Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der heutige Ausflug ist winzig kurz – aber besser, wenigstens einige Schritte vor die Tür gehen, als den ganzen Tag drinnen sitzen. Immerhin spazieren wir durch wenig bekannte Gegend. Selbst die/der eine oder andere Datenschutzbeauftragte wird Artikel 19 DS-GVO noch nie gelesen haben. Dann ruhig jetzt nachholen!

Zum Artikel

Satz 1 verlangt vom Verantwortlichen, etwaige Datenempfänger über Maßnahmen nach Artikel 16, 17 und 18 zu informieren. Warum bei Artikel 17 konkret Absatz 1 genannt wird und bei Artikel 18 nicht, ist Geheimnis des Gesetzgebers. Die Informationspflicht besteht allerdings nur, wenn sie mit angemessenem Aufwand erfüllt werden kann. Satz 2 ist überflüssig, weil bereits durch Artikel 15 DS-GVO abgedeckt. Und auch Satz 1 ist nicht durchdacht: Wenn Daten berichtigt oder gelöscht oder beschränkt verarbeitet werden, haben Betroffene gar nicht immer ein Interesse daran, dass „die ganze Welt“ davon erfährt.

Zum Beispiel: Eine Abteilungsleiterin behauptet per E-Mail im Kollegenkreis (falsch), Mitarbeiter X färbe sich die Haare. X stellt das bei ihr richtig und möchte keine weitere Publicity. Darf und muss der Arbeitgeber wirklich eine zweite E-Mail herumsenden „X färbt sich doch nicht die Haare“? Wäre Artikel 19 nicht sinnvoller als ein Anspruch zu gestalten, den Betroffene ausüben können, aber nicht müssen?

Anderes Beispiel: Personalchef A hat in einem Bewerbungsverfahren unerlaubt – peinliche, aber inhaltlich richtige – Daten über Frau X gesammelt, einigen Beschäftigten davon erzählt und die Daten gespeichert. X erfährt viel später davon und verlangt Löschung. Soll A den anderen Beschäftigten die Löschung mitteilen – am besten noch dokumentiert – und damit X noch einmal in Verruf bringen? Also wohl besser: „Wenn von Betroffenen verlangt und mit angemessenem Aufwand möglich, informieren Verantwortliche…“

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Die heutige Wegstrecke ist nicht lang. Betrachtet man den Text (bitte!), sieht man zwei Sätze – nur wenige Zeilen, ganz schmal und gedrängt zwischen den langen Etappen der Artikel 15 und 17. Aber es ist wie beim echten Spaziergang: Auch auf kurzen Strecken lässt sich Einiges entdecken. Und nimmt man sich Zeit, dann bereitet vielleicht auch der Spaziergang größere Freude.

Satz 1

… gibt Betroffenen den Anspruch unverzüglicher Korrektur unrichtiger Daten. Was ist unrichtig? Nach einer Änderung des Familiennamens, zum Beispiel bei Heirat oder aus anderen Gründen, wird der „alte“ Name für die Zukunft unrichtig. Für die Vergangenheit bleibt er korrekt; in gespeicherten Unterlagen der Lohnbuchhaltung wäre also beispielsweise nichts zu korrigieren. Ebenso richtig sind vom Betroffenen bewusst falsch angegebene Daten, wenn es gerade um die Dokumentation dieser Fehler geht. Zum Beispiel kann der ertappte Versicherungsbetrüger nicht nach Art. 16 Satz 1 DS-GVO bei der Versicherung eine Korrektur seines falschen Schadensberichts erzwingen. Die Versicherung könnte sich auf Art. 23 Abs. 1 lit. d) und j) berufen.

Wichtig ist außerdem, dass die Betroffenen mit Art. 16 DS-GVO ein Recht erhalten und selbst entscheiden können, ob sie davon Gebrauch machen. Das Datenschutzrecht verpflichtet Betroffene nicht, für richtige Daten zu sorgen. Diese Pflicht besteht datenschutzrechtlich nur auf Seiten der verantwortlichen Stellen.

Satz 2

… betrifft die Ergänzung unvollständiger Daten: Je nach Verarbeitungszweck können ja auch durch Weglassung Fehler und Missverständnisse entstehen. Dann ist die Ergänzung gewissermaßen eine Art Berichtigung. Albernes Beispiel: „A hat B ins Gesicht geschlagen und C hat gejubelt.“ A und C könnten daran interessiert sein, dass ergänzt wird: „Dies fand statt im Rahmen eines Boxwettkampfs zwischen A und B.“ Häufiger – und weniger albern – sind Ergänzungsverlangen zum Beispiel in Arbeitsverhältnissen, wenn Arbeitnehmer einer Abmahnung in der Personalakte ihre eigene Darstellung beifügen möchten. Ob die korrigierten Alt-Daten in einem Abwasch gleich gelöscht werden können (vielleicht müssen), ist vom Einzelfall abhängig. Auch insoweit sind die Wünsche der Betroffenen wichtig und sollten im Zweifelsfall erfragt werden.

Wie schon beim Auskunftsrecht und bei sämtlichen Betroffenenrechten muss die verantwortliche Stelle vor der Umsetzung von Berichtigungs- und Ergänzungswünschen sicherstellen, dass die entsprechende Anforderung auch wirklich von der jeweiligen betroffenen Person stammt. Damit wären wir bei Artikel 17 eingetroffen, der die Löschung behandelt – das wird ein längeres Stück Weg …

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

BERICHTIGUNG

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen, Art. 16 S. 1 DS-GVO. Unrichtig sind solche Daten, die objektiv nicht mit der Wirklichkeit übereinstimmen. Beispiele sind etwa unzutreffende Angaben zu Name, Adresse oder Geburtsdatum. Der Anspruch bezieht sich grundsätzlich auf Tatsachenangaben und nicht auf Meinungen oder Werturteile. Unerheblich für die Geltendmachung des Anspruchs ist, ob die Daten von Anfang an falsch abgespeichert wurden oder sich die Daten der Person geändert haben.  Der Berichtigungsanspruch des Betroffenen ist ein Interventionsrecht, mit dem er die Rechtslage gestalten kann.

VERVOLLSTÄNDIGUNG

Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, Art. 16 S. 2 DS-GVO. Unvollständig sind Daten, wenn das Fehlen von Angaben im konkreten Informationszusammenhang zu einer Irreführung oder Missverständnissen führt. Letzteres wäre der Fall, wenn Fehlzeiten eines Arbeitnehmers festgehalten werden, ohne dass nach den Gründen wie Fortbildung, Urlaub oder Krankheit usw. differenziert wird. Vervollständigung kann dem Wortlaut nach nur „unter Berücksichtigung der Zwecke der Verarbeitung“ verlangt werden, wobei der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DS-GVO maßgeblich zu berücksichtigen ist. Personenbezogene Daten dürfen nur insoweit erhoben werden, als sie zwingend für den jeweiligen Zweck erforderlich sind.

BESCHRÄNKUNG DES RECHTS AUF BERICHTIGUNG

Ausnahmen von der Berichtigungspflicht werden in Art. 16 DS-GVO nicht direkt generiert. Allerdings wird der Union und den nationalen Gesetzgebern durch die Art. 23 sowie Art. 89 Abs. 2 und 3 DS-GVO („Öffnungsklauseln“), die Möglichkeit eröffnet den Berichtigungsanspruch zu beschränken. Von einer solchen Beschränkung hat der deutsche Gesetzgeber zum Beispiel in den §§ 27 Abs. 2 und 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) für Forschungs-, Statistik- und Archivzwecke gebrauch gemacht. Danach kann ein Betroffener seinen Berichtigungsanspruch nicht geltend machen, wenn dadurch die zur Verarbeitung festgelegten Zwecke beeinträchtigt werden.

DER ABLAUF EINES BERICHTIGUNGSPROZESSES

Das Recht der betroffenen Person auf Berichtigung hängt eng mit den Transparenzrechten, insbesondere mit dem Auskunftsrecht nach Art. 15 DS-GVO zusammen. Ohne das Recht auf Auskunft könnte der Betroffene von seinem Berichtigungsrecht nicht Gebrauch machen, denn er wüsste nicht von den falschen Informationen, die über ihn verarbeitet werden.

Grundsätzlich kann ein Berichtigungsantrag von jeder natürlichen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch gestellt werden. Im Rahmen eines konkreten Antrags auf Berichtigung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Der Berichtigungsanspruch umfasst sämtliche Datenbestände, in denen die unrichtigen personenbezogenen Daten des Antragstellers gespeichert sind. Die Berichtigung der Daten ist unverzüglich durch eine entsprechende Maßnahme durchzuführen. Bezogen auf den Einzelfall, kann dies durch Veränderung, teilweise oder vollständige Löschung oder Speicherung ergänzender oder neu erhobener Daten erfolgen. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. Maßnahmen des Berichtigungsantrages zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.

Hat der Verantwortliche die gespeicherten personenbezogenen Daten des Antragstellers an Dritte übermittelt, müssen auch diese über die Berichtigung der Daten informiert werden, sofern dies vernünftigerweise möglich ist. Alle zur Berichtigung ergriffenen Maßnahmen, sind unentgeltlich zu erbringen.

VERSTOß GEGEN DAS RECHT AUF BERICHTIGUNG

Verstöße gegen Betroffenenrechte sind keine Kavaliersdelikte. Ein Verstoß gegen das Recht auf Berichtigung, kann mit Geldbußen entsprechend des Art. 83 Abs. 5 lit. b DS-GVO geahndet werden. Daneben steht der betroffenen Person ein Schadensersatzanspruch gemäß Art. 82 DS-GVO zu, soweit ihr durch die Verarbeitung sie betreffender unrichtiger Daten ein materieller oder immaterieller Schaden entstanden ist.

FAZIT

Auf den ersten Blick handelt es sich um eine klare und einfache Regelung, die sich bei näherer Betrachtung als sehr Komplex erweist. Für den Verantwortlichen besteht die Herausforderung vor allem darin, die unterschiedlichen Betroffenenrechte auseinanderzuhalten und die jeweiligen Voraussetzungen zu kennen. Der Berichtigungsanspruch ist zügig, kontrolliert und dokumentiert durchzuführen. Es lohnt sich auch diesen Prozess zu standardisieren und in einem Datenschutzkonzept in einfach umsetzbaren Routinen zu berücksichtigen. 

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.