Mal angenommen, Sie heißen mit Vornamen „Alexa“ oder „Siri“ – dann können Sie eine Namensänderung nach § 3 Abs. 1 NamÄndG anstreben und womöglich die Änderung Ihres Vornamens (durch Hinzuziehung eines zweiten Vornamens) erreichen. Denn zumindest in Niedersachsen gab das Verwaltungsgericht Göttingen mit Urteil vom 21.06.2022 (Az. 4 A 79/21) einer Klägerin Recht, die auf Grund ihres Vornamens – der identisch mit dem eines bekannten Sprachassistenten ist – erheblich unter Mobbing und Hänseleien gelitten haben soll und deshalb diese Änderung wünschte.
Eine Änderung des Namens, sei es der Vorname oder sei es der Nachname nach einer Hochzeit, kann auch datenschutzrechtlich relevante Folgen nach sich ziehen. Schließlich besteht ein Anspruch der betroffenen Person auf Berichtigung der sie betreffenden unrichtigen personenbezogenen Daten nach Art. 16 DSGVO. Und unrichtig wären die personenbezogenen Daten in einer Datenbank oder im Kundenkonto nach eben jener Namensänderung angesichts der Abweichungen zu den Personalien aus dem Personalausweis. Gleiches gilt im Übrigen auch bezüglich der Aktualisierung der angegebenen Wohnadresse nach dem persönlichen Umzug. Weitere Szenarien sind natürlich denkbar.
Anspruch nach Art. 16 DSGVO
Der Berichtigungsanspruch aus Art. 16 DSGVO, wonach die betroffene Person vom für die Datenverarbeitung Verantwortlichen unverzüglich die Berichtigung der sie betreffenden Daten verlangen kann, ist in der Praxis längst gelebt und dennoch eher unbekannt.
Zwar ergibt sich bereits mittelbar aus den datenschutzrechtlichen Grundsätzen gem. Art. 5 Abs. 1 lit. d DSGVO, dass die personenbezogenen Daten „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein“ müssen und vielmehr sogar: „alle angemessenen Maßnahmen zu treffen [sind], damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden“ – doch der Verordnungsgeber wollte im Rahmen der Betroffenenrechte (Kapitel III der DSGVO) noch ein ausdrückliches Steuerungsinstrument hierfür schaffen und in ein einheitliches Gerüst verankern.
Umsetzung
Das Recht auf Berichtigung gem. Art. 16 DSGVO sieht vor, dass die betroffene Person die angestrebte Änderung unrichtiger personenbezogener Daten vom Verantwortlichen „unverzüglich“ verlangen kann, wenn der Umstand eingetreten ist. Die verantwortliche Stelle muss den Anspruch in Anlehnung an die allgemeinen Anforderungen gem. Art. 12 Abs. 3 S. 1 DSGVO i. d. R. auch nach Kenntniserlangung unverzüglich und nach Art. 12 Abs. 5 DSGVO grundsätzlich unentgeltlich umsetzen, d.h. der Verantwortliche kann hierfür in der Regel keine Gebühr verlangen.
Allerdings existieren keine konkreten Vorgaben zur „Unverzüglichkeit“, so dass vielmehr auch die Frist zur Umsetzung der Betroffenenrechte von bis zu einem Monat (Art. 12 Abs. 3 S. 1 DSGVO: „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“) herangezogen werden kann.. Gleichwohl wäre eine schnelle Bearbeitung geboten.
Da die Geltendmachung des Berichtigungsanspruchs nach Art. 16 DSGVO eine (eigenständige) Verarbeitung personenbezogener Daten durch den Verantwortlichen darstellt, löst dieser Vorgang– strenggenommen – eine neue Information über die Datenverarbeitung im Rahmen der Bearbeitung des Antrags nach Art. 13 DSGVO aus, so dass entsprechende Datenschutzhinweise der betroffenen Person bei Antwort bzw. an geeigneter Stelle zugänglich zu machen wären. Dies ist insbesondere dann anzunehmen, wenn die Prüfung des Anspruchs auch eine Personenidentifikation vorsieht, beispielsweise durch die Vorlage eines Beweises in Form von offiziellen Dokumenten.
Überdies müsste wegen der Rechenschaftspflichten aus Art. 5 Abs. 2 DSGVO die Umsetzung des Betroffenenrechts vom Verantwortlichen für drei Jahre dokumentiert werden, um im Zweifel einen Nachweis der Einhaltung der Pflichten aus der DSGVO führen zu können. Daher sollte auch transparent auf den Umstand hingewiesen werden, dass sämtliche Daten im Zusammenhang dieser Anfrage nunmehr für drei Jahre vorgehalten werden – selbst, wenn die Person eigentlich eine Löschung der Daten begehrte.
Sollten sich Verantwortliche weigern, diesem Anspruch nachzukommen, könnten auch Sanktionen der Aufsichtsbehörden wie auch ein Schadensersatz nach Art. 82 DSGVO durch die Betroffenen drohen. Einige bekannte Bußgelder aus der Vergangenheit verdeutlichen diese Gefahren.
Fazit
Aus verschiedenen Gründen sollte der Verantwortliche daran interessiert sein, dass die Datensätze von z. B. Beschäftigten oder Kund*innen auch korrekt sind, beispielsweise für die Zusendung von Briefpost oder die Rechnungstellung. Auch sollte keine unzulässige Datenverarbeitung von nicht mehr korrekten Daten bestehen. Die reibungslose und kostenlose Umsetzung der Berichtigung von Datensätzen ist daher das Ziel und sollte daher keinen größeren technischen Hürden ausgesetzt sein.
Die sich aus den Betroffenenrechten ergebenen Folgen werden in der Praxis zumeist übersehen und könnten dann ein Risiko begründen.