Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutzbeauftragter

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein zertifizierter externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Serie Betroffenenrechte: Das Recht auf Berichtigung (und Vervollständigung) nach Art. 16 DSGVO

12. September 2019

Nach der Einleitung zu allgemeinen Regelungen des Art. 12 DSGVO und den Erläuterungen zum Auskunftsrecht gem. Art. 15 DSGVO ist dies nun der dritte Beitrag unserer Reihe zu den Betroffenenrechten.

In dem vorliegenden Artikel beschäftigen wir uns mit dem „Recht auf Berichtigung“ (und Vervollständigung), welches man auch als den 2. Akt des Auskunftsrechts betrachten könnte. Sollte eine betroffene Person nach der Auskunft, die ihr erteilt wird, feststellen, dass die sie betreffenden personenbezogenen Daten unrichtig (oder unvollständig) sind, kann sie Berichtigung (oder Vervollständigung) der Daten verlangen. Doch warum die sperrigen Klammerzusätze?

Nun, die Regelung des Art. 16 DSGVO besteht aus lediglich zwei Sätzen und ist vergleichsweise kurz. Sie ist überschrieben mit „Recht auf Berichtigung“, allerdings ist hier der Name leider nicht das Programm, wie man anhand unserer Überschrift und der Ergänzungen in den Klammern bereits feststellen konnte. Die Norm bestimmt in Satz 1 in welchem Umfang, in welchem Zeitrahmen sowie in welcher Form die Berichtigung der unrichtigen personenbezogenen Daten verlangt werden kann. Eher unbekannt ist dabei die Regelung in Satz 2. Hier wird geregelt, dass neben dem Recht, die Berichtigung unrichtiger Daten zu verlangen, eine betroffene Person die unvollständigen Daten vervollständigen lassen kann.

Mit unserem heutigen Artikel möchten wir über die wesentlichen Inhalte der Regelung des Art. 16 DSGVO informieren und Ihnen einige Handlungsempfehlungen für den richtigen Umgang mit dem Berichtigungs- und dem Datenvervollständigungsanspruch einer betroffenen Person geben. Doch bevor wir uns mit dem „wie“ beschäftigen, ist es wichtig, sich zunächst mit dem „was“ zu befassen und ein paar Begrifflichkeiten zu klären.

Was sind unrichtige personenbezogene Daten?

Eine Analyse, ob ein Datum „richtig“ oder „unrichtig“ ist, setzt voraus, dass das zu analysierende Objekt – hier das Datum – etwas ist, was dem Beweis zugänglich ist. Die personenbezogenen Daten, die korrigiert oder vervollständigt werden sollen, dürfen somit grundsätzlich keine Werturteile darstellen, die zwar ebenfalls personenbezogene Daten sein, jedoch nie „richtig“ oder „unrichtig“ sein können, weil sie das Ergebnis einer subjektiven Stellungnahme bilden. Deren Richtigkeit kann nicht mit Gewissheit festgestellt werden kann. Die Grenze ist dabei jedoch fließend und auch Werturteile sind ausnahmsweise zu erfassen und die Daten zu berichtigen sofern diese Werturteile auf unrichtigen oder unvollständigen Tatsachen basieren. Falls die Erläuterung zu abstrakt klingt – hier ein kurzes Beispiel: Ein Patient erhält eine Diagnose zu seinem Geisteszustand, die ihm nicht zusagt – beispielsweise die Feststellung des Vorliegens einer Schizophrenie. In diesem Fall wird er natürlich nicht einfach aus dem Grund eine „Berichtigung“ verlangen können, dass ihm diese Diagnose nicht gefällt. Sollte die Diagnose jedoch aufgrund von falschen zugrunde gelegten Tatsachen oder aufgrund von handwerklichen Fehlern zustande gekommen sein, dann wäre ein Berichtigungsanspruch denkbar.

Ob eine Tatsache, ein Datum unrichtig ist, wird durch einen Vergleich der Tatsache bzw. des Datums mit der objektiven Realität festgestellt. Alles, was in einem Widerspruch zur objektiven Sachlage steht, ist „unrichtig“ und muss berichtigt werden.

Was sind unvollständige personenbezogene Daten?

Wenn wir festgestellt haben, dass richtige Daten verarbeitet werden (siehe obige Ausführungen bezüglich der Unrichtigkeit der Daten), bei denen jedoch die Richtigkeit allein nicht ausreicht, um die Zwecke der Datenverarbeitung zu erreichen, weil bestimmte Informationen fehlen, handelt es sich um unvollständige personenbezogene Daten. Die richtigen personenbezogenen Daten sind dann um Informationen zu ergänzen, die zu einer richtigen Sachverhaltseinschätzung und der Zweckerreichung führen.

Beispielsweise wären Angaben über einen Schuldner um die schuldbefreienden Informationen (geleistete Zahlungen, Gegenrechte, etc.) zu ergänzen, soweit diese im entsprechenden Datensatz fehlen. Dagegen jedoch nicht, wenn die Zweckerreichung auch ohne die Ergänzung sichergestellt wäre, denn dies würde dem Datenminimierungsgrundsatz widersprechen. Eine Personalausweiskopie sowie die vollständigen Personalausweisinformationen (Ausweisnummer, Gültigkeitsdauer, Staatsangehörigkeit, Geburtsort, Augenfarbe und Größe, etc.) sind in der Regel nicht erforderlich, um die meisten geschäftlichen Zwecke zu erreichen. Selbst wenn solche Daten verarbeitet würden und eine betroffene Person ihre Vervollständigung verlangen würde, müsste dieses Verlangen im Hinblick auf den Datenminimierungsgrundsatz kritisch hinterfragt werden.

Was ist der Zeitrahmen für die Anspruchserfüllung?

In zeitlicher Hinsicht ist zu beachten, dass der Verantwortliche eine Berichtigung bzw. Vervollständigung unverzüglich, also ohne schuldhaftes Zögern, vornehmen muss. Dies wird insbesondere durch viele betroffene Personen im Sinne von „sofort“ und „auf erstes Anfordern“ (miss)verstanden. Dass es jedoch keinesfalls „sofort“ zu erfolgen hat, zeigt die Regelung des Art. 18 Abs. 1 lit. a DSGVO, denn danach kann eine betroffene Person (aktiv) Einschränkung der Verarbeitung verlangen, wenn der Verantwortliche für die Überprüfung der Begründetheit eines Berichtigungs- bzw. Vervollständigungsantrags längere Zeit benötigt. In diesem Fall wäre jedoch zu berücksichtigen, dass sobald eine betroffene Person von Ihrem Recht auf Einschränkung der Verarbeitung Gebrauch gemacht hat, die Verarbeitung sich auf reine Speicherung gem. Art. 18 Abs. 2 DSGVO beschränkt, so dass ein ggf. zu berichtigender oder zu vervollständigender Beitrag in einem Internetforum nicht mehr veröffentlicht werden darf und bis zur endgültigen Klärung dem Zugriff der Öffentlichkeit zu entziehen wäre.

Der Verantwortliche kann sich allerdings bei der Prüfung nicht beliebig viel Zeit lassen, denn hier greift die Regelung des Art. 12 Abs. 3 S. 1 DSGVO, nach der für die Bearbeitung der Anträge aus Art. 15 – 22 DSGVO dem Verantwortlichen in zeitlicher Hinsicht maximal ein Monat (ab Eingang des Antrags) vom Gesetzgeber gewährt wird. Eine Fristverlängerung ist gem. Art. 12 Abs. 3 S. 2 DSGVO um weitere 2 Monate nur bei komplexen Sachverhalten oder einer großen Anzahl an Anträgen möglich. Über die Fristverlängerung ist der Antragsteller unter Angabe der Verzögerungsgründe zu informieren gem. Art. 12 Abs. 3 S. 3 DSGVO.

Gibt es Anspruchsbeschränkungen?

Der Anspruch aus Art. 16 DSGVO wird in der DSGVO nicht unmittelbar beschränkt. In den Artt. 23 sowie 89 Abs. 2 und 3 DSGVO wird in der Verordnung für den nationalen Gesetzgeber jedoch die Möglichkeit eröffnet (Stichwort „Öffnungsklausel“), für den Berichtigungs- und Vervollständigungsanspruch Schranken einzuführen. Von einer solchen Möglichkeit hat der deutsche Gesetzgeber Gebrauch gemacht und den Anspruch in § 27 Abs. 2 BDSG für Forschungs- und Statistikzwecke beschränkt.

Der Anspruch einer betroffenen Person auf Berichtigung bzw. Vervollständigung der Daten wird übrigens auch nicht etwa dadurch beschränkt, dass die betroffene Person zuvor selbst falsche Angaben (z.B. aus Unachtsamkeit oder Versehen) gemacht hat. Der Anspruch aus Art. 16 DSGVO ist verschuldensunabhängig.

Handlungsempfehlungen für die Praxis

Gerade im Hinblick auf die vergleichsweise kurze Reaktionszeit, die dem Verantwortlichen eingeräumt wird, ist es wichtig, dass Verantwortliche in ihrer Organisation ein Berichtigungs- und Vervollständigungsverfahren etablieren, welches die Bearbeitung der Berichtigungs- und Vervollständigungsanträge und (unverzügliche) Reaktion darauf sicherstellt. Bezüglich der Prozessgestaltung wird vorliegend auf die Ausführungen in unserem Artikel zum Auskunftsrecht gem. Art. 15 DSGVO verwiesen, denn auch im Rahmen des Anspruchs gem. Art. 16 DSGVO sind die einzelnen Schritte (Annahme der Anträge, Eingangsbestätigung, Identifizierung/Legitimierung, etc.) in den Prozess zu implementieren. Die Berichtigungs- und Vervollständigungsverfahren sind durch entsprechende Handlungsanweisungen organisationsweit zu kommunizieren.

Zudem ist sicherzustellen, dass die Prozesse zur Prüfung und Bewertung der „Unrichtigkeit“ der Daten in der Organisation festgelegt sind, so dass die Prüfung anhand möglichst klarer und eindeutiger Prüfkriterien zügig durchgeführt werden kann. Wie bei allen Betroffenenrechten ist auch hier eine Identitätsfeststellung zulässig und häufig auch notwendig. Letztlich muss vermieden werden, dass Personen für andere Personen unbefugt Änderungen an den gespeicherten Daten erwirken.

Im Rahmen der festgelegten Berichtigungs- und Vervollständigungsverfahren ist sicherzustellen, dass bei gleichzeitiger Geltendmachung sowohl des Rechts auf Berichtigung aus Art. 16 DSGVO als auch des Rechts aus Art. 18 Abs. 1 lit. a DSGVO auf Einschränkung der Verarbeitung eben diese Einschränkung möglich ist und umgehend umgesetzt werden kann.

Zudem sind in organisatorischer Hinsicht Prozesse einzuführen, die auch die Erfüllung der Mitteilungspflichten aus Art. 19 DSGVO (Mitteilung über jede durchgeführte Berichtigung/Vervollständigung an alle Datenempfänger) sicherstellen.

Fazit

Man erkennt, dass sich eine auf den ersten Blick klare und einfache Regelung bei näherer Betrachtung als ein sehr komplexer Mechanismus erweist. Damit dieser reibungslos funktioniert, sind eine Menge an organisatorischen Maßnahmen zu veranlassen. Die „Mechanik“ muss vorhanden sein und die Verantwortlichen müssen im eigenen Interesse dafür sorgen, dass sie stets zuverlässig und gut funktioniert.

Sind Sie unsicher, ob Sie alle Anspekte der Betroffenenrechte rechtskonform umgesetzt haben? Sprechen Sie uns an, wir helfen Ihnen gerne!

 

Dieser Artikel ist Teil unserer Reihe zu den Betroffenen-Rechten. Die anderen finden Sie hier:

  • Teil 1: Allgemeine Regelungen
  • Teil 2: Auskunft / Art. 15
  • Teil 3: Berichtigung / Art. 16 (dieser Artikel)
  • Teil 4: Löschung / Art. 17 (zukünftig)
  • Teil 5: Einschränkung der Verarbeitung / Art. 18 (zukünftig)
  • Teil 6: Datenübertragbarkeit / Art. 20 (zukünftig)
  • Teil 7: Widerspruch / Art. 21 (zukünftig)
  • Teil 8: Beschwerde bei der Aufsichtsbehörde / Art. 77 (zukünftig)
  • Teil 9: Widerruf einer Einwilligung / Art. 7 (zukünftig)