Der Grundsatz der Datenrichtigkeit nach Art. 5(1)(d) DSGVO verpflichtet jeden Verantwortlichen, personenbezogene Daten sachlich richtig und auf dem neuesten Stand zu halten. Unrichtige Daten müssen unverzüglich berichtigt oder gelöscht werden. Dieser Grundsatz ist kein theoretisches Konstrukt: Laut einer Analyse von Scrut.io (2025) wurden europaweit 74 Bußgelder unter Berufung auf Verstöße gegen die Datenschutzgrundsätze des Art. 5 DSGVO verhängt – darunter zahlreiche Fälle, in denen die Datenrichtigkeit DSGVO verletzt wurde.
Dieser Artikel erklärt, was Art. 5(1)(d) DSGVO in der Praxis verlangt, wie das Recht auf Berichtigung nach Art. 16 DSGVO funktioniert und welche Konsequenzen fehlerhafte Daten für Unternehmen haben.
Key Takeaways
- Art. 5(1)(d) DSGVO verlangt, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind.
- Der Verantwortliche muss angemessene Maßnahmen ergreifen, um unrichtige Daten unverzüglich zu berichtigen oder zu löschen.
- Betroffene Personen haben nach Art. 16 DSGVO ein Recht auf Berichtigung – Verantwortliche müssen innerhalb eines Monats reagieren.
- Die Datenrichtigkeit DSGVO gilt zweckbezogen: Daten müssen für den jeweiligen Verarbeitungszweck richtig sein, nicht in absolutem Sinne.
Der Wortlaut von Art. 5(1)(d) DSGVO
Art. 5(1)(d) DSGVO bestimmt:
“Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.”
Drei Elemente bestimmen die Pflicht:
Sachliche Richtigkeit: Die Daten müssen den tatsächlichen Gegebenheiten entsprechen. Ein falscher Name, eine veraltete Adresse oder ein fehlerhafter Bonitäts-Score stellen Verstöße dar.
Aktualität: Wo es der Verarbeitungszweck erfordert, müssen Daten auf dem neuesten Stand gehalten werden. Art. 5(1)(d) verlangt dies nicht pauschal, sondern “erforderlichenfalls” – die Aktualisierungspflicht hängt vom Zweck ab.
Angemessene Maßnahmen: Der Verantwortliche muss proaktiv Maßnahmen ergreifen, um die Richtigkeit sicherzustellen. Der Maßstab ist die Angemessenheit – keine absolute Garantie, aber auch nicht bloße Passivität.
Datenrichtigkeit in der Praxis: Was “richtig” bedeutet
Zweckbezogene Richtigkeit
Die Datenrichtigkeit DSGVO ist zweckbezogen zu beurteilen. Entscheidend ist, ob die Daten im Hinblick auf den Verarbeitungszweck richtig sind. Ein Beispiel: Wenn ein Unternehmen die Adresse eines Kunden für Lieferzwecke speichert und der Kunde umzieht, wird die gespeicherte Adresse unrichtig im Hinblick auf den Lieferzweck. Für den Zweck der historischen Dokumentation einer früheren Bestellung bleibt sie jedoch richtig.
Der EDPB hat klargestellt, dass der Grundsatz der Richtigkeit nicht verlangt, dass alle Daten in Echtzeit aktualisiert werden. Es geht um eine verhältnismäßige Anstrengung zur Sicherstellung der Richtigkeit.
Meinungen und subjektive Bewertungen
Die Frage, ob Meinungen und subjektive Bewertungen unter den Richtigkeitsgrundsatz fallen, ist differenziert zu beantworten. Der EuGH hat in der Rechtssache Nowak (C-434/16, 20. Dezember 2017) entschieden, dass auch subjektive Bewertungen (wie Prüfungsergebnisse oder Leistungsbeurteilungen) personenbezogene Daten darstellen. Die Richtigkeit bezieht sich in diesen Fällen darauf, dass die Bewertung als Meinung gekennzeichnet ist und auf korrekten Tatsachengrundlagen beruht.
Ein Beispiel: Ein Bonitäts-Score ist eine subjektive Bewertung. Die Datenrichtigkeit verlangt nicht, dass der Score “richtig” im absoluten Sinne ist, aber die zugrunde liegenden Tatsachen (Zahlungshistorie, Vertragsbeziehungen) müssen stimmen. Beruht ein negativer Score auf fehlerhaften Ausgangsdaten, liegt ein Verstoß gegen Art. 5(1)(d) DSGVO vor.
Historische Daten
Daten, die einen vergangenen Zustand korrekt abbilden, sind nicht allein deshalb “unrichtig”, weil sich die Verhältnisse geändert haben. Die Adresse eines Kunden zum Zeitpunkt einer Bestellung im Jahr 2023 ist auch 2026 noch richtig – als historische Information. Der Grundsatz der Speicherbegrenzung kann jedoch verlangen, dass diese Daten gelöscht werden, wenn der Speicherzweck entfällt.
Das Recht auf Berichtigung nach Art. 16 DSGVO
Art. 16 DSGVO gibt betroffenen Personen das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten zu verlangen. Zusätzlich besteht ein Recht auf Vervollständigung unvollständiger Daten.
Frist: Der Verantwortliche muss den Antrag innerhalb eines Monats bearbeiten (Art. 12(3) DSGVO). Eine Verlängerung um zwei weitere Monate ist bei komplexen Anträgen möglich, muss aber begründet und mitgeteilt werden.
Mitteilungspflicht: Art. 19 DSGVO verpflichtet den Verantwortlichen, die Berichtigung jedem Empfänger mitzuteilen, dem die Daten offengelegt wurden – es sei denn, dies ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden. In der Praxis bedeutet dies: Wenn ein Unternehmen fehlerhafte Kundendaten an einen Auftragsverarbeiter übermittelt hat, muss auch dieser die Daten berichtigen.
Keine Kosten: Das Auskunftsrecht und das Berichtigungsrecht sind für die betroffene Person kostenfrei (Art. 12(5) DSGVO).
Durchsetzung und Bußgelder
SCHUFA (BVerwG-Diskussion, laufend): Die Frage der Datenrichtigkeit bei Scoring-Verfahren ist in Deutschland besonders relevant. Mehrere Landgerichte haben der SCHUFA auferlegt, fehlerhafte Einträge zu korrigieren und Betroffene über die Korrektur zu informieren. Der BGH hat 2024 klargestellt, dass auch automatisiert berechnete Scores den Richtigkeitsanforderungen unterliegen.
Rumänische DPA (ANSPDCP, 2023): Die rumänische Aufsichtsbehörde verhängte 100.000 Euro gegen ein Telekommunikationsunternehmen, das fehlerhafte Zahlungsdaten von Kunden über Monate nicht korrigierte, obwohl Berichtigungsanträge nach Art. 16 DSGVO gestellt worden waren.
ICO (UK, 2021): Die britische Aufsichtsbehörde verhängte 500.000 Pfund gegen Clearview AI unter anderem wegen der Verarbeitung unrichtiger biometrischer Daten. Obwohl UK-Recht, illustriert der Fall die Reichweite des Richtigkeitsgrundsatzes.
LfDI Rheinland-Pfalz (2022): Die Landesaufsichtsbehörde beanstandete einen Inkassodienstleister, der Forderungen auf Basis veralteter Adressdaten eintrieb und Berichtigungsanträge systematisch ignorierte. Die Anordnung umfasste die Löschung aller fehlerhaften Datensätze und die Implementierung eines Berichtigungsprozesses.
Maßnahmen zur Sicherstellung der Datenrichtigkeit
Datenqualitätsprüfungen: Regelmäßige automatisierte Prüfungen auf Konsistenz, Vollständigkeit und Plausibilität. Adressdaten können gegen Postleitzahlenverzeichnisse geprüft, E-Mail-Adressen auf Syntaxfehler validiert werden.
Self-Service-Portale: Betroffenen Personen die Möglichkeit geben, ihre Daten selbst zu überprüfen und zu aktualisieren. Ein Kundenportal mit Zugang zu den gespeicherten Stammdaten erfüllt gleichzeitig die Anforderungen der DSGVO-Anforderungen an Transparenz und Betroffenenrechte.
Datenherkunft dokumentieren: Für jede Datenkategorie dokumentieren, aus welcher Quelle die Daten stammen und wann sie zuletzt aktualisiert wurden. Dies erleichtert die Bearbeitung von Berichtigungsanträgen und die Nachvollziehbarkeit bei Prüfungen durch Aufsichtsbehörden.
Prozess für Berichtigungsanträge: Ein formalisierter Prozess stellt sicher, dass Berichtigungsanträge innerhalb der Monatsfrist bearbeitet und die Berichtigung an alle Empfänger weitergeleitet wird. Der Datenschutzbeauftragte sollte die Einhaltung überwachen.
Schulungen: Mitarbeiter, die personenbezogene Daten erfassen oder verarbeiten, müssen für die Bedeutung der Datenrichtigkeit sensibilisiert werden. Fehlerhafte Dateneingabe ist eine der häufigsten Ursachen für Richtigkeitsverstöße.
FAQ
Muss jedes Unternehmen alle personenbezogenen Daten ständig aktualisieren?
Nein. Art. 5(1)(d) DSGVO verlangt eine Aktualisierung nur “erforderlichenfalls”. Die Aktualisierungspflicht hängt vom Verarbeitungszweck ab. Adressdaten für laufende Lieferverträge müssen aktuell gehalten werden; historische Bestelldaten aus abgeschlossenen Transaktionen müssen nicht laufend aktualisiert werden, sofern sie den Zustand zum Zeitpunkt der Transaktion korrekt abbilden.
Was passiert, wenn eine SCHUFA-Auskunft fehlerhafte Daten enthält?
Sie haben nach Art. 16 DSGVO das Recht, die unverzügliche Berichtigung zu verlangen. Die SCHUFA muss innerhalb eines Monats reagieren. Weigert sie sich, können Sie Beschwerde bei der zuständigen Aufsichtsbehörde einlegen (Art. 77 DSGVO) oder den Rechtsweg beschreiten (Art. 79 DSGVO). Bei nachweisbar fehlerhaften Einträgen haben Sie nach Art. 82 DSGVO Anspruch auf Schadensersatz.
Wie verhält sich die Datenrichtigkeit zur Meinungsfreiheit?
Subjektive Bewertungen und Meinungen unterliegen dem Richtigkeitsgrundsatz insoweit, als die zugrunde liegenden Tatsachen korrekt sein müssen. Eine als Meinung erkennbare Leistungsbeurteilung muss nicht “objektiv richtig” sein, aber auf richtigen Fakten basieren. Die Meinungsfreiheit (Art. 11 EU-Grundrechtecharta) begrenzt den Richtigkeitsanspruch bei reinen Werturteilen.
Gelten besondere Anforderungen für automatisierte Entscheidungssysteme?
Ja. Art. 22 DSGVO regelt die automatisierte Einzelentscheidung. Wenn solche Systeme auf fehlerhaften Daten basieren, liegt ein Verstoß gegen Art. 5(1)(d) vor, der gleichzeitig die Rechtmäßigkeit der automatisierten Entscheidung infrage stellt. Der EuGH hat im SCHUFA-Urteil (C-634/21, 7. Dezember 2023) die Anforderungen an die Datenqualität bei Scoring-Verfahren verschärft.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
