Logo der activeMind AG

Das Recht auf Berichtigung in der Praxis

Inhalt

Betroffene haben das Recht auf eine unverzügliche Berichtigung ihrer gespeicherten Daten, wenn ein Verantwortlicher diese nicht richtig oder unvollständig verarbeitet. So prüfen Sie die Ansprüche Betroffener und sorgen für eine DSGVO-konforme Berichtigung.

Was ist das Recht auf Berichtigung?

Das Recht auf Berichtigung nach Art. 16 der Datenschutz-Grundverordnung (DSGVO) ist eines der sogenannten Betroffenenrechte. Mit diesem Recht kann eine betroffene Person die unverzügliche Berichtigung unrichtig oder unvollständig verarbeiteter Daten über sich selbst verlangen. Dieser Anspruch richtet sich immer gegen einen oder mehrere Verantwortliche(n) für die Verarbeitung personenbezogener Daten.

Das Recht auf Berichtigung knüpft an den Grundsatz der Richtigkeit aus Artikel 5 Abs. 1 lit. d) DSGVO an, wonach personenbezogene Daten sachlich korrekt und, soweit erforderlich, auf dem neuesten Stand sein müssen.

Was ist der Inhalt des Rechts auf Berichtigung?

Nicht immer sind gespeicherte Daten korrekt. Ein Anspruch auf Berichtigung setzt zunächst voraus, dass ein Verantwortlicher personenbezogene Daten verarbeitet, die unrichtig oder unvollständig sind. Hauptsächlich geht es bei der Verarbeitung um die Speicherung personenbezogener Daten. Die DSGVO nennt dafür zwei Fälle:

Berichtigung unrichtiger personenbezogener Daten (Art. 16 Satz 1 DSGVO)

Von „unrichtigen“ Daten spricht man, wenn sie inhaltlich unwahr sind, also mit der Realität nicht übereinstimmen. Dies ist zum Beispiel dann der Fall, wenn sich der Nachname einer Person geändert hat. Der Anspruch bezieht sich daher grundsätzlich auf Tatsachenangaben und nicht auf Meinungen oder Werturteile.

Es ist daher unerheblich, ob die Daten bereits zum Zeitpunkt der Speicherung unrichtig waren oder etwa auf Grund einer nachträglichen Änderung der Umstände unrichtig geworden sind.

Macht der Betroffene von seinem Recht Gebrauch, muss der Verantwortliche die Daten unverzüglich berichtigen. Das bedeutet, dass das inhaltlich unwahre Datum durch das inhaltlich wahre Datum ersetzt werden muss. „Unverzüglich“ bedeutet aber nicht notwendig „sofort“. Vielmehr muss die Zeitspanne jeweils für den Einzelfall bestimmt werden. Als Faustregel ist ein Handeln innerhalb von zwei Wochen angemessen. Hier können sich freilich kürzere oder längere Zeiträume ergeben, wenn der jeweilige Sachverhalt besonders gelagert ist.

Bei der Berichtigung der personenbezogenen Daten sollten Sie selbstverständlich die Rechenschaftspflichten der DSGVO beachten. Es muss also auch später nachvollziehbar sein, wer die Daten warum verändert hat.

Berichtigung unvollständiger personenbezogener Daten (Art. 16 Satz 2 DSGVO)

Hat der Verantwortliche „unvollständige“ personenbezogene Daten gespeichert, die derart lückenhaft sind, dass der mit der Verarbeitung verfolgte Zweck nicht mehr erreicht werden kann, so hat er diese ebenfalls zu berichtigen. Hierfür muss der Datensatz der betroffenen Person entsprechend ergänzt werden. Ein Beispiel: Bei der Prüfung der Kreditwürdigkeit ist die Information über eine Zahlungsverweigerung unvollständig, wenn nicht ersichtlich wird, dass der Grund hierfür eine falsche Warenlieferung ist.

Die DSGVO spricht im Fall der Vervollständigung zwar nicht von einer „unverzüglichen“ Vornahme, um aber den Grundsätzen der Fairness und Transparenz gerecht zu werden, ist auch hier eine unverzügliche Ergänzung anzunehmen. Daher empfehlen wir auch in solchen Fällen eine Berichtigung innerhalb von zwei Wochen.

Wenn der eigentliche Datensatz vollständig ist, kann der Betroffene von dem Verantwortlichen verlangen, dass dieser die Vervollständigung durch eine entsprechende ergänzende Erklärung belegt.

Form der Anspruchsstellung

Bevor der Betroffene von seinem Recht auf Berichtigung Gebrauch macht, sollte er einen Anspruch auf Auskunft nach Art. 15 DSGVO stellen, aus der seine Kenntnis über seine Daten und die Verarbeitungszwecke stammt. Der Anspruch kommt ebenfalls bei öffentlich zugänglich gemachten Informationen über Personen in Betracht. Will der Betroffene sein Recht auf Berichtigung ausüben, muss er einen darauf bezogenen Antrag beim Verantwortlichen stellen. Die Form der Antragsstellung ist gesetzlich nicht bestimmt. Der Verantwortliche muss dem Betroffenen aber die Möglichkeit bieten, Anträge elektronisch zu stellen (Erwägungsgrund 59 DSGVO). Dies gilt insbesondere dann, wenn der Verantwortliche die personenbezogenen Daten auch elektronisch verarbeitet.

Überprüfung der Identität

Sollte der Betroffene seine Identität nicht in einer geeigneten Weise nachgewiesen haben, muss der Verantwortliche ihn darüber unterrichten und zusätzliche Informationen zur Bestätigung der Identität anfordern. Genügen diese dem Verantwortlichen nicht, um bestehende begründete Zweifel auszuräumen, kann er unter den Voraussetzungen des Art. 12 Abs. 2 Satz 2 DSGVO die Berichtigung verweigern. Dafür muss er glaubhaft machen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

Konnte der Betroffene seine Identität nachweisen, beginnt für den Verantwortlichen die eigentliche Aufgabe. Er hat zunächst zu prüfen, ob die Daten tatsächlich unvollständig oder unrichtig sind. Damit in dieser Zeit aber keine weitere – unwahre oder unvollständige – Verarbeitung der Daten erfolgt, hat der Betroffenen für die Dauer, in der der Verantwortliche den Antrag überprüft, einen Anspruch auf Einschränkung der Verarbeitung aus Art. 18 Abs. 1 lit. a) DSGVO.

Folge einer Ablehnung der Berichtigung

Eine Ablehnung der Berichtigung hat der Verantwortliche zu begründen. Hierfür muss er unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags, die betroffene Person über die Gründe der Ablehnung informieren. Gleichzeitig muss er den Betroffenen über die Möglichkeit unterrichten, Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen (Art. 12 Abs. 4 DSGVO).

Ausnahmen vom Recht auf Berichtigung

Keine Regel ohne Ausnahme. Art. 23 DSGVO ermöglicht es der EU und den nationalen Gesetzgebern, die Transparenzpflichten aus Art. 16 DSGVO einzuschränken. Das bedeutet, dass es staatlichen Stellen ausnahmsweise erlaubt ist, die Pflicht des Verantwortlichen auf Berichtigung zu begrenzen. Diese Ausnahmen werden in Art. 23 Abs. 1 DSGVO abschließend aufgezählt. Hierzu gehören etwa Fälle der nationalen oder öffentlichen Sicherheit, der Landesverteidigung oder der Verhütung und Verfolgung von Straftaten. In diesen Fällen soll der Zugang zu Informationen sowie die Nutzung von Informationen ohne Einschränkung gewährleistet sein, soweit dies nach den europäischen Grundrechten und dem Grundgesetz zulässig ist.

Fazit: Berichtigungen sind zügig, kontrolliert und dokumentiert durchzuführen

Auf einen Antrag auf Berichtigung personenbezogener Daten sollten Verantwortliche zeitnah reagieren. Dabei ist eine ausreichende Identifikation des Betroffenen sowie die Dokumentation der Berichtigung unabdingbar.

Wie Sie unserer Anleitung zum Umgang mit Betroffenenanfragen entnehmen können, lohnt es sich, diese Prozesse zu standardisieren. Dafür eignet sich insbesondere unsere kostenlose Vorlage für eine Richtlinie zum Umgang mit Betroffenenanfragen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.