DSGVO und Recht auf Berichtigung

[khmlev]

Meine Frage war was der Gesetzgeber in Fällen dieser Art (die alles andere als Einzelfälle sind) in seiner Weisheit geregelt hat wie das laufen muss/soll. Die bisherigen Antworten der Verantwortliche muss das richtig regeln ist an Trivialität kaum zu überbieten

Das mag dich nicht zufriedenstellen, ist aber in Art. 24 Ziff. 1 DSGVO genauso geregelt:
Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

und hinsichtlich der hier aufgeworfenen Fragestellung der Vermengung von Daten, wiederhole ich mich gerne zum gefühlt 100 mal: Alles was es dazu datenschutzrechtlich zu regeln gibt, ist in Art. 5 DSGVO niedergelegt: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“)

[Tastenspitz]

Meine Frage war was der Gesetzgeber in Fällen dieser Art (die alles andere als Einzelfälle sind) in seiner Weisheit geregelt hat wie das laufen muss/soll.

Das ist eben in der brandneuen DSGVO geregelt. Und Einzelfälle sind eben nicht immer alle zu erfassen. Dafür gibt es im Streitfall dann Gerichte, eine Auslegung des Gesetzes und ein Urteil.
Im Beispielfall "Windalf gewinnt" dürfte sich der Betreiber eben dem Vorwurf zu stellen haben, einen Datensatz falsch gespeichert zu haben. Wenn er denn die besagten angemessenen Maßnahmen nachweisen kann, wars das dann aber aus meiner Sicht.
Das Gesetz sanktioniert hier nicht die Existenz von falschen Datensätzen, weil die sind überall.
Praxisbeispiel: In dem Laden in dem ich jetzt bin (ca. 80 Köpfe) habe ich noch nicht eine Lohnabrechnung erlebt bei der nicht hinterher irgendeiner angetröpfelt kam um was geändertes mitzuteilen. Neue Anschrift, Bank, Name, Überstunden vergessen, usw. usf.
Abschließend. Meine Frage blieb unbeantwortet. Ist aber egal - war nicht anders zu erwarten.

[windalf]

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Ja der Gestzgeber hat das mal ganz lazy so formuliert, dass man ja quasi schon alles getan haben muss, damit dieser Fall möglichst erst gar nicht auftritt.

Ok dann formuliere ich die Frage anders. Was muss denn nun der Verantwortliche tun um dafür zu sorgen, dass erst gar nicht falsche/vermischte Daten entstehen? Im Falle des Gewinnspiels wurde scheinbar stumpf das genommen was irgendjemand eingetippt hat. Offensichtlich ist das stumpfe nicht validierte Übernehmen von eingetippten Daten weder eine technisch noch organisatorisch geeignete Maßnahme um sicherzustellen wenig falsche/vermischte Datensätze zu produzieren...

Mir scheint aber in der Praxis wird das einfach stumpf nicht angegangen (was der Gesetzgeber sich da gewüncht hat). Bei der aktuell gelebten Praxis müsssten sämtliche Verantwortliche schon geköpft und gevierteilt sein, wenn der Gestzgeber es mit dieser Formulierung ernst meinen würde...

[khmlev]

Was muss denn nun der Verantwortliche tun um dafür zu sorgen, dass erst gar nicht falsche/vermischte Daten entstehen?

Indem der Verantwortliche eine Datenschutz-Folgeabschätzung (Art. 35 Abs. 1 DSGVO) in Zusammenarbeit mit seinem betrieblichen Datenschutzbeauftragten erstellt und daraus die richtigen Schlüsse hinsichtlich der Verarbeitung, Berichtung und Löschung von erhobenen Daten zieht.

Bei der aktuell gelebten Praxis müsssten sämtliche Verantwortliche schon geköpft und gevierteilt sein, wenn der Gestzgeber es mit dieser Formulierung ernst meinen würde...

Geköpft nicht, aber es können Bußgelder in nicht unerheblicher Höhe (bis zu 4% des weltweiten Jahresumsatzes) verhängt werden. Weiterhin kann die zuständige Aufsichtsbehörde (Landesdatenschutzbeauftragter) Anordnungen zur Beendigung des Verstoßes, eine Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen sowie ein zeitlich begrenztes oder endgültigen Verbot der Datenverarbeitung aussprechen.

[windalf]

Indem der Verantwortliche eine Datenschutz-Folgeabschätzung (Art. 35 Abs. 1 DSGVO) in Zusammenarbeit mit seinem betrieblichen Datenschutzbeauftragten erstellt und daraus die richtigen Schlüsse hinsichtlich der Verarbeitung, Berichtung und Löschung von erhobenen Daten zieht.

Und in der Praxis meint dann "Folgenabschätzung" wie wahrscheinlich ist es dafür ne Strafe aufgebrummt zu bekommen. Aha nahe Null also verzichte ich lieber auf eine kostenintensive Datenerhebung. So lange ich keine Daten erhebe die ich nicht erheben dürfte und es nur riskiere auch falsche Datensätze zu erheben (das passiert natürlich auch nie vorsätzlich, weil man selbst ja gerade interesse daran hat richtige Datensätze zu erhalten nur Kosten und Nutzen stehen in keinem Verhältnis. zumindest so lange nicht wie ich dafür keine 4%-Strafe bekomme) wird mir schon keiner ans Leder...

So lange das so ist werde ich weiterhin den Wohnort Internet haben und Taste Daheim...

[Tastenspitz]

So lange das so ist werde ich weiterhin den Wohnort Internet haben und Taste Daheim...

Genau. Nur das mein Datensatz hier stimmt und deiner nicht.

[windalf]

So lange das so ist werde ich weiterhin den Wohnort Internet haben und Taste Daheim...

Genau. Nur das mein Datensatz hier stimmt und deiner nicht.

Vielleicht ist ja auch dein Datensatz demnächst mein Datensatz. Ich sage einfach Daheim ist bei mir richtig und lasse alle deine Daten mit meinen Daten überschreiben...