Zum Inhalt springen Zur Navigation springen
Grundsatz der Richtigkeit in der DSGVO

Grundsatz der Richtigkeit in der DSGVO

Artikel von Christopher Schewior·30. Mai 2023

Die Richtigkeit von personenbezogenen Daten ist einer der Grundsätze in der DSGVO. Dieser ist in Art. 5 Abs. 1 lit. d) DSGVO ausdrücklich genannt. In der datenschutzrechtlichen Praxis scheint die Richtigkeit von Daten keine große Rolle zu spielen. Meist wird eher über Rechtsgrundlagen oder die Zwecke der Datenverarbeitung diskutiert. Allerdings ist gerade dafür die Richtigkeit der Daten von entscheidender Bedeutung.

Was besagt der Grundsatz der Richtigkeit von Daten?

Gemäß Art. 5 Abs. 1 lit. d) DSGVO müssen personenbezogene Daten

„sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“).“

Doch was heißt das genau? Der EuGH hat in einem Urteil aus dem Jahr 2017 erklärt, dass die Richtigkeit und die Vollständigkeit personenbezogener Daten im Hinblick auf den Zweck zu beurteilen seien, für den die Daten erhoben wurden. Daraus folgt, dass die Richtigkeit von Daten stets im Zusammenhang mit überprüfbaren Tatsachen stehen müssen. Da Daten also eine reale Situation widerspiegeln sollen, ist es auch möglich, dass sich die Richtigkeit oder Unrichtigkeit ändern kann. Ein einfaches Beispiel ist die Änderung einer Anschrift, etwa nach einem Umzug. Zwar ist die bisherige Adresse grundsätzlich „richtig“, da die Anschrift generell noch existiert. Allerdings in Bezug auf die Person, welche dort nicht mehr wohnt, ist die Anschrift unrichtig (geworden) im Sinne des Art. 5 Abs. 1 lit. d) DSGVO. Der jeweilige Kontext der Daten zum realen Sachverhalt ist daher immer entscheidend.

Datenwahrheit: Beurteilung der Richtigkeit

Die Bedeutung der Richtigkeit von personenbezogenen Daten ist für betroffene Personen von hoher Bedeutung. Oftmals sind Daten die Grundlage für Entscheidungen Dritter mit großer rechtlicher Tragweite. So kann es vorkommen, dass eine Person einen benötigten Kredit oder einen Mietvertrag nicht bekommt, weil die befragte Wirtschaftsauskunftei den Score-Wert auf Grund veralteter Daten errechnet hat. Auch dieses Beispiel zeigt, dass der konkrete Zeitpunkt bei der Beurteilung der Richtigkeit eine entscheidende Rolle spielt. Der Verantwortliche hat daher die Pflicht, personenbezogene Daten aktuell zu halten. Er muss also Maßnahmen treffen, die es verlässlich ermöglichen, unrichtig gewordene personenbezogene Daten – natürlich auf den konkreten Zweck oder den konkreten Zeitpunkt bezogen – unverzüglich zu löschen zu korrigieren. Insgesamt muss der Verantwortliche daher gewährleisten, dass die Daten die jeweilige betroffene Person und deren konkrete Verhältnisse sachlich richtig darstellen (Datenwahrheit).

Der Verantwortliche muss hierbei gegebenenfalls proaktiv tätig werden. Wenn etwa der Arbeitgeber erfährt, dass ein Mitarbeiter eine neue Anschrift hat – z. B. durch eine Behörde – sollte der Arbeitgeber dies umgehend verifizieren. Eng damit zusammen hängt natürlich das Recht auf Berichtigung einer betroffenen Person nach Art. 16 DSGVO. Das Recht auf Berichtigung ist ein datenschutzrechtlicher Anspruch. Spätestens dann muss der Verantwortliche entsprechend tätig werden. Je länger der Zeitpunkt zurückliegt, in welchem die Daten erhoben worden sind, desto mehr steigt grundsätzlich die Wahrscheinlichkeit, dass die Daten in der Zwischenzeit unrichtig geworden sind.

Datenaktualität und Datenvollständigkeit

Elementare Voraussetzung für die Richtigkeit von Daten ist zudem, dass die Datensätze aktuell und vollständig sind. Vor allem die Datenaktualität hängt eng zusammen mit der Datenwahrheit. Dies wird am oben genannten Beispiel des Adresswechsels deutlich. Auch gibt es Datensätze, die im Laufe der Zeit ihre Bedeutung verlieren, etwa arbeitsrechtliche Abmahnungen oder Bußgelder im Straßenverkehr. Hier können neue Daten hinzukommen, etwa bei einem weiteren Bußgeldbescheid. Dies lässt die vorherigen Daten aber nicht automatisch veralten. Entscheidend ist also auch hier, dass für jeden Einzelfall stets eine Rechtsgrundlage für die Datenspeicherung vorliegen muss.

Da Daten nur dann richtig sein können, wenn der jeweilige Datensatz vollständig ist, sollten Verantwortliche für jeden Verarbeitungsprozess Faktoren definieren, um den Zweck der Verarbeitung bestmöglich erreichen zu können. Scheinbar kleine Details wie ein nicht korrekt erfasster Zahlungseingang können große Auswirkungen auf die betroffene Person haben. Ohne vollständige Angaben ist eine ordnungsgemäße Vertragserfüllung – also der Zweck der Datenverarbeitung – nicht möglich. Aus diesem Grund empfiehlt es sich, das Verarbeitungsverzeichnis nach Art. 30 DSGVO sorgfältig zu führen. Hier kann insbesondere der Verarbeitungszweck genau definiert werden.

Welche Pflichten gibt es bei Kenntnisnahme unrichtiger Daten?

In der Praxis wird meist die betroffene Person auf den Verantwortlichen zugehen und die neuen Informationen wie eine neue Anschrift oder auch eine geleistete Zahlung mitteilen. Formell handelt es sich dabei meist um die Ausübung des Anspruchs aus Art. 16 DSGVO. Dies löst eine Reihe von Pflichten des Verantwortlichen aus.

Überprüfungs- und Berichtigungspflicht

Da der Verantwortliche nach Art. 5 Abs. 1 lit. d) DSGVO die Pflicht hat, unrichtige Daten unverzüglich zu korrigieren oder zu löschen, muss er die Richtigkeit der Daten aktiv überprüfen. Unverzüglich meint dabei – wie ohne schuldhaftes Zögern. Dies bedeutet, dass zwar die Bearbeitung des Antrags sofort erfolgen muss. Allerdings kann die Beantwortung im Einzelfall aber auch längere Zeit in Anspruch nehmen, wenn die betroffene Person beispielsweise noch die Nachweise vorlegen muss, aus welchen sich die korrekten Daten erst ergeben. Oftmals muss der Verantwortliche die Identität des Antragstellers überprüfen.

Dies wird vor allem relevant, wenn der Antrag mündlich oder telefonisch erfolgt. Eine Identifikation kann beispielsweise durch den Abgleich mit dem Geburtsdatum oder mit einem Ausweisdokument erfolgen. Auch mit der Vorlage eines Zahlungsbelegs lässt sich die Richtigkeit der Daten meist schnell überprüfen. Wenn sich herausstellt, dass die bisherigen Daten veraltet sind und nicht mehr gebraucht werden, müssen die Daten gelöscht werden. Dies ergibt sich ebenfalls aus Art. 5 Abs. 1 DSGVO, hier zudem i. V. m. Art. 17 Abs. 1 DSGVO. In der Phase der Überprüfung ist die betroffene Person geschützt. Sie kann das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO geltend machen. Dann muss der Verantwortliche die Daten im Regelfall sperren und darf die Daten nicht weiterverarbeiten.

Mitteilungspflicht gegenüber Dritten

Gemäß Art. 19 DSGVO muss der Verantwortliche die betroffene Person benachrichtigen, wenn u. a. eine Berichtigung der Daten stattgefunden hat. Dadurch soll der Grundsatz der Transparenz gegenüber den Betroffenen erfüllt werden. Die Mitteilung gegenüber Betroffenen ist nicht an eine Form gebunden, sie kann also auch mündlich erfolgen. Zum Zwecke der Dokumentation ist aber sicherlich eine Mitteilung zumindest in Textform zu empfehlen.

LLM, Big Data und KI: Probleme für den Grundsatz der Richtigkeit

Die genannten Punkte und Beispiele aus der Praxis zeigen, dass die Datenrichtigkeit ein ziemlich fragiles Konstrukt ist. Hinzu kommt, dass die Richtigkeit von Daten vermehrt durch aktuelle Entwicklungen wie Big Data oder Künstliche Intelligenz bedroht ist. Unter Big Data versteht man grundsätzlich eine Datensammlung, die so groß ist, dass sie nicht mehr mit traditionellen Datenbanken zu verarbeiten sind. Solche enorm großen und zunächst unstrukturierten Information werden zumeist eingesetzt, um ökonomisch verwertbare Ergebnisse zu gewinnen oder um Zusammenhänge, Prognosen oder Schätzungen zu bestimmten Ereignissen herstellen zu können. Bei diesen nur schwer greifbaren Datenmengen liegt es auf der Hand, dass der Grundsatz der Transparenz nur schwer einzuhalten ist.

Aber auch Künstliche Intelligenz stellt die Richtigkeit von Daten vor ungeahnte Herausforderungen. Als Paradebeispiel ist hier natürlich ChatGPT zu nennen. Dieser Chatbot, welcher auf Künstlicher Intelligenz beruht, kann zwar Texte oder Antworten generieren, die denen eines Menschen durchaus ähneln. Allerdings findet keinerlei Kontrolle bezüglich der Richtigkeit oder des Wahrheitsgehalts der Informationen statt, mit welcher man ChatGPT füttert. Dies liegt vor allem daran, dass ChatGPT keinen Echtzeitzugriff auf das Internet hat, sondern nur über die Informationen verfügt, mit welchen die Software „trainiert“ worden ist. Dies ist aber nicht der einzige Grund, warum die italienische Aufsichtsbehörde die Nutzung von ChatGPT zwischenzeitlich untersagt hatte. Erst kürzlich sind nun auch deutsche Aufsichtsbehörden wegen ChatGPT aktiv geworden.

Interessant ist daher auch folgende Aussage des Entwicklers von ChatGPT, dem US-amerikanischen Unternehmen OpenAI:

“OpenAI stipulates that individuals can seek to exercise such rights over personal information that may be included in its training information by emailing dsar@openai.com. However, the company told the Italian regulator that correcting inaccurate data generated by its models is not technically feasible at this point.”

Die Büchse der Pandora scheint geöffnet worden zu sein. Die Entwicklung zur Künstlichen Intelligenz wird die Datenschutzwelt in den kommenden Jahren sicherlich noch weiter in Atem halten.

DSGVO-Bußgelder bei Verstößen gegen die Grundsätze

Und was kann passieren, wenn Unternehmen gegen den Grundsatz der Richtigkeit verstoßen? Klar, Bußgelder sind natürlich immer möglich. Verstöße gegen die Grundsätze der Datenverarbeitung können mit dem sogenannten „großen“ Bußgeld belegt werden gemäß Art. 83 Abs. 5 DSGVO. Hier drohen Bußgelder in Höhe von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. Verstöße gegen den Grundsatz der Richtigkeit können böse Folgen für die Betroffenen haben. Wer möchte schon zu Unrecht auf einer Fahndungsliste der Steuerbehörde landen? Ähnlich dramatisch kann es ausgehen, wenn Patientenakten verwechselt werden. Auch möchte vermutlich niemand, dass private Informationen gegenüber Dritten offengelegt werden. Daneben können die Datenschutzaufsichtsbehörden theoretisch sämtliche Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO ergreifen, also zum Beispiel (Ver-)Warnungen aussprechen oder die monierte Datenverarbeitung untersagen.

Ein Grundsatz ohne Ausnahme!

In der juristischen Welt im Allgemeinen und in der Datenschutzwelt gilt meistens, dass es keinen Grundsatz ohne eine Ausnahme gibt. Bei den Grundsätzen des Datenschutzes ist aber tatsächlich so, dass diese immer zu beachten sind. Die oben genannten Beispiele zeigen, dass Fehler und Unregelmäßigkeiten bei der Datenverarbeitung schwerwiegende Folgen haben kann. Das gilt natürlich nicht nur für Datenrichtigkeit, Datenaktualität und Datenvollständigkeit, sondern für alle Prinzipien aus Art. 5 Abs. 1 DSGVO. Erst das Zusammenspiel der Datenschutzgrundsätze kann einen effektiven Schutz unserer Daten und unserer Privatsphäre gewährleisten.

Mehr zum Thema DSGVO
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.