Nicht durchgeführte Datenschutz-Folgenabschätzung – keine Auswirkung auf die materielle Rechtmäßigkeit einer Datenverarbeitung

Das Verwaltungsgericht (VG) Wiesbaden hat kürzlich entschieden, dass sich eine nicht oder fehlerhaft durchgeführte Datenschutz-Folgenabschätzung nicht auf die materielle Zulässigkeit des Verarbeitungsvorgangs personenbezogener Daten auswirkt (Urteil vom 18.12.2024, Az. 6 K 1563/21.WI).

Für Personen, die sich täglich mit dem Thema Datenschutz auseinandersetzen, ist dies keine überraschende Erkenntnis. So hat das VG Wiesbaden in seinem Urteil wörtlich aus einigen der führenden Kommentare zur DSGVO zitiert.

Dennoch ist es erfreulich, dass es zu dieser Thematik nun ein klares Urteil gibt. Der Begriff Datenschutz-Folgenabschätzung (DSFA) wird im Alltag allzu häufig gleichgesetzt mit einer „Rechtmäßigkeitsprüfung“, welche – nach häufiger Laienansicht – „immer“ durchzuführen ist, wenn personenbezogene Daten verarbeitet werden.

Zweck einer Datenschutz-Folgenabschätzung

Grundsätzlich ist eine DSFA aber tatsächlich nur dann obligatorisch, wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (siehe Art. 35 Abs. 1 DSGVO). Mit der DSFA sollen die bestehenden Risiken benannt und bewertet sowie erforderlichenfalls geeignete Abhilfemaßnahmen identifiziert werden.

Darauf, ob eine Verarbeitung personenbezogener Daten überhaupt stattfinden darf, hat die DSFA aber keinen Einfluss. Die Rechtmäßigkeit einer Verarbeitung bestimmt sich nur danach, ob es eine Rechtsgrundlage aus Art. 6 DSGVO für die Verarbeitung gibt (EuGH, Urteil vom 04.05.2023 – C-60/22, wir berichteten).

Wenn eine DSFA gar nicht oder falsch durchgeführt wird, kann eine Datenverarbeitung daher dennoch zulässig sein.

Zurücklehnen und alles ist gut?

Auch wenn eine DSFA somit zwar keine Auswirkungen auf die materielle Rechtmäßigkeit einer Verarbeitung hat, wäre es keine gute Idee, daher stets auf die Anfertigung zu verzichten. Die Durchführung von DSFAs ist eine formelle Pflicht von Verantwortlichen, wenn – wie oben dargestellt – hohe Risiken für die Betroffenen bestehen. Ein Verstoß gegen diese Pflicht kann mit Bußgeldern von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden (siehe Art. 83 Abs. 4 DSGVO). Zudem erfüllt die DSFA eben auch den ganz praktischen Nutzen, Datenverarbeitungen möglichst so zu gestalten, dass die Rechte und Freiheiten natürlicher Personen, die mit Datenverarbeitungen einhergehen können, bestmöglich gewahrt bleiben.

Daher gilt: DSFAs sind gewissenhaft durchzuführen und so, dass sie ihren Zweck auch wirklich erreichen können.