Recht auf Berichtigung (Art. 16 DSGVO)
Vorbemerkung
Die Datenschutzgrundverordnung schützt die Rechte und Freiheiten natürlicher Personen und insbesondere deren Recht auf den Schutz personenbezogener Daten. Um diesen Schutz zu gewährleisten, finden sich im Rahmen der Datenschutzgrundverordnung zahlreiche sog. „ Betroffenenrecht“, die es den Betroffenen ermöglichen sollen zu erfahren, wer welche Informationen über sie zu welchem Zweck gespeichert hat und wie diese genutzt werden. Für die meisten Unternehmen stellt es eine große Herausforderung dar, den Anforderungen der Betroffenenrechte nachzukommen. Der vorliegende Leitfaden zum Recht auf Berichtigung soll Orientierung und Werkzeug zugleich sein, um einem möglichen Antrag auf Berichtigung gerecht werden zu können. Für Unternehmen ist es sinnvoll, im Rahmen einer effizienten und sicheren Bearbeitung eines Antrags auf Berichtigung einen Prozess zu implementieren.
Allgemeines zum Recht auf Berichtigung
Das Recht auf Berichtigung beziehungsweise der Anspruch auf Berichtigung bezieht sich auf die Korrektur falscher Daten. Gem. Art. 16 DSGVO kann jede Person von demjenigen, der personenbezogene Daten von ihr verarbeitet (der Verantwortliche) verlangen, dass er unverzüglich ihre Person betreffende Daten berichtigt.
Rahmenbedingungen des Rechts auf Berichtigung
- Ein Antrag auf Berichtung kann jede natürliche Person stellen (d.h. Kunde/in, Mitarbeiter/in und sonstige Dritte).
- Die Antragstellung kann formlos erfolgen (d.h. mündliche Anträge z.B. per Telefon sind ebenso zu berücksichtigen wie Anträge die schriftlich per E-Mail oder Brief erfolgen).
- Im Rahmen des Berichtigungsanspruchs sind die Verantwortlichen verpflichtet, unrichtige Tatsachen zu korrigieren. Das Recht auf Berichtigung kann von einer betroffenen Person auch dann ich Anspruch genommen werden, wenn sie für die Unrichtigkeit der vorhandenen Daten selbst verantwortlich ist.
- Umfasst von dem Begriff der Berichtigung ist auch die Vervollständig und Aktualisierung der Daten. Ein Recht zur Vervollständigung besteht allerdings nicht, sofern die zusätzlichen Informationen nicht für den Verarbeitungszweck des Unternehmens erforderlich sind. Grundsätzlich sind die Daten auch aktuell zu halten. Dieser Grundsatz gilt allerdings nur, wenn der aktualisierte Datenbestand für den konkreten Verarbeitungszweck relevant ist.
- Die Berichtigung ist durch eine entsprechende Maßnahme durchzuführen. Dies kann, bezogen auf den konkreten Einzelfall, die Veränderung, die teilweise oder vollständige Löschung oder die Speicherung ergänzender oder neu erhobener Daten sein.
- Grundsätzlich gilt, dass die betroffene Person spätestens einen Monat nach Eingang des Berichtigungsantrags über die ergriffenen Maßnahmen zu informieren ist. Sofern die Frist nicht eingehalten werden kann, muss die dem Antragssteller unter Angabe von Gründen für die Verzögerung und der damit einhergehenden verlängerten Frist mitgeteilt werden.
- Die ergriffenen Maßnahmen zur Berichtigung haben unentgeltlich bzw. kostenlos zu erfolgen. Ein (angemessenes) Entgelt, kommt nur bei offenkundig unbegründeten oder exzessiven Anträgen in Betracht.
Verstoß gegen das Recht auf Berichtigung
Verstöße gegen das Recht auf Berichtigung, können mit Geldbußen geahndet werden. In diesem Rahmen sollte sich Unternehmen stets auch bewusst sein, dass die Richtigkeit der vorhandenen Daten der betroffenen Person auch von Vorteil für das Unternehmen selbst ist, da sich die Unrichtigkeit der Daten oftmals auch negative auf die internen Verarbeitungsprozesse auswirkt.
Praktische Vorgehensweise bei einem Antrag auf Berechtigung
Im Rahmen eines konkreten Antrags auf Berichtigung muss der Verantwortliche eine Vielzahl von Voraussetzungen beachten. In einem solchen Fall bietet sich folgende Vorgehensweise an:
1) Identitätsfeststellung
Wichtig ist zunächst, dass sich die verantwortliche Stelle vergewissert, dass die antragstellende Person die ist, die sie vorgibt zu sein. Bestehen Zweifel an der Identität der antragstellenden Person, sind weitere Informationen anzufordern, um die Identität zweifelfrei festzustellen. Die Monatsfrist zur Bearbeitung des Antrags auf Berichtigung beginnt erst mit der zweifelfreien Identitätsfeststellung. In diesem Zusammenhang sollte gleichzeitig die Gelegenheit ergriffen werden zu prüfen, ob die antragsstellende Person bereits vergleichbare Anträge gestellt hat. Exzessive Anträge können verweigert werden oder eine entsprechende Aufwandsentschädigung zur Folge haben.
2) Identifizierung der Datenbestände
Der Berichtigungsanspruch umfasst sämtliche Datenbestände, in denen die unrichtigen personenbezogenen Daten des Antragsstellers gespeichert sind. In diesem Rahmen sollten daher alle Datenbestände identifiziert werden, in denen die unrichtigen personenbezogenen Daten gespeichert sind. Hier sind alle Bereiche einzubinden, deren Unterstützung erforderlich sein könnte (zum Beispiel die IT-Abteilung oder die Personalabteilung).
3) Berichtigung der unrichtigen Daten
Die Berichtung der unrichtigen Daten muss hinsichtlich sämtlicher Datenbestände veranlasst werden.
4) Informierung des Antragstellers
Der Antragssteller muss entsprechend Informiert werden.
Besondere Konstellation
Falls der Verantwortliche die gespeicherten personenbezogenen Daten des/der Antragsteller/in an andere Empfänger übermittelt hat, müssen diese über die Berichtigung der Daten informiert werden, sofern dies vernünftigerweise möglich ist.