Die regelmäßigen Leser*innen unseres Blogs kennen die Berichte zu absurden und skurrilen Geschichten aus der Welt des Datenschutzes. Heute wollen wir Ihnen zeigen, wie es der Richtigkeitsgrundsatz, der in der täglichen Praxis meist weniger Aufmerksamkeit erhält als z. B. die Grundsätze der Zweckbindung oder Datensparsamkeit, in unser Kuriositätenkabinett geschafft hat.

Der Richtigkeitsgrundsatz nach Art. 5 Abs. 1 lit. d DSGVO besagt, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Es sind alle angemessenen Maßnahmen zu treffen, damit sie (die Daten), falls sie im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

So weit, so simpel – was kann da schieflaufen?

Das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) berichtet in seinem 43. Tätigkeitsbericht für das Jahr 2024 (S. 31 f.) von einem ungewöhnlichen Vorfall rund um den Richtigkeitsgrundsatz:

Der Fall betraf die fehlerhafte Zustellung eines Bescheids zur zwangsweisen Fahrzeugstilllegung. Eine Betroffene erhielt ein amtliches Schreiben, das zwar korrekt an sie adressiert war, aber inhaltlich die Daten eines fremden Fahrzeughalters enthielt – inklusive Informationen über dessen Kfz und den abgelaufenen Versicherungsschutz. Die Zulassungsstelle reagierte zunächst nicht, als die Betroffene per E-Mail auf den Fehler hinwies.

Die Verwechslung hatte für die Betroffene erhebliche Folgen. Die Zulassungsstelle beauftragte das Ordnungsamt der zuständigen Amtsverwaltung damit, das Kennzeichen der Betroffenen zu entsiegeln und das Fahrzeug stillzulegen. Zwar dürfen Zulassungsstellen gemäß § 35 Abs. 1 Nr. 1 StVG Daten an lokale Behörden übermitteln, doch in diesem Fall wurden offenbar unzutreffende personenbezogene Daten weitergegeben.

Weder der fehlerhafte Bescheid noch eine Bestätigung über die bestehende Kfz-Versicherung für das Fahrzeug der Betroffenen konnten die Ordnungskräfte von der Maßnahme abhalten. Letztlich wurde aufgrund der Verwechslung das Fahrzeug der Betroffenen augenscheinlich ohne rechtliche Grundlage stillgelegt. Auch weitere Kontaktversuche bei der Zulassungsstelle blieben erfolglos.

Datenschutzrechtlich relevant ist hier der Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO: Personenbezogene Daten müssen korrekt und aktuell sein. Fehlerhafte Daten müssen unverzüglich berichtigt oder gelöscht werden.

Letztlich konnte durch Einschaltung des Datenschutzbeauftragten der verantwortlichen öffentlichen Stelle der Kontakt zur Zulassungsstelle hergestellt und der Fehler anschließend durch die Ausstellung einer neuen Zulassungsplakette rückabgewickelt werden. Zudem wurde dem ULD zugesagt, dass der eigentliche Adressat der Stilllegung über die Offenlegung seiner personenbezogenen Daten an eine fremde Person informiert wird.

Fazit

Der Fall wirft viele Fragen auf: Hat die Zulassungsbehörde nach dem ersten Hinweis der Betroffenen die Fahrzeughalter dahingehend vermeintlich korrigiert, dass für das Fahrzeug der Betroffenen kein Versicherungsschutz angenommen wurde? Oder wurden die Ordnungskräfte mit den Daten des eigentlich adressierten Fahrzeughalters an die Anschrift der Betroffenen geschickt und haben dort ein Fahrzeug mit einem völlig falschen Kennzeichen ohne weitere Überprüfung stillgelegt? Aufklären wird man dies ohne Einblicke in die Zulassungsstelle wohl nicht.

Im Hinblick auf den Datenschutz zeigt der Fall, dass Hinweise auf fehlerhafte Daten ernst genommen und im Zweifel der*die Datenschutzbeauftragte um Unterstützung gebeten werden sollten. Ein Berichtigungsantrag nach Art. 16 DSGVO verlangt ebenso wie ein Auskunfts- oder Löschverlangen nach unverzüglichem Handeln und einer fristgerechten Antwort an die betroffene Person. Das Nichtbearbeiten eines Betroffenenrechts, wie hier eines (zumindest konkludent anzunehmenden) Berichtigungsanspruchs, könnte zu einer Schadensersatzforderung nach Art. 82 DSGVO (z. B. für den Nutzungsausfall des Kfz) führen.

Eine Verwechslung personenbezogener Daten geht zudem häufig mit der Offenlegung personenbezogener Daten gegenüber Unberechtigten einher; die dadurch erzeugte Datenpanne müsste dann – sofern die Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt – binnen 72 Stunden gemeldet werden. Ob dies im vorliegenden Fall erfolgt ist oder das ULD erst auf anderem Wege von dem Vorfall erfahren hat, lässt sich dem Tätigkeitsbericht jedoch nicht zweifelsfrei entnehmen.

| | | , , , , , , , , , , | 1 Kommentar