Datenschutz-Grundverordnung: Recht auf Berichtigung

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Betroffene Personen haben ein Recht auf Berichtigung bzw. Vervollständigung unrichtiger bzw. unvollständiger Daten gegenüber dem Verantwortlichen

Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit

Im Vergleich zu den bisherigen Regelungen des BDSG gibt es kaum Änderungen, da es auch bislang schon eine Pflicht zur Berichtigung gab. Eine Vervollständigung kann auch mit einer ergänzenden Erklärung zu dem bestehenden Datensatz vorgenommen werden. 

Wie nach bisheriger Rechtslage gelten Daten als unrichtig, wenn diese mit der Realität nicht übereinstimmen((Simitis/Mallmann, BDSG, 8. Auflage 2014, § 20 Rn. 11; Gola/Schomerus, BDSG, 12. Auflage 2015, § 20 Rn. 3)). Dies kann vor allem in Fällen eines Identitätsmissbrauchs oder fehlerhaften Bonitätsauskünften vorliegen. 

Ob Daten unvollständig sind, hängt von dem konkreten Verarbeitungszweck ab. Fehlen etwa Adressdaten des Kunden eines Online-Shops, dürfte ein Anspruch auf Vervollständigung vorliegen, da ansonsten der Zweck der Datenverarbeitung (hier: Lieferung der bestellten Waren) nicht erfüllt werden kann.((Rechtsgrundlage: Art. 16))

Der Verantwortliche hat alle Empfänger der Daten über die Berichtigung zu informieren,((Rechtsgrundlage: Art. 19)) es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Zudem ist die betroffene Person auf Verlangen über die Empfänger der Daten zu informieren. Solche Empfänger von Daten können interne oder externe Dienstleister sein (z. B. IT-Dienstleister, Callcenter, Auskunfteien). 

Es müssen im Vorhinein geeignete organisatorische Maßnahmen getroffen werden, um Berichtigungsansprüche von betroffenen Personen zu beantworten.((Rechtsgrundlage: Art. 12 (1), 5 (2) ))

Bestehen Zweifel hinsichtlich der Identität der antragstellenden Person, können weitere Informationen angefordert werden. Bei Anfragen per einfacher E-Mail oder Web-Formular ist eine Identitätsfeststellung in der Regel nicht hinreichend sicher möglich, so dass weitere Maßnahmen zur Identitätsfeststellung erforderlich sein dürften (z. B. telefonische Rückfragen, postalische Kontaktaufnahme).((Rechtsgrundlage: Art. 12 (6) ))

Die Auskunftserteilung muss unverzüglich, spätestens jedoch innerhalb eines Monats erfolgen. Nur in begründeten Ausnahmefällen ist eine längere Frist zulässig.((Rechtsgrundlage: Art. 12 (3) ))