Gratis
3. November 2017 - Bedeutung und Umsetzung

Datenschutz-Grundverordnung: Daten­richtigkeit in der Praxis

Einer der zentralen Grundsätze der Datenverarbeitung in der Datenschutz-Grundverordnung (DSGVO) ist die Datenrichtigkeit. Der Grundsatz ist nicht neu – mit Anwendbarkeit der Verordnung aber beachtenswerter denn je. Denn eine Verletzung ist bußgeldbewehrt. Was gehört alles zur Datenrichtigkeit?

Was ist unter Datenrichtigkeit genau zu verstehen? Vor allem wenn Unternehmen Daten als Grundlage für Entscheidungen nutzen, wie etwa beim (Kredit-)Scoring oder Profiling, ist eine korrekte Datenbasis für den Verantwortlichen ebenso wichtig wie für Betroffene (Bild: Stock.com / peterhowell)

Datenrichtigkeit liegt dann vor, wenn die gespeicherten Daten zu bestimmten Personen Tatsachen über deren persönliche und sachliche Verhältnisse im Hinblick auf den jeweiligen Verarbeitungszweck (!) sachgerecht und der Wirklichkeit entsprechend wiedergeben.

Das ist etwa der Fall, wenn im Rahmen des betrieblichen Bewerber-Managements Daten über die Bewerber, alle Ausbildungsstationen, Fortbildungen und persönliche Verhältnisse korrekt erfasst und der Wirklichkeit entsprechend gespeichert sind und auf dieser Basis eine Entscheidung über die Einstellung erfolgt.

Auch der Verarbeitungszweck ist wichtig. Es macht einen Unterschied, ob Daten zu Marketingzwecken oder für die Vertragsabwicklung verarbeitet werden.

So ist beispielweise die Ziffernfolge 0123456 als Telefonnummer im Datenfeld „Kontaktdaten“ richtig, die gleiche Folge als Kontonummer im Kontext von Zahlungseingängen falsch.

Was bedeutet Datenrichtigkeit?

Der Grundsatz der Datenrichtigkeit lässt sich in drei Aspekte unterteilen: Datenwahrheit, -aktualität und -vollständigkeit.

3 Aspekte der Datenrichtigkeit

Erster Aspekt: Datenwahrheit

Der erste Aspekt betrifft die sachliche Richtigkeit. Das bedeutet, dass die Daten vor dem Hintergrund ihres Verarbeitungszwecks sachlich richtig sein müssen.

Die Daten müssen den Betroffenen, seine Beziehung zum Verantwortlichen und seine Verhältnisse korrekt darstellen.

Mit der Datenrichtigkeit ist auch die Authentizität der Daten verbunden. Die Daten müssen den Betroffenen eindeutig zugeordnet und mit diesen verknüpft werden. Das gilt insbesondere bei mehreren Datensätzen mit mehreren Betroffenen.

Zweiter Aspekt: Datenaktualität

Nicht mehr aktuelle Daten wie eine veraltete Adresse sind ebenfalls unrichtig. Daten sind also auf dem korrekten Stand zu halten. Hauptbezugspunkt ist der Zeitpunkt der Beurteilung.

Das gilt auch, wenn es sich um Daten handelt, die nach einer gewissen Zeit ihre rechtliche Bedeutung verlieren, etwa bei arbeitsrechtlichen Abmahnungen. Kommen neue Daten hinzu, müssen bereits vorhandene Daten aber nicht automatisch veralten.

Ein Freifahrtschein zur Datenspeicherung auf Vorrat ist damit jedoch nicht verbunden: Der Grund für die Speicherung muss weiterhin legitim und stark wahrscheinlich – nicht bloß möglich – sein.

Sind Datensätze bereits seit Längerem (unverändert) gespeichert und kommen neue Daten hinzu, so bietet sich eine Überprüfung der Datenaktualität an. Vergleichbares gilt für Datenhistorien, etwa bei Backups zur Datensicherung. Auch sie müssen vor dem Hintergrund anderer Pflichten auf dem aktuellen Stand sein.

Die innerbetriebliche Backup-Frequenz sollte die Häufigkeit der Datenänderungen widerspiegeln. So ändern sich die Daten etwa bei Banken im Buchungs- und Zahlungsverkehr sehr oft. Hier empfiehlt sich eine gesteigerte Frequenz der Backups (tage-, wochen- oder monatsweise).

Dritter Aspekt: Datenvollständigkeit

Daten sind auch dann unrichtig, wenn sie unvollständig und daher z.B. ungeeignet sind, einen Verarbeitungszweck zu erreichen. Das gilt etwa, wenn im E-Commerce-Bereich Zahlungsdaten fehlen.

Unvollständigkeit ist auch anzunehmen, wenn es vor dem Hintergrund der Datenverarbeitung zu Missverständnissen oder Fehlannahmen kommen kann. Fehlen z.B. Daten zum eigentlich korrekt erfassten „Zahlungseingang“, entstehen leicht Missverständnisse, was die Zahlungswilligkeit eines Kunden betrifft.

Hierzu müssen Verantwortliche im Vorhinein für jeden Verarbeitungsprozess Faktoren definieren, die für ein richtiges Ergebnis im Hinblick auf den Zweck ausschlaggebend sind.

Der Verantwortliche muss sich daher z.B. fragen, welche Faktoren (z.B. Anzahl Kontowechsel, Zahlungsverhalten, Wohnort) zu einem vollständigen und richtigen Ergebnis führen.

Hilfreich ist es dabei, die Datensätze spezifisch zu benennen und ihre Bedeutung zu klären. Ebenso helfen Aktualitätsvermerke in den Dateien. Eine gute Grundlage für eine spätere Überprüfung ist zudem die Verfahrensdokumentation (Art. 30 DSGVO).

Sie muss die beteiligten Daten sowie die Datenarten und -kategorien, die Gegenstand der jeweiligen Verarbeitung sind, vollständig dokumentieren.

Datenrichtigkeit bei Big-Data-Analysen

Datenrichtigkeit ist gerade bei der Analyse großer Datenmengen wichtig. Denn unvollständige (Ausgangs-)Daten generieren unrichtige Analyse-Ergebnisse. Hier helfen Plausibilitätskontrollen oder Algorithmen zumindest teilweise, unrichtige Datensätze herauszufiltern und auszuschließen.

Je länger eine Datenverarbeitung dauert und je umfangreicher sie ist, desto höher ist das Risiko, mit unrichtigen Daten zu arbeiten. Hier kommen weitere Datenschutzgrundsätze ins Spiel, v.a. Datenminimierung und Speicherbegrenzung.

Konkret: Hat der Verantwortliche z.B. passende Löschkonzepte etabliert? Überprüft er einzelne Datenbestände regelmäßig auf Redundanzen?

Lässt sich immer die Richtigkeit von Daten beurteilen?

Es gibt Fälle, in denen sich die objektive Richtigkeit von Daten nicht oder nicht leicht beurteilen lässt. Das ist etwa bei (Be-)Wertungen der Fall.

Grundsätzlich sind nur Tatsachen („Betroffener ist männlich“) einer objektiven Überprüfung und Korrektur zugänglich, Werturteile („Betroffener sieht männlich aus“) jedoch kaum. Das kann zu Problemen führen, die Betroffenenrechte zu gewährleisten.

Die zentrale Frage ist, welcher Tatsachen-Kern den (Be-)Wertungen jeweils zugrunde liegt. So sind medizinische Diagnosen fachlich fundierte, aber subjektive (Be-)Wertungen von Gesundheitszuständen.

Diese Diagnosen haben jedoch in der Humanwissenschaft eine Tatsachenbasis als objektive Grundlage und sind einer Überprüfung und Korrektur zugänglich.

ACHTUNG: Gerade bei der Verarbeitung von sensiblen Daten bietet sich eine separate Speicherung und/oder Kennzeichnung an. Das ermöglicht eine schnellere Zuordnung, z.B. bei Auskunftsverlangen.

Zu beachten ist aber, dass sich bei (Be-)Wertungen häufig weder die Richtigkeit noch die Unrichtigkeit beweisen lässt. Die Folge: Der Verantwortliche muss die Verarbeitung einschränken.

Überprüfungs- und Berichtigungspflicht

Die DSGVO verlangt grundsätzlich keine proaktive Überprüfung der Datenbestände. Jedoch muss der Verantwortliche ab Kenntnisnahme tätig werden.

Weiß er – z.B. durch eine Mitteilung des Betroffenen – von (potenziell) unrichtigen Daten, so muss er dieses Anliegen unverzüglich überprüfen. Stellt sich dabei heraus, dass Daten tatsächlich unrichtig sind, sind sie zu berichtigen, zu ergänzen oder zu löschen.

Stellt sich heraus, dass die Daten vor dem Hintergrund ihres Verarbeitungszwecks sachlich richtig, vollständig und aktuell sind, so sollte der Betroffene über diese Entscheidung informiert und der Fall geschlossen werden.

In Fällen, in denen sich – nach aufwendiger Prüfung – weder die Richtigkeit noch die Unrichtigkeit feststellen lässt, sind die Daten mit einem Vermerk der „Unerweislichkeit“ für die Verarbeitung zu kennzeichnen, zu sperren und in der Datenverwaltung zu trennen.

WICHTIG: Bestreitet ein Betroffener die Richtigkeit, so hat der Verantwortliche den Sachverhalt unverzüglich, spätestens aber innerhalb eines Monats (Erwägungsgrund 59) zu überprüfen.

Nachberichts- und Informationspflichten

Hat der Verantwortliche Daten berichtigt, gelöscht oder hat er ihre Verarbeitung eingeschränkt, so sieht Art. 19 DSGVO eine Nachberichtspflicht vor. Danach muss er grundsätzlich allen Empfängern der Daten die Änderungen im Hinblick auf die Datensätze aktiv mitteilen.

Als Empfänger kommen etwa in Betracht Auftragsverarbeiter, Tochtergesellschaften, Dienstleister, Adresshändler, aber auch Behörden.

TIPP: Bei der Übermittlung kann eine „Zustandsdokumentation“ eines Datenbestands zu einem bestimmten Zeitpunkt, z.B. zum Zeitpunkt der Übermittlung, helfen, im Nachhinein die Richtigkeit der Daten zu diesem Zeitpunkt zu belegen.

Das dient zudem den Dokumentations- und Rechenschaftspflichten. Ebenso sind besonders bei der Auftragsverarbeitung vertragliche Vereinbarungen wichtig, die u.a. Maßnahmen festlegen, um

  • unrichtige Daten zu verhindern,
  • die Benachrichtigung bei Auffälligkeiten sicherzustellen und
  • den Korrekturprozess auszugestalten.

Gegenüber den Betroffenen muss nach Art. 19 Satz 2 DSGVO eine Mitteilung über die Empfänger der Daten allerdings nur auf ausdrückliches Verlangen und nicht automatisch erfolgen.

Die Mitteilung des Verantwortlichen muss unverzüglich erfolgen, bedarf keiner besonderen Form und kann schriftlich, elektronisch oder mündlich erfolgen. Die letzte Variante ist jedoch aus Nachweisgründen problematisch.

Bei der Ausgestaltung der unentgeltlichen Mitteilung ist darauf zu achten, dass die Mitteilung in präziser, transparenter, verständlicher und leicht zugänglicher Form und Sprache verfasst ist.

Eine Vorab-Erstellung von diesbezüglichen Templates, also vorgefertigten Textmodulen, spart Ressourcen und reduziert die Reaktions- und Erledigungszeit.

Wie die Datenrichtigkeit gewährleisten? Risiken und Maßnahmen bestimmen

Im Verhältnis zum Risiko muss der Verantwortliche Maßnahmen bestimmen und umsetzen, die die Datenrichtigkeit gewährleisten.

Als Faustformel gilt: Je größer die Risiken der Verarbeitung, desto umfangreichere (auch kumulative) Maßnahmen sind nötig, um die Datenrichtigkeit sicherzustellen.

Datenkategorisierungen, die den Verarbeitungszweck berücksichtigen, helfen, die Risiken der verarbeiteten Daten zu identifizieren. Im Idealfall existiert eine Datenschutz-Folgenabschätzung, die die Risiken schon für konkrete Datenarten zu jeweiligen Prozessen analysiert hat.

Fazit: Auseinandersetzung unumgänglich

Richtige Daten sowie die damit zusammenhängende Dokumentation und Protokollierung sind für die Datenschutz-Compliance im Unternehmen essenziell.

Die DSGVO bringt hier keine großen Neuerungen. Wohl aber zwingt sie  dazu – gerade wegen der Bußgelder –, sich erneut mit dem Grundsatz innerbetrieblich auseinanderzusetzen.

Kevin Marschall
Kevin Marschall, LL.M., ist wissenschaftlicher Mitarbeiter an der Universität Kassel mit dem Schwerpunkt Datenschutzrecht. Er publiziert und referiert regelmäßig über praxisbezogene Datenschutzthemen.

Anzeige

Datenschutz PRAXIS Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen.

Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!