Was darf/muss ein Verantwortlicher zur Aktualisierung von personenbezogenen Daten tun? DSGVO Art 12, 16-17, 82-83
Eine aktive Aktualisierungspflicht, also das selbständige Nachforschen, ob Informationen noch richtig sind, wird einem Verantwortlichen - abhängig vom Zweck - im wirtschaftlich zumutbaren Ausmaß zukommen - Fehlerhafte Daten müssen richtiggestellt werden, unvollständig Daten müssen ergänzt werden - Im Falle von Datenschutzverletzungen drohen Sanktionen
Ein Betroffener kann die Löschung, Richtigstellung oder Aktualisierung verlangen. In diesem Fall muss dem Wunsch unverzüglich, jedenfalls aber binnen eines Monates entsprochen werden oder es muss begründet werden, warum dem Wunsch nicht entsprochen wird (Art 12 DSGVO).
Grundsätzlich ist kein Verantwortlicher verpflichtet, täglich alle Informationen aktiv nach ihrer Gültigkeit zu überprüfen. Jeder Verantwortliche ist aber verpflichtet ein technisches und organisatorisches System zu entwickeln, dass die Aktualisierungen im notwendigen Ausmaß sicherstellt.
Viele seriöse Verantwortliche stehen vor dem Problem die Aktualisierungspflichten gemäß Art 17 DSGVO angemessen zu erfüllen. Es sind viele Unternehmen von sich aus interessiert (Vermeidung von Portokosten, Streuverluste in der Werbung, ...) 'Karteileichen' und doppelte Datensätze zu erkennen und zu entfernen.
Für die Aktualisierungsarbeiten von Daten sind Auswertungs- und Abgleichprogramme, die etwa phonetische Unterschiede erkennen und entfernen, jedenfalls zulässig. Sicher zulässig ist es auch, verschiedene eigene, bisher getrennte Datenbestände eines Geschäftsbereiches miteinander zu verknüpfen und abzugleichen. Auch eigene Recherchen, wie Telefonanrufe bei eingetragenen Kunden und Interessenten, schriftliche Anfragen, Online-Recherchen, die Auswertung von veröffentlichten Telefonanschlussdaten (=Telefonbücher) oder auch der Zukauf von Adressen, etwa von der Wirtschaftskammer (Geschäftsdaten) oder von einem Adressenverlag werden erlaubt sein.
Problematisch wird es bei der Benutzung öffentlich-rechtlicher Datenbestände, also Informationen, die für gänzlich andere Zwecke vorgesehen sind, etwa die Meldeevidenz, die Wählerevidenz oder die Grundstücksdatenbank. Im Zuge gezielter Abfragen nach bestimmten Personen wird es auch hier zulässig sein, diese Daten zur Aktualisierung eigener Informationen zu verwenden, eine generelle Übernahme dieser Daten und eines Abgleichs mit den eigenen Informationen wird jedoch im Regelfall nicht erlaubt sein.
Das Beispiel der Meldeevidenz macht dies deutlich. Die Meldepflicht hat den Zweck, von jedem Bürger eine ladungsfähige Adresse zu haben. Diese Adresse ist nach dem Meldegesetz ident mit seinem gewöhnlichen Aufenthalt. Als Kunde eines Versandhauses oder eines sonstigen Unternehmens werde ich aber auch Waren an Adressen bestellen können bzw. dorthin liefern lassen können, wo ich nicht gemeldet bin. Für den Lieferant ist das Melderecht solange belanglos, als die Ware zuverlässig zugestellt werden kann und die Rechnungen bezahlt werden. Ein Abgleich mit den Meldedaten würde hier zusätzliche Fehler bringen. Erst wenn bei Zustellung oder Bezahlung etwas schiefläuft, wird es vielleicht notwendig sein, auf Meldedaten zurückzugreifen. Um das zu können, muss sich der Lieferant jedoch schon vorher über die Identität und die Zahlungsfähigkeit einer Person vergewissert haben.
Im Ergebnis ist die Datenpflege ein mühevolles und personal- und zeitintensives Geschäft, das den eigentlichen Kostenfaktor bei der Verwaltung personenbezogener Daten darstellt.
Wenn der Verantwortliche einem Löschungs- oder Richtigstellungsbegehren des Betroffenen, das heißt seiner Aktualisierungspflicht, nicht nachkommt, dann besteht die Beschwerdemöglichkeit bei der Datenschutzbehörde. Die Verletzung des Löschungs- und Berechtigungsrechts wird mit bis zu EUR 20 Mio., oder bei Unternehmen mit bis zu 4% des letzten weltweiten Jahresumsatzes bestraft (Art 83 Abs 5 DSGVO). Die Höchstrichter werden in Zukunft darüber entscheiden, wie hoch die Strafen tatsächlich sein werden. Weiters hat der Kunde das Recht auf Schadenersatz, sofern ein materieller oder immaterieller Schaden entstanden ist (Art 82 DSGVO). Für Schadenersatzklagen gemäß Art 16 und 17 DSGVO sind die Zivilgerichte (nicht die Datenschutzbehörde) zuständig.
mehr --> Löschungsanspruch gegenüber Wirtschaftsauskunftsdiensten & Banken mehr --> Entsorgung alter Personalunterlagen mehr --> Löschung von Daten bei Religionsgemeinschaften mehr --> Welche Rechte hat ein Betroffener bei Datenschutzverletzung? mehr --> Besteht Löschungspflicht bei erfolglosen Bewerbungen? mehr --> Beinhaltet das Recht auf Löschung auch ein Recht auf Herausgab... mehr --> Wann müssen Daten berichtigt oder gelöscht werden, Empfänger v... mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
|