Daten dürfen ausschließlich richtig verarbeitet werden – so fordert es die europäische Datenschutz-Grundverordnung (DSGVO) in Art. 5. Doch was bedeutet der Grundsatz der Richtigkeit der Verarbeitung für die Datenschutzpraxis im Unternehmen? Wann sind Daten korrekt? Wer ist dafür verantwortlich? Wie lange und mit welchem Aufwand ist die Richtigkeit zu gewährleisten? Ein praktischer Überblick!
Verarbeitung richtiger Daten
Die Verarbeitung korrekter und aktueller Daten ist aus Sicht des Betroffenen von großer Bedeutung. Dies gilt insbesondere dann, wenn diese Daten als Grundlagen für Entscheidungen dienen sollen, welche sogar Rechtswirkungen gegenüber den Betroffenen entfalten können.
Die Gewährleistung der Richtigkeit der Daten ist in allen Schritten des Verarbeitungszyklus relevant. Der Verantwortliche hat bereits bei Erhebung für die Richtigkeit der Daten zu sorgen. Wurden Daten bereits erhoben und gegebenenfalls gespeichert, müssen die Daten in allen Verarbeitungsprozessen weiterhin richtig bleiben und erforderlichenfalls aktualisiert werden. Werden unrichtige Daten verarbeitet, so sind diese zu berichtigen oder unverzüglich zu löschen.
Was sind richtige Daten?
Daten müssen nach Art. 5 Abs. 1 lit. d) DSGVO „sachlich richtig sein“. Sachlich richtig können nur solche Daten sein, welche einem objektiven Maßstab zugänglich sein. Dies sind also nicht Werturteile oder Meinungen, sondern ausschließlich Tatsachen. Diese müssen der Wahrheit entsprechen. Achtung bei Meinungsäußerungen: Tatsachen, welche die Grundlage von Werturteilen bilden, müssen ebenfalls sachlich richtig sein.
Wie ist die Richtigkeit der Verarbeitung sicherzustellen?
Der Verantwortliche hat nach dem Grundsatz der Richtigkeit gemäß Art. 5 DSGVO selbst dafür zu sorgen, dass die personenbezogenen Daten, die er verarbeitet, richtig sind. Hierbei sollte der Verantwortliche proaktiv tätig werden und nicht darauf warten, dass Betroffene ihr Recht auf Berichtigung gem. Art. 16 DSGVO geltend machen. Ist das mildere Mittel der Berichtigung nicht möglich, so müssen unrichtige Daten unverzüglich gelöscht werden.
Es gilt zu bestimmen welche Maßnahmen angemessen sind, um die Richtigkeit der Daten zu gewährleisten und insbesondere wann diese Maßnahmen notwendig sind.
Je mehr Zwischenschritte mit einer Datenverarbeitung verbunden sind, desto höher ist das Risiko der Unrichtigkeit von Daten. Ansonsten gilt der Maßstab: Je höher das Risiko für die Betroffenen ist bzw. je größer die Auswirkungen für die Betroffenen sind, desto mehr muss der Verantwortliche unternehmen, um die Richtigkeit der Daten zu garantieren. Dies gilt umso mehr, wenn die verarbeiteten Daten nachträglich nicht korrigiert werden können. Dies ist etwa der Fall bei Auskunfteien, welche Bewertungen über Personen an Dritte weiterleiten. Die Verwendung unrichtiger Daten kann unter diesen Umständen zu großen Nachteilen für den Betroffenen führen.
Auch Profiling und automatische Datenverarbeitungen können zu weitreichenden Konsequenzen für die Betroffenen führen. Aufgrund dessen sieht Erwägungsgrund 71 DSGVO vor, dass technische und organisatorische Maßnahmen zu treffen sind, welche sicherstellen, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und dass das Risiko von Fehlern minimiert wird. Die Pflicht zur Berichtigung besteht somit nicht nur auf Datenebene, sondern auch auf Ebene der Verarbeitungsprozesse.
Setzt der Verantwortliche bei der Datenverarbeitung Dritte oder Auftragsverarbeiter ein, so muss der Verantwortliche auch dafür sorgen, dass die Daten an jenen Stellen ebenfalls aktualisiert und berichtigt werden.
Wie ist die Richtigkeit von Daten aktuell zu halten?
Es kann durchaus sein, dass sich die Richtigkeit von Daten auf einen konkreten Zeitpunkt bezieht und eine nachträgliche Änderung nicht notwendig ist. Konnte z. B. ein Mitarbeiter krankheitsbedingt nicht am Arbeitsplatz erscheinen, so muss nachträglich der Gesundheitszustand nicht geändert werden, wenn der Mitarbeiter wieder gesund ist.
Aktuell und sachlich richtig müssen aber insbesondere Zutritts- und Zugangsberechtigungen von Personen sein. Werden diese nicht regelmäßig überprüft und entsprechend korrigiert, kann dies erhebliche Nachteile für die Sicherheit der Verarbeitung mit sich bringen.
Einmal richtige Daten können jedoch durchaus unrichtig werden. Es ist zu bedenken, dass mit fortgeschrittener Zeit das Vertrauen auf die Richtigkeit von Daten sinkt. Dies gilt insbesondere für veränderbare Daten wie etwa Anschrift oder persönliche Vorlieben. Deshalb ist es nicht nur wichtig richtige Daten zu erheben, sondern im Verlaufe der Datenverarbeitung auch zu aktualisieren und so auf dem neusten Stand zu halten.
Verstöße gegen Grundsätze sind keine Kavaliersdelikte
Da es sich bei der Richtigkeit der Verarbeitung um einen der Grundsätze des Art. 5 DSGVO handelt, gehören Verstöße hiergegen zur Kategorie, die mit höheren Bußgeldern geahndet werden können. Art. 83 Abs. 5 lit. a DSGVO sieht vor, dass die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen dürfen.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.