Recht auf Berichtigung: Unrichtige Daten korrigieren lassen

Die Betroffenenrechte sind das Salz in der Datenschutz-Suppe. Die DSGVO hat das Ziel, unser aller Recht auf informationelle Selbstbestimmung bestmöglich zu gewährleisten. Neben den allseits bekannten und viel diskutierten Ansprüchen auf Auskunftserteilung oder Löschung von Daten sieht die DSGVO u. a. das Recht auf Berichtigung vor. Wir haben uns das einmal genauer angeschaut.

Das Recht auf Berichtigung – ein Betroffenenrecht

Damit personenbezogene Daten bestmöglich geschützt werden, sind in der DSGVO die sogenannten Betroffenenrechte verankert. Diese befinden sich in Kapitel III in den Art. 12 ff. DSGVO. In diesen Regelungen legt die DSGVO den Verantwortlichen umfangreiche Pflichten auf, welche vor allem den Zweck haben, die betroffenen Personen in transparenter Form über die Verwendung ihrer Daten zu informieren. Spiegelbildlich dazu stehen die Rechte der betroffenen Personen, da sie z. B. auf Anfrage Auskunft vom Verantwortlichen verlangen können (Art. 15 DSGVO).

Das Recht auf Berichtigung (Art. 16 DSGVO) gibt der betroffenen Person die Möglichkeit, unrichtige Angaben korrigieren zu lassen. Ergänzend dazu kann die betroffene Person auch die Vervollständigung von fehlenden Angaben verlangen. Dies kann in der Praxis durchaus relevant sein. Schließlich droht die Gefahr, dass der bestellte Kühlschrank nicht beim Käufer, sondern vielleicht fünf Häuser weiter abgeliefert wird, wenn die Hausnummer falsch notiert worden ist.

Unrichtige personenbezogene Daten

Was sind unrichtige personenbezogene Daten? Dies ist stets aus objektiver Sicht zu betrachten. Es muss also dem Beweis zugänglich sein, ob das Datum oder die Daten falsch sind oder nicht. Meinungen oder Werturteile können daher nicht unter den Berichtigungsanspruch fallen. So sind zum Beispiel der Name oder das Geburtsdatum einer Person objektiv bestimmbar. Daher kann die betroffene Person hier unproblematisch die Berichtigung verlangen, wenn eine Angabe falsch ist. Schwieriger wird es, wenn Werturteile oder Begutachtungen auf objektiv unrichtigen Tatsachen beruhen. So kann ein Patient zwar nicht verlangen, die Diagnose in einem ärztlichen Gutachten zu „berichtigen“, nur weil ihm das Ergebnis nicht gefällt. Wenn allerdings das Gutachten des Arztes auf objektiv falschen Tatsachen oder Angaben beruht, kann die betroffene Person zumindest diesbezüglich den Berichtigungsanspruch geltend machen.

Unvollständige personenbezogene Daten

Von diesen objektiv unrichtigen Daten sind unvollständige Daten abzugrenzen. Unvollständige personenbezogene Daten sind Angaben, die zwar objektiv richtig sind, aber bei denen die Richtigkeit allein nicht ausreicht, um einen Sachverhalt korrekt wiederzugeben. Hier kommt es also auf den Gesamtkontext und den Zweck der Datenverarbeitung an. Als praktisches Beispiel kann man sich die Vertragsbeziehung zu einem Kunden vorstellen. In der Buchhaltung ist vermerkt, welchen Betrag der Kunde laut Vertrag zu zahlen hat. Dies ist im Regelfall eine objektiv richtige Angabe. Wenn allerdings nicht vermerkt wird, dass der Kunde auf die Forderung bereits einen Teil gezahlt hat, bleibt die ursprüngliche Information zwar objektiv richtig. Sie ist allerdings unvollständig, da die Angabe zu schuldbefreienden Leistungen für den Sachverhalt ebenfalls relevant ist. Ohne vollständige Angaben ist eine ordnungsgemäße Vertragserfüllung – also der Zweck der Datenverarbeitung – nicht möglich.

Wie kann man seine Daten berichtigen lassen?

Gemäß Art. 16 Abs. 1 DSGVO kann die betroffene Person die unverzügliche Berichtigung oder Vervollständigung ihrer Daten verlangen. Die betroffene Person muss dazu einen Antrag beim Verantwortlichen stellen. Dieser ist nicht an eine Form gebunden und kann also auch mündlich erfolgen. Aus Erwägungsgrund 59 S. 2 ergibt sich, dass der Verantwortliche die Möglichkeit geben soll, den Antrag elektronisch zu stellen. Dies gilt vor allem dann, wenn auch die Daten selbst elektronisch verarbeitet werden. In der Praxis folgt der Berichtigungsanspruch oft dem Anspruch auf Auskunftserteilung, weil die betroffene Person meistens gar nicht weiß, dass der Verantwortliche ihre Daten unrichtig verarbeitet.

Der Begriff „unverzüglich“ bedeutet „ohne schuldhaftes Zögern“. Dies bedeutet, dass zwar die Bearbeitung des Antrags sofort erfolgen muss. Allerdings kann die Beantwortung im Einzelfall aber auch längere Zeit in Anspruch nehmen, wenn die betroffene Person beispielsweise noch die Nachweise vorlegen muss, aus welchen sich die korrekten Daten erst ergeben. Aber auch in dieser Phase ist die betroffene Person geschützt. Sie kann das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO geltend machen. Dann muss der Verantwortliche die Daten im Regelfall sperren und darf die Daten nicht weiterverarbeiten. Dem Begehren auf Berichtigung muss grundsätzlich innerhalb eines Monats nachkommen. Eine Verzögerung der Bearbeitung muss er gegenüber der betroffenen Person begründen (Art. 12 Abs. 3 DSGVO).

Wie verläuft die Identitätsüberprüfung?

Da der Anspruchsteller immer nur die betroffene Person sein kann, muss der Verantwortliche natürlich die Identität des Antragstellers überprüfen. Wenn keine Zweifel bestehen, hat die Bearbeitung des Begehrens unverzüglich zu erfolgen. Aber was kann der Verantwortliche tun, wenn ihm nicht klar ist, ob der Antragsteller wirklich die betroffene Person ist? Das kann relevant werden, wenn sich der Antragsteller z.B. mit einer anderen E-Mail-Adresse meldet, als der Verantwortliche in seinem Datensatz gespeichert hat. Da der Antrag auch telefonisch gestellt werden kann, hat die Identitätsprüfung hier ebenfalls eine hohe praktische Bedeutung.

Im Regelfall wird der Verantwortliche den Antragsteller auffordern, weitere Informationen zum Abgleich nachzuliefern. Diese können z. B. sein:

• Abfrage von Geburtsdatum oder postalischer Adresse
• Kopie eines Ausweisdokuments
• Postident- oder Videoident-Identifizierung
• Zwei-Faktor-Authentifizierung (Eingabe eines Codes, der der betroffenen Person zugesandt wird)

Ein Ausweisdokument enthält meistens mehr Angaben, als der Verantwortliche zur Identifizierung konkret benötigt. Unwesentliche Ausweisdaten können daher geschwärzt werden.

Mögliche Ablehnung der Berichtigung

Denkbar ist, dass der Verantwortliche im Rahmen seiner Prüfung zum Ergebnis kommt, dass der Anspruch auf Berichtigung oder auf Vervollständigung nicht besteht, weil die Angaben aus Sicht des Verantwortlichen nicht unrichtig sind. Im obigen Beispiel zum Vertrag mit einem Kunden wäre das der Fall, wenn der Kaufpreis entgegen der Behauptung des Käufers nicht auf dem Konto des Verantwortlichen eingegangen ist. Aus Art. 12 Abs. 4 DSGVO ergibt sich, dass der Verantwortliche den betroffenen Personen spätestens ebenfalls innerhalb eines Monats die Gründe für die Ablehnung der Berichtigung mitteilen muss. Zudem hat der Verantwortliche auf die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde oder der Anrufung eines ordentlichen Gerichts hinzuweisen.

Beschränkungen des Anspruchs

Wie so oft im juristischen Bereich gilt auch hier: Kein Grundsatz ohne Ausnahme! Die DSGVO hat in Art. 23 DSGVO und in Art. 89 DSGVO Öffnungsklauseln vorgesehen, die es ermöglichen, den Anspruch auf Berichtigung einzuschränken. Davon hat der deutsche Gesetzgeber in § 27 Abs. 2 BDSG Gebrauch gemacht und das Recht aus Art. 16 DSGVO insoweit beschränkt:

„als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist.“

Der korrekte Umgang mit Berichtigungs- und Vervollständigungsanträgen

Da wie bei allen anderen Betroffenenrechten die Frist zur Bearbeitung des Antrags relativ kurz ist, bietet es sich aus Sicht des Verantwortlichen an, einen entsprechenden Prozess zu etablieren. Hier kann man sich z.B. am Prozess zur Bearbeitung von Auskunftsersuchen orientieren, da die einzelnen Schritte vergleichbar sind. Wichtig ist ebenfalls, klar zu definieren, unter welchen Umständen eine Identitätsprüfung vorzunehmen ist, um die Anträge rechtssicher und schnellstmöglich bearbeiten zu können.

In jedem Fall ist zu vermeiden, dass Änderungen von Daten anderer Betroffener vorgenommen werden. Hier kann die Grenze zu einer Datenpanne nach Art. 33 DSGVO schnell überschritten werden. Folgendes ist daher zu beachten:

• Etablierung eines Prozesses zur Bearbeitung (vergleichbar zum Auskunftsbegehren)
• eindeutige Identifikation vornehmen
• Fristen beachten
• Einschränkung der Verarbeitung nach Art. 18 DSGVO beachten
• Bei Weitergabe an Dritte diese über Änderungen/Berichtigungen informieren (Art. 19 DSGVO)

Betroffenenrechte: Das Herzstück der DSGVO

Ohne die Wahrung von Betroffenenrechten kann Datenschutz in der Praxis nicht funktionieren. Sie sind daher das Herzstück der DSGVO. Die Nichtbeachtung dieser Rechte – also im Grunde jede unrechtmäßige Datenverarbeitung – kann für betroffene Personen erhebliche Nachteile haben. Hier kommt sowohl ein immaterieller Schaden in der Form der Verletzung des Schutzes personenbezogener Daten in Betracht als auch ein finanzieller Schaden.

Dies gilt auch für unrichtige oder unvollständige Daten. So wird zum Beispiel jemand, der einen Kredit aufgenommen hat, deutlich höhere Zinsen zahlen müssen, wenn bei Vertragsschluss falsche Angaben bei einer Wirtschaftsauskunftei über ihn gespeichert sind. Dies stellt einen tatsächlichen wirtschaftlichen Nachteil dar. Das Perfide dabei ist, dass die betroffene Person dies im Regelfall überhaupt nicht bemerken wird, es sei denn, sie verlangt Auskunft über ihre Daten. An diesem Beispiel lässt sich gut ablesen, wie wichtig Betroffenenrechte sind.