Auskunftsrecht

Aus der europäischen Datenschutzverordnung kennen wir bereits das Auskunftsrecht. Der betroffenen Person wird dabei das Recht eingeräumt, eine Bestätigung vom Verantwortlichen zu verlangen, dass personenbezogene Daten über sie verarbeitet werden, sowie das Recht eine Kopie dieser Daten zu erhalten. Je nachdem wie das Auskunftsersuchen gestellt ist, können diese Daten elektronisch oder physisch zur Verfügung gestellt werden. Der Gesetzgeber geht dabei davon aus, dass bei einer elektronischen Anfrage auch eine elektronische Antwort zur Verfügung gestellt werden kann. Elektronisch zur Verfügung gestellte Daten sind in einem gängigen elektronischen Format zur Verfügung zu stellen. Wichtig ist dabei, dass bei der Beantwortung des Auskunftsbegehren/Übermittlung der Daten an die betroffene Person Massnahmen zur Datensicherheit ergriffen werden. So wäre zum Beispiel eine unverschlüsselte Übermittlung per Mail als Datenschutzvorfall zu bewerten. 

Gerade in der ersten Zeit, als die DSGVO rechtsgültig wurde, haben zig Unternehmen Auskunftsersuchen erhalten, welche innerhalb von kurzer Zeit (30 Tage) zu beantworten waren. Beim Konsolidieren und Aufbereiteten dieser Daten wurden Schwächen in der IT-Organisation und Datenablage schonungslos aufgezeigt. Doppelte oder mehrfache Datenablage. Fehlende Referenzen zwischen unterschiedlichen Systemen, Altlasten aus Merger und Joint-Ventures, dezentrale Inselsysteme oder unstrukturierte Ablagen führten zu aufwändigen manuellen Arbeiten.

Schnell mussten IT-Projekte gestartet werden, mit dem Ziel die Daten automatisiert zu verknüpfen und zu konsolidieren. Der Aufwand für die Auskunftsbegehren sollte reduziert und möglichst automatisiert werden.  

Neben den technischen Herausforderungen galt es den Prozess zur Erfüllung der Informationspflicht der betroffenen Personen zu erstellen und die Mitarbeiter, welche potenziell ein Auskunftsersuchen per Post, Telefon oder Mail erhalten konnten, zu schulen. Schweizer Unternehmen, welche personenbezogene Daten von in Europa wohnhaften Kunden und Mitarbeiter verarbeiteten, waren gleichfalls betroffen, so dass diese Regelung dann trotz der langen Übergangsfrist bei der einen oder anderen Unternehmung für eine Überraschung sorgte.

Das Auskunftsrecht im revidierten DSG stellt eine Ergänzung der Informationspflicht bei der Beschaffung von Personendaten dar. Jede Person kann vom Verantwortlichen kostenlos Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden und wenn ja, welche. 

Ein vorheriger Verzicht auf das Auskunftsrecht ist nicht möglich.

Folgende Informationen sind in jedem Fall auf ein Auskunftsersuchen hin mitzuteilen:

• die bearbeiteten Personendaten als solche (bspw. Kopien oder Ausschnitte von Dokumenten, wobei grundsätzlich keine bestimmten Dokumente, sondern nur Personendaten, wie bspw. eine Aussage über eine Person in einem Bericht, verlangt werden können)
• der Bearbeitungszweck
• die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer
• die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden
• ggf. das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht
• ggf. die Empfängerinnen oder Kategorien von Empfängerinnen, denen Personendaten bekanntgegeben werden 

Der Verantwortliche bleibt auch dann auskunftspflichtig, wenn er Personendaten von Auftragsbearbeitenden verarbeiten lässt. Falls weitere Informationen zur Durchsetzung des Persönlichkeitsschutzes der betroffenen Person erforderlich sind, kann sie ausnahmsweise zusätzliche Informationen verlangen, sofern sie die Notwendigkeit derselben begründen kann. Das nDSG sieht jedoch auch Einschränkungen des Auskunftsrechts vor und erlaubt es den privaten Verantwortlichen bspw.aufgrund eines Berufsgeheimnisses oder überwiegender Interessen Dritter, die Auskunft zu verweigern, einzuschränken oder aufzuschieben. Zu reden geben wird in diesem Zusammenhang sicherlich, dass ein Auskunftsersuchen abgelehnt werden kann, wenn es offensichtlich unbegründet ist, namentlich wenn es einen datenschutzwidrigen Zweck verfolgt, oder offensichtlich querulatorisch ist.

Wird das Auskunftsrecht vorsätzlich verletzt bspw. mittels absichtlicher Erteilung von falschen oder unvollständigen Informationen, drohen Bussen. Das Risiko einer Busse trägt diejenige Person, die über die Auskunft entscheiden kann, was sowohl Vorgesetzte als auch Mitarbeitende sein können. Wer hingegen keine vorsätzliche Verletzung des Auskunftsrechts begeht, sondern lediglich nicht auf die Informationsanfrage reagiert oder sich zu Recht oder zu Unrecht auf den Standpunkt stellt, es müsse keine Auskunft erteilt werden, ist nicht strafbar. Der betroffenen Person steht es ungeachtet einer allfälligen Strafbarkeit offen, ihren Auskunftsanspruch zivilrechtlich durchzusetzen.  

Das Auskunftsrecht im nDSG ist in vielen Teilen ähnlich den Anforderungen aus dem DSGVO. Im nDSG wird jedoch nur Busse angedroht bei vorsätzlicher Verletzung des Auskunftsrechts. Im nDSG sind auch Ausnahmen zur Auskunftspflicht definiert, welche mehr Spielraum lassen, als dies beim DSGVO der Fall ist.

Im Rahmen der Bewertung empfiehlt es sich, sich frühzeitig auf diese Zusammenhänge vorzubereiten, denn innerhalb von 30 Tagen ein vollständiges Auskunftsersuchen mit den o.g. Inhalten zu erstellen ist sportlich. Aus diesem Grunde bereiten sich verschiedenste Organisationen bereits jetzt auf diese Situation und das neue DSG vor. Sollten Sie weitergehende Fragen haben, steht das Team der datenschutzguide.ch gerne zur Verfügung.

Sie haben Fragen zum nDSG? Oder Sie benötigen Unterstützung bei der Vorbereitung auf das Inkrafttreten? Wir unterstützen Sie und beraten Sie zu Ihren Möglichkeiten sowie den kommenden Anforderungen des nDSG.