Recht auf Berichtigung bei Angabe falscher Daten im Rahmen der Registrierung? – Hessische Aufsichtsbehörde: ja und nein

Auf der Webseite des EDSA wurde die Zusammenfassung (PDF) einer neuen Entscheidung der Hessischen Datenschutzbehörden vom 19.11.2021 im Wege des One Stop Shop Mechanismus veröffentlicht.

Sachverhalt

Der Fall betrifft eine Registrierung bei einem Dienst, in deren Zuge der Betroffene ein falsches Geburtsdatum eingab. Der Dienst durfte nach den Nutzungsbedingungen nur von Volljährigen genutzt werden. Daher gab der minderjährige Betroffene ein falsches Geburtsdatum an. Zudem wählte er noch ein Pseudonym als Account Namen.

Der Betroffene macht nun, nachdem er volljährig war, sein Recht nach Art 16 GDPR auf Berichtigung der, von ihm selbst, falsch angegeben Daten geltend. Das Unternehmen verweigerte die Berichtigung beider Daten.

Entscheidung

Die Aufsichtsbehörde lehnte die Beschwerde in Bezug auf die Berichtigung des Account Namens, also des Pseudonyms, ab.

„Ein von der betroffenen Person frei gewähltes Pseudonym kann nicht unrichtig im Sinne von Artikel 16 Absatz 1 DSGVO sein, auch wenn es Namen oder andere Daten von Dritten enthalten kann.“

Jedoch geht die Behörde davon aus, dass das Geburtsdatum zu berichtigen sei. Auch wenn dies von dem betroffenen falsch angegeben wurde und selbst auch dann, wenn dies einen Verstoß gegen die Nutzungsbedingungen der Plattform darstellt.

„Das Recht auf Berichtigung besteht unabhängig von möglichen zivilrechtlichen Folgen im Vertragsverhältnis zwischen dem Beschwerdeführer und dem Anbieter. Dementsprechend müssen die Prozesse im Kundensupport angepasst werden, damit eine Berichtigung in zukünftigen, vergleichbaren Fällen nicht pauschal abgelehnt wird.“

Fazit

Die Entscheidung dürfte für Unternehmen relevant sein, die Nutzerkonten anbieten und hierzu bestimmte Vorgaben an Nutzer machen, etwa zu einer Altersgrenze. Hinsichtlich der absichtlichen Angabe des falschen Geburtsdatums erscheint mir die Ansicht der Behörde durchaus diskutabel. Denn mit der Begründung wäre es Betroffenen möglich, bewusst und missbräuchlich falsche Daten in Systeme bei Unternehmen zu geben, nur um dann im Nachgang Verstöße gegen die DSGVO geltend zu machen. Eventuell kann man in solchen Fällen aber den Einwand des Missbrauchs nach Art. 12 Abs. 5 GDPR erheben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert