Datenschutz HubEinzelthemenGrundsätze der Verarbeitung

Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)

Richtigkeit und Aktualität personenbezogener Daten: proaktive Berichtigung, Profiling und KI, Abgrenzung bei zeitbezogenen Daten, Pflichten bei Weitergabe an Dritte.

Nach Art. 5 Abs. 1 lit. d DSGVO müssen personenbezogene Daten „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein". Der Grundsatz wird in der datenschutzrechtlichen Diskussion eher stiefmütterlich behandelt, obwohl er für die betroffene Person von erheblicher Bedeutung ist: Daten sind Grundlage des Bildes, das sich andere über die betroffene Person machen, und damit regelmäßig Entscheidungsgrundlage.

Das Wichtigste in Kürze

  • Die Richtigkeitspflicht ist proaktiv: Der Verantwortliche muss unrichtige Daten von sich aus berichtigen oder löschen, ohne einen Antrag nach Art. 16, 18 DSGVO abzuwarten.
  • Erfasst sind nicht nur Tatsachen, sondern auch Werturteile, Prognosen und Korrelationen, etwa beim Profiling und beim Einsatz von KI.
  • Aktualität ist nur „erforderlichenfalls" geschuldet; zeitbezogene Daten zu einem vergangenen Vorgang bleiben richtig und dürfen nicht verfälscht werden.
  • Die Anforderungen steigen mit dem Schadenspotenzial: Auskunfteien und entscheidungsrelevante Daten unterliegen einer strengeren Pflicht als Marketing-Profile.
  • Auch unvollständige Daten können unrichtig sein; bei eigenständiger Berichtigung sind betroffene Empfänger angemessen zu informieren.

1 Überblick

1.1 Rechtsfolge und Zweck

Das BVerfG hat schon im Volkszählungsurteil vor Persönlichkeitsbildern gewarnt, deren Richtigkeit die betroffene Person nur unzureichend kontrollieren kann (BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Volkszählung, BVerfGE 65, 1). Genau diese Gefahr greift der Grundsatz der Richtigkeit auf. Er verpflichtet den Verantwortlichen dazu, die verarbeiteten Daten korrekt abzubilden und unrichtige Daten unverzüglich zu löschen oder zu berichtigen.

1.2 Verhältnis zu Art. 16, 18 DSGVO

Die Pflicht aus Art. 5 Abs. 1 lit. d DSGVO ist proaktiv. Der Verantwortliche darf nicht abwarten, bis die betroffene Person ihren Berichtigungsanspruch aus Art. 16 Abs. 1 DSGVO oder ihr Recht auf Einschränkung nach Art. 18 Abs. 1 lit. a DSGVO geltend macht. Er muss vielmehr von sich aus angemessene Maßnahmen ergreifen, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen (EuGH, Urt. v. 16.12.2008, C-524/06, Huber, Rn. 60).

2 Reichweite des Grundsatzes

2.1 Tatsachen und Werturteile

Der Grundsatz erfasst nicht nur Tatsachen, sondern auch Werturteile, insbesondere Prognosen und Korrelationen. Im Rahmen des Profilings (Art. 4 Nr. 4 DSGVO) (also der Bewertung von Personen und ihren Eigenschaften) spielen solche Werturteile eine immer größere Rolle. Auch Werturteile können falsch sein, wenn sie auf einer fehlerhaften Tatsachengrundlage beruhen, von falschen Prämissen ausgehen oder auf unrichtigen Schlussfolgerungen basieren. Ob eine Korrelation etwa zwischen einem Merkmal und der Zahlungsfähigkeit einer Person tatsächlich besteht, ist Gegenstand des Grundsatzes der Richtigkeit.

2.2 Profiling und Künstliche Intelligenz

Erwägungsgrund 71 S. 6 DSGVO verlangt, dass Profiling auf „geeigneten mathematischen oder statistischen Verfahren" beruhen und technische und organisatorische Maßnahmen ergriffen werden, um Diskriminierungen zu vermeiden und Faktoren, die zu unrichtigen Daten führen, zu korrigieren. Bei selbstlernenden Systemen und Künstlicher Intelligenz ist zudem sicherzustellen, dass Entscheidungen nicht auf ungeeigneten oder nicht repräsentativen Trainingsdaten beruhen. Die Datenschutzkonferenz hat in ihrer Hambacher Erklärung zur Künstlichen Intelligenz diese Anforderungen bestätigt (DSK, Hambacher Erklärung zur Künstlichen Intelligenz v. 03.04.2019).

2.3 Aktualität: das Wort „erforderlichenfalls"

Der Grundsatz verlangt die Aktualität der Daten nur insoweit, als sie für den Zweck der Verarbeitung erforderlich ist („erforderlichenfalls"). Welche Maßnahmen zur Gewährleistung der Richtigkeit und der Aktualisierung angemessen sind, ist im Einzelfall unter Berücksichtigung des Zwecks zu bestimmen. Daten, die sich auf einen bestimmten Zeitpunkt oder einen vergangenen Vorgang beziehen, müssen nicht aktualisiert werden, da eine inhaltliche Korrektur ihren Aussagegehalt verfälschen würde.

Daten sind „im Hinblick auf die Zwecke ihrer Verarbeitung" zu beurteilen. Ein Sitzungsprotokoll gibt wieder, was eine Person gesagt hat, unabhängig davon, ob der Inhalt der Aussage zutrifft. Prüfungsantworten spiegeln den Kenntnisstand zum Zeitpunkt der Prüfung wider (EuGH, Urt. v. 20.12.2017, C-434/16, Nowak, Rn. 54 f.).

3 Pflichten des Verantwortlichen

3.1 Informationsfluss im Unternehmen

Der Verantwortliche muss organisatorisch sicherstellen, dass Informationen, die die Richtigkeit gespeicherter Daten in Frage stellen, wahrgenommen werden. Das kann bedeuten, relevante Quellen regelmäßig zu beobachten oder interne Meldewege zu schaffen, damit neue Informationen die Stellen erreichen, die die Richtigkeit der Daten überprüfen und gegebenenfalls korrigieren können.

3.2 Abstufung nach Schadenspotenzial

An die Kontrolle der Daten im Kontext der Erhebung sind in der Regel höhere Anforderungen zu stellen als an die Kontrolle von Bestandsdaten. Gesteigerte Bedeutung muss die Richtigkeit und Aktualität der Daten erfahren, die für die betroffene Person besonders relevant sind, etwa weil sie einer Entscheidung zugrunde liegen oder an Dritte übermittelt werden und Unrichtigkeiten später nur schwer korrigierbar sind. Auskunfteien und Warndateien unterliegen daher einer strengeren Richtigkeitspflicht als etwa Marketing-Profile.

3.3 Vollständigkeit als Teil der Richtigkeit

Daten können auch unrichtig sein, wenn sie unvollständig sind und dadurch zu einem falschen Eindruck oder zu Fehlentscheidungen führen können. In diesen Fällen kann eine Vervollständigung geboten sein; Art. 16 S. 2 DSGVO sieht diesen Anspruch ausdrücklich vor.

3.4 Information der Empfänger bei eigener Berichtigung

Die Pflicht aus Art. 19 S. 1 DSGVO, Empfänger über Berichtigungen zu informieren, knüpft unmittelbar an einen Berichtigungsanspruch der betroffenen Person nach Art. 16 DSGVO an. Der Wortlaut erfasst daher nicht den Fall, dass der Verantwortliche die Berichtigung aus eigener Initiative vornimmt. Jedenfalls dann, wenn das berichtigte Datum für die betroffene Person von einiger Bedeutung ist, wird der Verantwortliche aus dem Grundsatz der Richtigkeit und dem Grundsatz der Verarbeitung nach Treu und Glauben aber verpflichtet sein, angemessene Anstrengungen zur Information der Empfänger zu unternehmen.

4 Grenzen der Berichtigung

Nicht jede nachträglich unrichtig erscheinende Angabe ist zu korrigieren. Bezieht sich ein Datum auf einen bestimmten Zeitpunkt oder einen vergangenen Vorgang, bleibt es „im Hinblick auf die Zwecke seiner Verarbeitung" richtig, selbst wenn sich die zugrundeliegenden Umstände später geändert haben. Die deutsche Verwaltungsrechtsprechung hat diese Abgrenzung etwa bei nachträglichen Namensänderungen in Personalakten bestätigt.

Berichtigung

Art. 16 DSGVO: Berichtigungsanspruch der betroffenen Person.

Huber

EuGH C-524/06: proaktive Lösch- und Berichtigungspflicht.

Nowak

EuGH C-434/16: zeitbezogene Daten und Grenzen der Berichtigung.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Datenminimierung als Grundsatz der DSGVO: Erheblichkeit, Erforderlichkeit und Angemessenheit der Datenverarbeitung; Unterschiede zur früheren Datensparsamkeit; praktische Anwendungsfelder.

Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Speicherbegrenzung als zeitliche Datenminimierung: Löschpflicht bei Zweckerreichung, Überprüfungsintervalle, Löschkonzepte, Privilegierung von Archiv-, Forschungs- und Statistikzwecken.

Auf dieser Seite

1 Überblick1.1 Rechtsfolge und Zweck1.2 Verhältnis zu Art. 16, 18 DSGVO2 Reichweite des Grundsatzes2.1 Tatsachen und Werturteile2.2 Profiling und Künstliche Intelligenz2.3 Aktualität: das Wort „erforderlichenfalls"3 Pflichten des Verantwortlichen3.1 Informationsfluss im Unternehmen3.2 Abstufung nach Schadenspotenzial3.3 Vollständigkeit als Teil der Richtigkeit3.4 Information der Empfänger bei eigener Berichtigung4 Grenzen der Berichtigung