Auskunftsrecht nach dem nDSG – Auf dem Weg zum nDSG Teil 10

14.09.2023 von Rahel Bär und Oliver Strässler

Das neue Datenschutzgesetz, welches per 1. September 2023 in Kraft getreten ist, sieht für jede Person ein Auskunftsrecht vor. Für die betroffene Person stellt dies eine zentrale Grundlage für die Durchsetzung ihrer datenschutzrechtlichen Rechte dar. In diesem Beitrag erfährst Du, was das Auskunftsrecht umfasst und was Du beim Beantworten des Auskunftsbegehren beachten musst.

Was bezweckt das Auskunftsrecht?

Mit dem Auskunftsrecht werden Informationen darüber verlangt, ob und wie der Verantwortliche Personendaten bearbeitet. Diese Informationen sind eine zentrale Grundlage für die Durchsetzung der Rechte der betroffenen Person.

Mit den erhaltenen Informationen kann die betroffene Person insbesondere prüfen, ob die datenschutzrechtlichen Grundsätze eingehalten werden. Unter die datenschutzrechtlichen Grundsätze fallen beispielsweise die Beschaffung der Daten mit rechtmässigen Mitteln oder die Gewährleistung der Richtigkeit der Daten sowie deren verhältnismässige Bearbeitung.

Wer kann ein Auskunftsbegehren stellen?

Grundsätzlich kann jede Person vom Auskunftsrecht Gebrauch machen. Um sicherzustellen, dass nur berechtigten Personen Auskunft erteilt wird, ist eine Identitätskontrolle zwingend. In der Regel erfolgt dies anhand eines Ausweisdokuments.

In welchem Umfang besteht das Auskunftsrecht?

In jedem Fall sind folgende Informationen als «Mindestpaket» an Informationen anzugeben:

  • Identität und Kontaktdaten des Verantwortlichen

  • Bearbeitete Personendaten als solche: Die Personendaten stellen den Kern des Auskunftsrechts dar. Das Auskunftsrecht verleiht in der Regel kein Anspruch auf die Überlassung einer Kopie des gesamten Dokuments, in welchem Personendaten vorkommen, sondern ist beschränkt auf die personendatenrelevanten Stellen innerhalb der Dokumente. Was genau Personendatum sind findest Du hier (Was sind Personendaten)

  • Bearbeitungszweck

  • Aufbewahrungsdauer der Personendaten oder falls dies nicht möglich ist die Kriterien zur Festlegung der Dauer

  • Angaben über die Herkunft der Personendaten:

  • Gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung:

  • Allfällige Empfänger, denen die Personendaten bekanntgegeben werden

Für die Geltendmachung der Rechte sind allenfalls weitere Informationen notwendig. Trifft dies zu, kann die betroffene Person auch die notwendigen, weiteren Informationen verlangen.

Das Auskunftsrecht geht weiter als das Informationsrecht. Das obengenannte «Mindestpaket» an Informationen muss dabei grundsätzlich jedem Auskunftsbegehren preisgegeben werden. Die Informationen müssen für den Antragssteller vollständig und nachvollziehbar sein. Informationen, die über das «Mindestpaket» hinausgehen, sind nur auf konkrete Anfrage hin mitzuteilen. Zudem kann vom Antragssteller eine kurze Begründung verlangt werden, weshalb die zusätzlichen Informationen für die Rechtsdurchsetzung tatsächlich erforderlich sind. Datenschutzfremde Zwecke genügen dabei nicht, sondern die Informationen müssen stets im Zusammenhang mit der Durchsetzung eines datenschutzrechtlichen Rechts sein. Kann der Antragssteller keine solche Begründung vorlegen, ist die Auskunft auch nicht erforderlich und kann verweigert oder eingeschränkt werden. (vgl. unten)

In welcher Form hat dies zu erfolgen?

Die betroffene Person muss ein schriftliches Auskunftsbegehren stellen, um zu erfahren, ob der Verantwortliche Personendaten über ihn bearbeitet. Im Einverständnis mit dem Verantwortlichen kann das Auskunftsbegehren auch mündlich mitgeteilt werden.

Der Verantwortliche muss die Informationen grundsätzlich schriftlich oder in der Form, in der die Daten vorliegen (z.B. Bild- oder Tonaufnahmen), erteilen. Die Mitteilung kann auf elektronischem Weg erfolgen. Ist der Antragssteller einverstanden, genügt auch eine mündliche Auskunft.

Ein Recht auf Einsicht vor Ort besteht für die betroffene Person grundsätzlich nicht. Nur im Einvernehmen zwischen der betroffenen Person und dem Verantwortlichen können die Daten vor Ort eingesehen werden.

Wann kann ich eine Auskunft verweigern, einschränken oder aufschieben?

Der Verantwortlich kann eine Auskunft verweigern, einschränken oder aufschieben, um geltendes Recht einzuhalten, wie dies beispielsweise beim Schutz des Berufsgeheimnisses der Fall ist. Auch können überwiegende private oder öffentliche Interessen einer Auskunft entgegenstehen. Ferner kann eine Auskunft auch eingeschränkt, aufgeschoben oder verweigert werden, wenn das Auskunftsgesuch offensichtlich unbegründet ist. Als unbegründet gilt ein Auskunftsgesuch insbesondere dann, wenn es zu einem datenschutzfremden Zweck gestellt wird. Als datenschutzfremd gilt zum Beispiel, wenn das Auskunftsgesuch die Sammlung von Beweismitteln in einem Prozess bezweckt. Der Verantwortliche muss angeben, weshalb die Auskunft verweigert, eingeschränkt oder aufgeschoben wird.

Besteht ein Recht auf Herausgabe der Daten?

Von der blossen Auskunft ist das Recht auf Herausgabe der Personendaten zu unterscheiden. Das Herausgabebegehren bezweckt die Übermittlung der Daten selbst. Die Herausgabe von Personendaten kann unter folgenden Voraussetzungen verlangt werden:

  1. Die betroffene Person hat die Daten bekannt gegeben;

  2. Die Daten werden automatisiert bearbeitet; und

  3. Die Daten werden mit Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit einem Vertrag bearbeitet.

Fehlt eine dieser drei Voraussetzungen, besteht kein Recht auf Herausgabe der Daten.

Sollte mein Unternehmen einen Verantwortlichen für solche Auskunftsanfragen haben?

Kein Unternehmen ist gesetzlich verpflichtet einen Verantwortlichen für Auskunftsanfragen zu bestimmen. Bei kleineren und mittelgrossen Unternehmen ist es sinnvoll, intern eine zuständige Person zu bezeichnen. Es ist empfehlenswert einen klaren, vordefinierten Prozess festzulegen, nach welchem ein Auskunftsbegehren zu bearbeiten ist. Auskunftsbegehren sind innert 30 Tagen seit deren Eingang zu beantworten. Mit einer intern zuständigen Person kann somit eine effiziente und fristgerechte Bearbeitung gewährleistet werden. Bei grösseren Unternehmen kommt allenfalls die Anschaffung eines IT-Systems für die automatisierte Bearbeitung von Auskunftsbegehren in Frage.

Wer hat die Kosten der Auskunft zu tragen?

Grundsätzlich muss die Auskunft kostenlos erteilt werden. Um Missbräuche des Auskunftsrechts vorzubeugen, kann ausnahmsweise bei unverhältnismässigem Aufwand eine Beteiligung der Kosten auf den Antragssteller überwälzt werden. Ein unverhältnismässiger Aufwand darf aber nicht bejaht werden, wenn dem Verantwortlichen ein grosser Aufwand aufgrund einer schlechten Organisation der Daten erwächst. Sollte aber ein unverhältnismässiger Aufwand vorliegen, muss der antragsstellenden Person die Höhe der Beteiligung mitgeteilt werden. Sofern anschliessend das Gesuch nicht innert 10 Tage bestätigt wird, gilt es als ohne Kostenfolge zurückgezogen. Der maximale Beteiligungsbetrag, der dem Antragssteller überwälzt werden kann, beläuft sich auf CHF 300.00.

Was droht bei einer Verletzung der Auskunftspflicht?

Wird eine Auskunft bewusst falsch oder unvollständig vorgenommen, kann auf Antrag eine Busse bis zu CHF 250'000.00 verhängt werden. Weitere Informationen dazu findest Du hier (Bussen im neuen Datenschutzgesetz).

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum