VG Wiesbaden: Konsequenzen fehlender Datenschutzfolgenabschätzungen
In einem Urteil vom 18.12.2024 (6 K 1563/21) hat sich das Verwaltungsgericht (VG) Wiesbaden mit den Konsequenzen fehlender oder fehlerhaft durchgeführten Datenschutzfolgenabschätzungen beschäftigt. In diesem Zusammenhang hat das Gericht festgestellt, dass zwar hierdurch Formvorschriften nicht eingehalten werden, dies allerdings nichts an der materiellen Rechtmäßigkeit einer Datenverarbeitung ändert.
Hintergrund zum Fall
Seit August 2021 müssen aufgrund § 5 Abs. 5, 9, § 9 Abs. 3 des Personalausweisgesetzes, dass EU-Verordnung 2019/1157 umsetzt, Fingerabdrücke in deutschen Personalausweisen gespeichert werden. Im vorliegenden Fall beantragte ein Bürger einen neuen Personalausweis bei der Stadt Wiesbaden. Er verweigerte jedoch die Abgabe seiner Fingerabdrücke. Die Stadt lehnte daraufhin die Ausweisausstellung ab. Das mit dem Fall befasste VG Wiesbaden zweifelte an der Rechtmäßigkeit dieser Pflicht und wandte sich deshalb an den Europäischen Gerichtshof (EuGH). Der EuGH stellt daraufhin fest, dass die Fingerabdruckspflicht für den Personalausweis grundsätzlich rechtmäßig ist.
Urteil des VG Wiesbaden
Das VG Wiesbaden hatte nun unter Berücksichtigung des EuGH-Urteils den Fall abschließend zu entscheiden. Zunächst bestätigte es, dass weiterhin die Pflicht zur Abgabe der Fingerabdrücke bestünde. In diesem Zusammenhang stellte es auch fest, dass es für die Frage, ob die Datenverarbeitung rechtmäßig ist, nicht auf die Durchführung einer Datenschutzfolgenabschätzung (DSFA) ankommt.
Was ist eine Datenschutzfolgenabschätzung?
Viele verstehen unter einer DSFA laienhaft eine Prüfung über die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten. Völlig richtig ist das allerdings nicht. Sie dient dazu, potenzielle Risiken frühzeitig zu erkennen und geeignete Schutzmaßnahmen zu ergreifen. Eine DSFA umfasst insbesondere eine systematische Beschreibung der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit sowie eine Risikobewertung mit geplanten Gegenmaßnahmen. Falls verbleibende Risiken bestehen, muss die zuständige Datenschutzbehörde konsultiert werden.
Ist eine Datenschutzfolgenabschätzung immer verpflichtend?
Verpflichtend ist die Durchführung einer DSFA gemäß Art. 35 Abs. 1 Datenschutzgrundverordnung (DSGVO) nur, wenn die Datenverarbeitung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen einhergehen wird.
Hat eine fehlende DSFA Auswirkungen auf die Rechtmäßigkeit?
Konsequent zum Sinn und Zweck der DSFA, kann sie sich auch nicht auf die Rechtmäßigkeit einer Datenverarbeitung auswirken. Das hat nun auch das VG Wiesbaden bestätigt. Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten bestimmt sich nämlich laut eines Urteils des EuGH lediglich danach, ob eine Rechtsgrundlage gemäß Art. 6 DSGVO vorliegt. Das bedeutet, dass ein Verarbeitungsvorgang auch trotz fehlender oder inkorrekter DSFA rechtmäßig sein kann.
Warum muss ich dann trotzdem eine DSFA durchführen?
Wie bereits oben erwähnt, besteht in bestimmten Konstellationen eine rechtliche Pflicht zur Durchführung einer DSFA – und zwar wenn ein hohes Risiko für Betroffene existiert. Diese hat auch klare praktischen Vorteile. Zum einen schützt es die Interessen von Betroffenen. Zudem kann sie auch vor Datenschutzverletzungen bewahren, die für Unternehmen mit hohen Schadensersatzforderungen einhergehen können. Bei einer Verletzung von Datenschutzrecht drohen zudem Bußgelder in Höhe von bis zu 10 Millionen Euro oder bei Unternehmen von bis zu 2 Prozent des globalen Jahresumsatzes des vorherigen Geschäftsjahres.
Fazit
Überraschend kommt dieses Urteil nicht. Ein Großteil der literarischen Meinung folgt dieser Einschätzung schon lange. Richterlich geklärt, war das Thema bislang allerdings nicht. Insofern hat das VG Wiesbaden bezüglich der Konsequenzen fehlender Datenschutzfolgenabschätzungen Klarheit geschaffen.
