher offen formulierte DSGVO. Ob und inwieweit dabei auch systematische Instrumente wie das von Gärtner und Selzer entwickelte Metrikensystem zur Anwendung kommen oder weiterentwickelt werden können, bleibt Gegenstand zukünftiger Forschung und regulatorischer Ausgestaltung.

4 Fazit

Same same but different – DSGVO und CRA folgen im Grundsatz derselben Steuerungslogik, nämlich dem risikobasierten Ansatz, setzen jedoch unterschiedliche normative Schwerpunkte. Während die DSGVO auf den Schutz der Grundrechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten abzielt, fokussiert der CRA auf die Gewährleistung der Cybersicherheit vernetzter digitaler Produkte. Wer beide Ansätze nicht isoliert, sondern im Verbund denkt, schafft die Grundlage für ein zukunftsfähiges, kohärentes Risikomanagement im digitalen Raum – eines, das sowohl individuelle Freiheitsrechte als auch die technische Resilienz digitaler Infrastrukturen adressiert.

Beide Verordnungen beruhen auf der Pflicht, Risiken systematisch zu analysieren und entsprechende technische und organisatorische Maßnahmen abzuleiten. Doch bei näherer Betrachtung offenbaren sich grundlegende Unterschiede in Zielrichtung, Adressatenkreis, Risikobegriff und Steuerungsstil:

  • Regulierungsziel: Die DSGVO schützt individuelle Rechte – insbesondere das Grundrecht auf Datenschutz gemäß Art. 8 GRCh – und misst Risiken an potenziellen Beeinträchtigungen für natürliche Personen. Der CRA hingegen adressiert die Funktionsfähigkeit digitaler Produkte und deren Widerstandsfähigkeit gegenüber externen Angriffen – unabhängig vom Personenbezug.
  • Adressatenkreis: Die DSGVO richtet sich an datenverarbeitende Stellen („Verantwortliche“), der CRA dagegen insbesondere an Hersteller vernetzter Produkte. Beide Regelungsbereiche können in ein- und derselben Organisation zusammentreffen – etwa bei Herstellern digitaler Gesundheitsgeräte.
  • Risikoverständnis: Die DSGVO verwendet einen offenen, kontextabhängigen Risikobegriff, der normative Wertungen voraussetzt. Die Beurteilung, was ein „angemessenes Restrisiko“ darstellt, bleibt dem Verantwortlichen überlassen – was in der Praxis erhebliche Rechtsunsicherheiten verursacht. Der CRA hingegen arbeitet mit einem eher objektivierenden Maßstab, etwa durch konkretisierte Vorgaben zu Schwachstellenmanagement und Updatepflichten. Allerdings besteht auch hier weiterer Konkretisierungsbedarf, etwa im Hinblick auf die Ausgestaltung risikoadäquater Maßnahmen über unterschiedliche Produktkategorien und Lebenszyklusphasen hinweg.
  • Maßnahmenbezug und Verbindlichkeit: Beide Verordnungen verlangen „angemessene“ Maßnahmen, doch der CRA spezifiziert diese technischer und verbindlicher – z. B. in Anhang I. Die DSGVO bleibt bewusst flexibel, was die Skalierbarkeit verbessert, zugleich aber Nachvollziehbarkeit und Vergleichbarkeit erschwert.

Gerade in Konstellationen, in denen beide Verordnungen gleichzeitig Anwendung finden entstehen nicht nur Herausforderungen, sondern auch Synergiepotenziale: Eine koordinierte, interdisziplinär konzipierte Risikobewertung kann sowohl datenschutzrechtliche als auch cybersicherheitsbezogene Anforderungen berücksichtigen und dadurch konsistente Schutzkonzepte ermöglichen.

Ein besonders vielversprechender Ansatz liegt in der Weiterentwicklung von Metrikensystemen im Sinne von Gärtner und Selzer. Diese ermöglichen eine systematische, nachvollziehbare Bewertung und Steuerung technischer und organisatorischer Maßnahmen auf Basis standardisierter Kennzahlen. Sie tragen damit nicht nur zur Erfüllung der Rechenschaftspflicht bei, sondern könnten perspektivisch auch auf CRA-relevante Prozesse – wie Produktüberwachung oder Patch-Management – übertragen werden. Eine solche methodische Brücke könnte helfen, beide Regelwerke in einem kohärenten Risikomanagement zu integrieren. Die Herausforderung besteht somit nicht nur in der parallelen Anwendung beider Regelungen, sondern in ihrer konzeptionellen Verschränkung. Wer Datenschutz und Cybersicherheit als zwei Seiten desselben Risikobegriffs versteht, kann nicht nur Doppelarbeit vermeiden, sondern gezielt Effektivität, Effizienz und Transparenz verbessern – im Sinne eines europäischen digitalen Binnenmarkts, der Sicherheit und Grundrechte gleichermaßen wahrt.

Zur einfacheren Lesbarkeit wurden die Literatur- und Quellenverweise entfernt.

Appelt, D. (2026). Same Same but Different?. In: Selzer, A. (eds) Aktuelle Entwicklungen des Rechtsrahmens der Cybersicherheit und Privatheit. ATHENE2025 2025. Rechtsrahmen der Cybersicherheit und Privatheit.

Springer Vieweg, Wiesbaden.

https://doi.org/10.1007/978-3-658-49640-1_3

http://creativecommons.org/licenses/by-nc-nd/4.0/deed.de

Weitere Datenschutz-Themen
Kategorie: Cybersecurity
© Swiss Infosec AG 2026