DAS RECHT AUF BERICHTIGUNG NACH ART. 16 DS-GVO

In der Kürze liegt die Würze und der Teufel im Detail. Selten in der Datenschutz-Grundverordnung (DS-GVO) gibt es eine Norm, die so knapp gehalten ist und für beide Seiten – Verantwortlicher und Betroffener – gleichermaßen Bedeutung genießt. Als Bestandteil der Betroffenenrechte des Kapitel III der DS-GVO, gewährleistet Art. 16 in zwei Sätzen dem Betroffenen die Berichtigung unrichtiger (S. 1) und die Vervollständigung unvollständiger (S. 2) personenbezogener Daten. Nicht nur aus dem Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DS-GVO trägt der Verantwortliche dafür Sorge, dass verarbeitete personenbezogene Daten richtig sind. Das Recht auf Berichtigung ergänzt und unterstützt den Verantwortlichen, seine Verpflichtung unrichtige Daten zu berichtigen. Richtige Daten sind für die Datenschutz-Compliance beim Verantwortlichen essenziell. Unvollständige Daten generieren unrichtige Ergebnisse. Die Richtigkeit vorhandener Daten der betroffenen Person verhindert negative Auswirkungen auf interne Verarbeitungsprozesse. Das Recht und die Pflicht im Detail:


BERICHTIGUNG

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen, Art. 16 S. 1 DS-GVO. Unrichtig sind solche Daten, die objektiv nicht mit der Wirklichkeit übereinstimmen. Beispiele sind etwa unzutreffende Angaben zu Name, Adresse oder Geburtsdatum. Der Anspruch bezieht sich grundsätzlich auf Tatsachenangaben und nicht auf Meinungen oder Werturteile. Unerheblich für die Geltendmachung des Anspruchs ist, ob die Daten von Anfang an falsch abgespeichert wurden oder sich die Daten der Person geändert haben.  Der Berichtigungsanspruch des Betroffenen ist ein Interventionsrecht, mit dem er die Rechtslage gestalten kann.


VERVOLLSTÄNDIGUNG

Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, Art. 16 S. 2 DS-GVO. Unvollständig sind Daten, wenn das Fehlen von Angaben im konkreten Informationszusammenhang zu einer Irreführung oder Missverständnissen führt. Letzteres wäre der Fall, wenn Fehlzeiten eines Arbeitnehmers festgehalten werden, ohne dass nach den Gründen wie Fortbildung, Urlaub oder Krankheit usw. differenziert wird. Vervollständigung kann dem Wortlaut nach nur „unter Berücksichtigung der Zwecke der Verarbeitung“ verlangt werden, wobei der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DS-GVO maßgeblich zu berücksichtigen ist. Personenbezogene Daten dürfen nur insoweit erhoben werden, als sie zwingend für den jeweiligen Zweck erforderlich sind.


BESCHRÄNKUNG DES RECHTS AUF BERICHTIGUNG

Ausnahmen von der Berichtigungspflicht werden in Art. 16 DS-GVO nicht direkt generiert. Allerdings wird der Union und den nationalen Gesetzgebern durch die Art. 23 sowie Art. 89 Abs. 2 und 3 DS-GVO („Öffnungsklauseln“), die Möglichkeit eröffnet den Berichtigungsanspruch zu beschränken. Von einer solchen Beschränkung hat der deutsche Gesetzgeber zum Beispiel in den §§ 27 Abs. 2 und 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) für Forschungs-, Statistik- und Archivzwecke gebrauch gemacht. Danach kann ein Betroffener seinen Berichtigungsanspruch nicht geltend machen, wenn dadurch die zur Verarbeitung festgelegten Zwecke beeinträchtigt werden.


DER ABLAUF EINES BERICHTIGUNGSPROZESSES

Das Recht der betroffenen Person auf Berichtigung hängt eng mit den Transparenzrechten, insbesondere mit dem Auskunftsrecht nach Art. 15 DS-GVO zusammen. Ohne das Recht auf Auskunft könnte der Betroffene von seinem Berichtigungsrecht nicht Gebrauch machen, denn er wüsste nicht von den falschen Informationen, die über ihn verarbeitet werden.

Grundsätzlich kann ein Berichtigungsantrag von jeder natürlichen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch gestellt werden. Im Rahmen eines konkreten Antrags auf Berichtigung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Der Berichtigungsanspruch umfasst sämtliche Datenbestände, in denen die unrichtigen personenbezogenen Daten des Antragstellers gespeichert sind. Die Berichtigung der Daten ist unverzüglich durch eine entsprechende Maßnahme durchzuführen. Bezogen auf den Einzelfall, kann dies durch Veränderung, teilweise oder vollständige Löschung oder Speicherung ergänzender oder neu erhobener Daten erfolgen. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. Maßnahmen des Berichtigungsantrages zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.

Hat der Verantwortliche die gespeicherten personenbezogenen Daten des Antragstellers an Dritte übermittelt, müssen auch diese über die Berichtigung der Daten informiert werden, sofern dies vernünftigerweise möglich ist. Alle zur Berichtigung ergriffenen Maßnahmen, sind unentgeltlich zu erbringen.


VERSTOß GEGEN DAS RECHT AUF BERICHTIGUNG

Verstöße gegen Betroffenenrechte sind keine Kavaliersdelikte. Ein Verstoß gegen das Recht auf Berichtigung, kann mit Geldbußen entsprechend des Art. 83 Abs. 5 lit. b DS-GVO geahndet werden. Daneben steht der betroffenen Person ein Schadensersatzanspruch gemäß Art. 82 DS-GVO zu, soweit ihr durch die Verarbeitung sie betreffender unrichtiger Daten ein materieller oder immaterieller Schaden entstanden ist.


FAZIT

Auf den ersten Blick handelt es sich um eine klare und einfache Regelung, die sich bei näherer Betrachtung als sehr Komplex erweist. Für den Verantwortlichen besteht die Herausforderung vor allem darin, die unterschiedlichen Betroffenenrechte auseinanderzuhalten und die jeweiligen Voraussetzungen zu kennen. Der Berichtigungsanspruch ist zügig, kontrolliert und dokumentiert durchzuführen. Es lohnt sich auch diesen Prozess zu standardisieren und in einem Datenschutzkonzept in einfach umsetzbaren Routinen zu berücksichtigen. 

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

    Tags:
  • Art. 16 DS-GVO
  • Berichtigung
  • Betroffenenrechte
  • Datenschutzmanagement
  • Vervollständigung
Lesen

DER AUSKUNFTSANSPRUCH NACH ART. 15 DS-GVO

Mit der Datenschutz-Grundverordnung (DS-GVO) kam es zu einer umfassenden Erweiterung der Betroffenenrechte. Einen großen Anteil der neugewonnen Präsenz der Betroffenenrechte ist dem Auskunftsrecht nach Art. 15 DS-GVO zuzuschreiben. Dies ist nicht zuletzt darauf zurückzuführen, dass das Auskunftsrecht wohl das am häufigsten geltend gemachte Betroffenenrecht aus der DS-GVO darstellt. Bedeutung erlangen in diesem Zusammenhang immer öfter Generatoren (beispielsweise www.itsmydata.de), welche sich ebenfalls für den Anstieg von Betroffenenanfragen verantwortlich zeichnen müssen.


WORUM GEHT ES BEI EINEM AUSKUNFTSANSPRUCH?

Die gesetzgeberische Intention hinter der Stärkung der Betroffenenrechte im Kapitel III der DS-GVO ist klar: Schaffung von Transparenz und mithin die Wahrung des Grundsatzes gemäß Art. 5 Abs. 1 lit. a) DS-GVO. Der Auskunftsanspruch ist – soweit auch unstreitig – dem Grunde nach dazu angelegt, die Überprüfung der Rechtmäßigkeit einer Datenverarbeitung durchzuführen und somit letztlich auch der Ausübung des Rechts auf informationelle Selbstbestimmung nachzukommen. In Der Praxis wird der Auskunftsanspruch – insbesondere im arbeitsrechtlichen Prozess – als taktisches Mittel verwendet, um „Druck“ auf die Gegenseite auszuüben und/oder einen Überblick über vorhandene Datenbestände zu erlangen, um unter Umständen Folgeansprüche vorzubereiten.

Neben dem „reinen“ Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO, wohnt dem Art. 15 Abs. 3 DS-GVO zudem das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, inne. Darüber hinaus kann das Recht auf Auskunft zur Vorbereitung der Geltendmachung weiterer Betroffenenrechte, beispielsweise des Rechtes auf Berichtigung gemäß Art. 16 DS-GVO oder des Rechtes auf Löschung gemäß Art. 17 DS-GVO dienen.

Allerdings ergeben sich abseits zahlreicher juristischer Streitigkeiten rund um die Reichweite des Anspruchs für Verantwortliche bei der Umsetzung in der Praxis einige inhaltliche sowie prozessuale Herausforderungen, welche im Folgenden näher beleuchtet werden sollen.


WELCHE SCHWIERIGKEITEN BESTEHEN IM RAHMEN EINES AUFKUNFTERSUCHENS?

Bei der Betrachtung des Art. 15 DS-GVO entsteht regelmäßig Diskussionsbedarf, insbesondere in Bezug auf die Fragen:
– Müssen dem Antragsteller auch Daten zur Verfügung gestellt werden, welche ihm bereits vorliegen?
– Muss der Anspruch auf Erhalt einer Kopie gesondert geltend gemacht werden?
– Welchen Umfang entfaltet das Recht auf Erhalt einer Kopie?
– Wann kann der Anspruch auf Erhalt der Kopie beschränkt werden?
– Wann gilt ein Auskunftsbegehren als unverhältnismäßig?

Das Hauptaugenmerk soll nun auf die praktische Umsetzung gelegt werden. Für die Bearbeitung von Auskunftsersuchen genügt insoweit nicht, wenn sich der Blick des Anwenders nur auf Art. 15 DS-GVO richtet. Vielmehr ist eine Gesamtschau mit den Normen aus Art. 4, Art. 11 und Art. 12 DS-GVO notwendig. Außerdem finden sich weitere Bestimmungen – insbesondere zu Ausnahmetatbeständen – im Bundesdatenschutzgesetz (BDSG).


WIE LÄUFT EIN AUSKUNFTSPROZESS AB?

Den Stein des Anstoßes bei einem Auskunftsprozess bildet der Antrag des Betroffenen, vgl. Art. 12 Abs. 2 Satz 1 DS-GVO. Der Verantwortliche ist gemäß Art. 12 Abs. 1 DS-GVO dazu angehalten die Betroffenen bei der Wahrnehmung ihrer Rechte zu unterstützen. Eingehen können Betroffenenanfragen auf allen denkbaren Kommunikationskanälen der verantwortlichen Stelle. Unter Umständen ist eine Auslegung der Anfrage notwendig, insbesondere wenn der Betroffene sich nicht ausdrücklich auf Art. 15 DS-GVO beruft – was er selbstverständlich nicht muss. Es genügt insoweit ein formloser Antrag, welcher keiner Begründung bedarf. Damit Verantwortliche weiterführende Datenschutzverstöße vermeiden können, empfiehlt sich strengstens die Identität des Antragstellers zu überprüfen. Über das exakte Vorgehen haben wir bereits berichtet. Es ist dem Antragsteller ebenfalls unbenommen in zwei Stufen vorzugehen:
– zunächst kann die betroffene Person eine Bestätigung verlangen, ob bei dem Verantwortlichen sie betreffende personenbezogene Daten verarbeitet werden;
– um bejahendenfalls auf einer zweiten Stufe um Auskunft über diese personenbezogenen Daten sowie die Informationen des Art. 15 Abs. 1 lit. a) bis h) DS-GVO zu verlangen.

Verarbeitet der Verantwortliche große Mengen an Informationen, besteht nach Erwägungsgrund (ErwG) 63 S. 7 DS-GVO die Möglichkeit, dass er vom Betroffenen verlangen kann, dass dieser seine Anfrage derart präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht.

Um auf Auskunftsersuchen beziehungsweise allgemein Betroffenenanfragen fristgerecht (unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags gemäß Art. 12 Abs. 3 DS-GVO) empfiehlt sich die Implementierung eines Melde- und Bearbeitungsprozesses, beispielsweise durch eine interne Anweisung, Richtlinie oder Policy zum Umgang mit Betroffenenanfragen.  Ein solche Prozess kann folgende Etappen umfassen:
– Antragseingang und gegebenenfalls Auslegung des Betroffenenbegehren,
– Eingang dokumentieren und Frist für die Beantwortung notieren,
– Eingangsbestätigung an den Antragsteller senden (vgl. Art. 5 Abs. 2 DS-GVO),
– Identitätsprüfung durchführen,
– Vorliegen von Beschränkungen prüfen (vgl. Art. 15 Abs. 4 DS-GVO, §§ 29, 34 BDSG etc.),
– Datenbestände prüfen,
– gegebenenfalls Fristverlängerung begründen (vgl. Art. 12 Abs. 3 Satz 2 DS-GVO),
– Form der Beantwortung einhalten (schriftlich/elektronisch, jedenfalls identischer Kommunikationsweg),
– Auskunft oder Negativauskunft erteilen (aufgrund fehlenden Identitätsnachweises, dem Vorliegen von Beschränkungen, kein Vorliegen von Datenbeständen etc.),
– Kopie der personenbezogenen Daten zur Verfügung stellen,
– Ausgang der Antwort dokumentieren und Frist streichen,
– gesetzliche Aufbewahrungsfrist von Betroffenenanfragen einhalten (Art. 83 und Art. 5 DS-GVO, § 41 BDSG, § 31 Gesetz über Ordnungswidrigkeiten (OWiG)).

Nicht nur aus Gründen zur Erfüllung der Rechenschaftspflicht und im Sinne eines funktionierenden Managementsystems empfiehlt sich die Initiierung und Fortschreibung eines solchen Prozesses. Vielmehr kann ein vorgeschriebener Ablauf bei den Anwendern – also den Beschäftigten der verantwortlichen Stelle – für Sicherheit im Umgang mit Betroffenenanfragen sorgen.


WELCHE KONSEQUENZEN DROHEN BEI FEHLERHAFTEN AUSKUNFTSPROZESSEN?

Die Folgen von unterbliebenen beziehungsweise verspätet erteilten Auskünften liegen auf der Hand: Es besteht das Risiko eines Gesetzesverstoßes, welcher durch eine Aufsichtsbehörde geahndet werden kann, beispielsweise im Rahmen der Sanktionierung von Art. 83 DS-GVO. Daneben steht den Betroffenen die Möglichkeit der Geltendmachung eines Schadenersatzanspruches gemäß Art. 82 DS-GVO zu, wobei es hier aber zentral auf die Nachweisbarkeit eines konkreten Schadens ankommen wird.


FAZIT

Unabdingbar für die (fristgerechte) Bearbeitung von Betroffenenanfragen ist die Etablierung entsprechender Prozesse mitsamt Dokumentation der konkreten Einzelfälle. Hilfestellungen zum Umgang mit Anfragen Betroffener in der Praxis finden sich unter anderem beim Bayrischen Landesamt für Datenschutzaufsicht sowie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Art. 15 DS-GVO
  • Auskunftsanspruch
  • Bearbeitungsprozess
  • Betroffenenrechte
  • Datenschutzmanagement
Lesen