Datenschutz-Folgenabschätzung und materielle Zulässigkeit der Datenverarbeitung

Das Verwaltungsgericht Wiesbaden (6 K 1563/21.WI) hat klargestellt, dass eine unterlassene oder fehlerhafte -Folgenabschätzung (DSFA) nicht die materielle Rechtmäßigkeit einer Datenverarbeitung berührt. Diese Entscheidung wirft grundlegende Fragen über das Verhältnis zwischen Datenschutz- und der inhaltlichen Bewertung von Datenverarbeitungsprozessen auf.

Sachverhalt

Der Kläger begehrte die Ausstellung eines Personalausweises ohne Speicherung von Fingerabdrücken auf dessen Chip. Die beklagte Behörde lehnte dies mit Verweis auf die seit dem 1. August 2021 geltende Verpflichtung zur Abgabe von Fingerabdrücken gemäß Art. 3 Abs. 5 der Verordnung (EU) 2019/1157 ab. Der Kläger rügte unter anderem, dass eine Datenschutz-Folgenabschätzung für die Speicherung der Fingerabdrücke nicht erfolgt oder fehlerhaft durchgeführt worden sei. Er argumentierte, dass dies die gesamte Verarbeitung unzulässig mache.

Das VG Wiesbaden wies die jedoch ab und stellte klar, dass die unterlassene oder fehlerhafte DSFA keine Auswirkungen auf die materielle Zulässigkeit der Datenverarbeitung habe.

Rechtliche Würdigung

Die Entscheidung des Gerichts stützt sich auf eine differenzierte Betrachtung der Datenschutz-Grundverordnung (), insbesondere auf die Regelungen zur Datenschutz-Folgenabschätzung in Art. 35 DSGVO.

1. Zweck der Datenschutz-Folgenabschätzung

Die DSFA dient gemäß Art. 35 Abs. 1 DSGVO dazu, die Risiken für die Rechte und Freiheiten natürlicher Personen zu bewerten und geeignete Maßnahmen zur Risikominderung zu ergreifen. Sie ist eine präventive Maßnahme, die datenverarbeitende Stellen dazu verpflichtet, vor der Einführung einer risikobehafteten Verarbeitung die möglichen Folgen abzuschätzen.

Das VG Wiesbaden betonte, dass die DSFA eine organisatorische Pflicht darstellt, die jedoch nicht als materielle Rechtmäßigkeitsvoraussetzung für die Datenverarbeitung an sich zu verstehen ist. Dies bedeutet, dass eine fehlende oder unzureichende DSFA zwar einen Datenschutzverstoß darstellen kann, aber nicht automatisch zur Unzulässigkeit der Verarbeitung führt.

2. Verhältnis zur materiellen Zulässigkeit der Datenverarbeitung

Die Zulässigkeit einer Datenverarbeitung richtet sich nach den materiellen Vorgaben der DSGVO, insbesondere nach Art. 6 (Rechtmäßigkeit der Verarbeitung) und Art. 9 (Verarbeitung besonderer Kategorien personenbezogener Daten).

Das Gericht machte deutlich, dass die Verpflichtung zur Abgabe von Fingerabdrücken in Personalausweisen auf einer unionsrechtlichen Regelung (Art. 3 Abs. 5 VO (EU) 2019/1157) beruht und daher unabhängig von der Durchführung einer DSFA rechtmäßig ist. Dies bedeutet, dass eine fehlerhafte DSFA nicht dazu führen kann, eine inhaltlich zulässige Verarbeitung rechtswidrig zu machen.

3. Sanktionen bei unterlassener oder fehlerhafter DSFA

Eine nicht oder fehlerhaft durchgeführte DSFA kann eine Verletzung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) darstellen und durch die zuständige Aufsichtsbehörde geahndet werden. Dies kann Bußgelder gemäß Art. 83 Abs. 4 DSGVO nach sich ziehen. Allerdings berührt dies nicht die Rechtmäßigkeit der eigentlichen Datenverarbeitung, sondern betrifft ausschließlich die datenschutzrechtlichen Compliance-Verpflichtungen des Verantwortlichen.

Auswirkungen der Entscheidung

Die Klarstellung des VG Wiesbaden hat weitreichende Folgen für die Praxis:

  • Abgrenzung zwischen Compliance-Verstößen und materieller Zulässigkeit: Verantwortliche müssen zwar die DSFA-Vorgaben einhalten, jedoch bedeutet eine Nichteinhaltung nicht automatisch, dass die gesamte Verarbeitung rechtswidrig ist.
  • Rechtsfolgen einer fehlerhaften DSFA: Sanktionen für eine fehlende oder fehlerhafte DSFA betreffen die datenverarbeitende Stelle organisatorisch (z. B. Bußgelder), aber sie gefährden nicht notwendigerweise die Zulässigkeit des gesamten Verarbeitungsvorgangs.
  • Stärkung des unionsrechtlichen Primats: Die Entscheidung bestätigt, dass EU-rechtlich geregelte Datenverarbeitungen nicht durch nationale oder organisatorische Datenschutzverstöße infrage gestellt werden können.

Auch wenn eine fehlende oder mangelhafte Datenschutz-Folgenabschätzung nicht automatisch die materielle Zulässigkeit einer Verarbeitung infrage stellt, wäre es fatal, daraus die falsche Schlussfolgerung zu ziehen: Die DSFA ist kein bürokratisches Hindernis, sondern ein zentrales Steuerungsinstrument, um Datenschutzrisiken frühzeitig zu erkennen und Betroffene bestmöglich zu schützen. Eine nachlässige Haltung kann sich spätestens dann rächen, wenn Aufsichtsbehörden oder Gerichte genauer hinsehen – oder Betroffene ihre Rechte geltend machen.

Fazit

Das Urteil des VG Wiesbaden schafft eine wichtige Klarstellung im Datenschutzrecht: Die Datenschutz-Folgenabschätzung ist ein wesentliches Compliance-Instrument, aber kein Dogma, das die materielle Zulässigkeit der Datenverarbeitung bedingt. Verantwortliche müssen sich ihrer Verpflichtungen bewusst sein, sollten jedoch wissen, dass eine fehlerhafte DSFA nicht automatisch zur Unzulässigkeit der Datenverarbeitung führt.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.