In „Datenschutz verstehen: Die EU-Verordnung in Kurzform“ wurde die Richtigkeit (zusammen mit der Integrität) mit der Tatsache begründet, dass die Richtigkeit der Daten notwendig ist, um für die erklärten Zwecke geeignet zu sein.Eine Verarbeitung, die nicht zweckdienlich ist, kann keinen Machtzuwachs gegenüber einer betroffenen Person rechtfertigen.Siehe Verbot einer nicht zweckdienlihen Verarbeitungfür weitere Einzelheiten.
Neben der Zweckmäßigkeit kann die Verarbeitung unrichtiger Daten auch negative Folgen für die betroffenen Personen haben.Diese können von einem erhöhten Aufwand, der zur Ausübung ihrer Rechte erforderlich ist, über die Verneinung von Rechten und Möglichkeiten bis hin zu negativen finanziellen oder rechtlichen Folgen reichen.Eine Verarbeitung, die mit solchen Mängeln behaftet ist, ist wohl nicht zweckmäßig, würde aber zusätzlich gegen den Grundsatz der Verarbeitung nach Treu und Glaubenverstoßen (siehe 0 oben).
In der Datenschutz-Grundverordnung wird dieser Grundsatz wie folgt definiert:
| Definition laut Art. 5 Absatz 1 Buchstabe dDSGVO:
Personenbezogene Daten müssen sachlich richtig underforderlichenfalls auf demneuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitungunrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“); |
Im Folgenden werden verschiedene Aspekte der Richtigkeitnäher erläutert:
Wie lässt sich die Richtigkeit beurteilen?
Der Begriff der Richtigkeit muss objektiv sein.Es muss zweifelsfrei überprüfbar sein, ob die Daten richtig sind oder nicht, und verschiedene Prüfer müssen zu derselben Einschätzung kommen.Dies ist nur möglich, wenn die Daten nachprüfbare Tatsachen darstellen.Dies ist zum Beispiel nicht der Fall bei Daten, die eine Äußerung oder Meinung einer Person darstellen.
Die Überprüfung der Richtigkeit von Daten beinhaltet daher in der Regel die Überprüfung der den Daten zugrunde liegenden Fakten.Um beispielsweise zu überprüfen, ob eine Mobiltelefonnummer tatsächlich zu einer Person gehört, könnte eine Testnachricht mit einem Zufallscode über einen anderen Kanal gesendet und wieder empfangen werden.
In einigen Fällen kann es die betroffene Person sein, die dem Verantwortlichen die erforderlichen Nachweise für Fakten vorlegt, die eine Überprüfung ermöglichen.So kann eine betroffene Person beispielsweise eine von einer vertrauenswürdigen Behörde ausgestellte Wohnsitzbescheinigung vorlegen, um die Überprüfung einer Wohnsitzadresse zu unterstützen.
Was bedeutet „auf dem neuesten Stand“?
Bei der Beurteilung des neusten Stands von Daten sind die Zwecke der Verarbeitung zu berücksichtigen.So kann ein Verkäufer beispielsweise die Lieferadresse einer betroffenen Person speichern, obwohl diese inzwischen umgezogen ist.Wenn der Zweck der Verarbeitung darin besteht, der betroffenen Person tatsächlich Waren zu liefern, ist die Adresse offensichtlich nicht mehr auf den neuesten Stand und die Daten sind für den Zweck ungeeignet.Besteht der Zweck der Verarbeitung jedoch in der Rechnungsstellung für bereits gelieferte Waren, so ist die alte Adresse als aktuell zu betrachten.
Wie wird die Unrichtigkeit von Daten entdeckt?
Unrichtige (einschließlich veralteter) Daten müssen von dem Verantwortlichen unverzüglich berichtigt oder gelöscht werden.Aber wie wird die Unrichtigkeit der Daten eigentlich entdeckt und welche Verantwortung tragen die Verantwortlichen?
Der wahrscheinlich wichtigste Mechanismus für Verantwortliche, um Unrichtigkeiten in ihren Daten aufzudecken, ist die Benachrichtigung durch die betroffene Person[1].Insbesondere muss die betroffene Person über die Verarbeitung informiert sein (siehe Artikel 13 und 14 DSGVO) und Zugang zu den von dem Verantwortlichen verwendeten Daten haben (siehe Artikel 15 DSGVO).Auf dieser Grundlage kann sie die Richtigkeit ihrer Daten überprüfen und gegebenenfalls ihr Recht auf Berichtigung ihrer Daten geltend machen (siehe Art. 16 DSGVO).In diesem Fall erfüllt der Verantwortliche die Verpflichtung zur Überprüfung der Richtigkeit der Daten, indem er das Recht auf Berichtigung in angemessener Weise unterstützt.
Wenn Daten direkt bei den betroffenen Personen erhoben werden, kann der Verantwortliche in den meisten Fällen davon ausgehen, dass die erhaltenen Daten (zumindest zum Zeitpunkt der Erhebung) richtig sind.Die Situation kann anders sein, wenn die Daten von einer anderen Quelle erhoben werden.In diesem Fall ist der Verantwortliche verpflichtet, die Richtigkeit der erhaltenen Daten zu überprüfen, zumindest im Hinblick auf ihre Eignung für die erklärten Zwecke der Verarbeitung und auf etwaige negative Folgen, die Unrichtigkeiten für die betroffenen Personen haben können.
Bei einigen Datenelementen reicht die Tatsache, dass sie direkt bei den betroffenen Personen erhoben wurden, möglicherweise nicht aus, damit ein Verantwortlicher von der Richtigkeit ausgehen kann.Dies ist insbesondere dann der Fall, wenn eine möglicherweise unzutreffende Angabe zu Vorteilen für die betroffene Person führt.In diesen Fällen muss der Verantwortliche unter Umständen im Vorfeld eine Überprüfung der Daten als integralen Bestandteil der Datenerhebung vornehmen.Dies ist beispielsweise möglich, indem die betroffenen Personen aufgefordert werden, die behaupteten Tatsachen von einer vertrauenswürdigen Stelle bestätigen zu lassen.
Quellenangaben
1Andere Mechanismen sind zum Beispiel Konsistenzprüfungen, übermäßige Varianz oder ein Mangel an erwarteter Korrelation. ↑