Ein zentrales Element des Datenschutzgesetzes (DSG) ist das Auskunftsrecht betroffener Personen. Es verpflichtet Verantwortliche zu Transparenz und ermöglicht es Einzelpersonen, nachzuvollziehen, wie ihre Personendaten bearbeitet werden. Wir erläutern die rechtlichen Grundlagen des Auskunftsrechts sowie den Ablauf und einzuhaltende Fristen.
Rechtliche Grundlage des Auskunftsrechts
Das Auskunftsrecht ist in Art. 25 DSG verankert. Es gibt jeder betroffenen Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob Personendaten über sie bearbeitet werden. Ist dies der Fall, besteht Anspruch auf umfassende Informationen über die Art und Weise dieser Datenbearbeitung.
Das Auskunftsrecht dient der Wahrung der Persönlichkeitsrechte und stellt sicher, dass betroffene Personen die Rechtmässigkeit der Datenbearbeitung überprüfen können.
Anspruchsberechtigte Personen
Auskunft verlangen kann jede natürliche Person, deren Personendaten bearbeitet werden. Das Recht gilt unabhängig vom bestehenden oder früheren Vertragsverhältnis und umfasst somit unter anderem (ehemalige) Kunden, (ehemalige) Mitarbeiter sowie Bewerber.
Ablauf eines Auskunftsgesuchs
Das Auskunftsgesuch kann ohne besondere Formvorschriften eingereicht werden, etwa per E-Mail oder schriftlich.
Nach Eingang des Gesuchs hat der Verantwortliche zunächst die Identität der betroffenen Person zu prüfen, um unbefugte Offenlegungen zu verhindern.
Anschliessend ist zu klären, welche Personendaten vorhanden sind und ob gesetzliche Einschränkungen des Auskunftsrechts zur Anwendung kommen (siehe unten).
Umfang der Auskunft
Die Auskunft ist vollständig, korrekt und in verständlicher Form zu erteilen. In der Praxis erfolgt sie meist schriftlich oder elektronisch.
Der Umfang der zu erteilenden Auskunft ist in Art. 25 Abs. 2 DSG geregelt. Der Verantwortliche muss insbesondere Auskunft erteilen über die bearbeiteten Personendaten, den Zweck der Bearbeitung, die Dauer der Aufbewahrung oder die Kriterien zur Festlegung dieser Dauer sowie über die Herkunft der Daten, sofern diese nicht bei der betroffenen Person erhoben wurden. Weiter sind Angaben über die Empfänger oder Kategorien von Empfängern der Personendaten zu machen.
Sofern automatisierte Einzelentscheidungen im Sinne von Art. 21 DSG getroffen werden, ist auch darüber zu informieren. Werden Personendaten ins Ausland übermittelt, sind gemäss Art. 16 DSG der Bestimmungsstaat sowie die getroffenen Garantien zum Datenschutz anzugeben.
Tipp: Lesen Sie dazu auch unseren Ratgeber zur rechtskonformen Übermittlung von Personendaten ins Ausland.
In der Praxis stellt die Bearbeitung von Auskunftsgesuchen Unternehmen häufig vor organisatorische Herausforderungen. Personendaten sind oft in verschiedenen Systemen gespeichert, etwa in CRM- oder HR-Systemen, E-Mail-Archiven oder Support-Tools, so dass eine vollständige Zusammenstellung der relevanten Daten eine koordinierte interne Abstimmung erfordert. Hinzu kommt, dass einzelne Informationen möglicherweise auch in Archivsystemen oder Backups vorhanden sind, deren Zugriff nicht immer unmittelbar möglich ist.
Gleichzeitig können Auskunftsgesuche über unterschiedliche Kanäle eingehen, beispielsweise über den Kundensupport, allgemeine Kontaktformulare, den Datenschutzberater oder die Rechtsabteilung.
Um Verzögerungen oder unvollständige Antworten zu vermeiden, empfiehlt sich daher ein klar geregeltes internes Vorgehen. In der Praxis bewährt sich insbesondere eine interne Richtlinie zum Umgang mit Auskunftsgesuchen, in der Zuständigkeiten, Abläufe und relevante Datenquellen definiert sind. Zudem sollten Mitarbeiter entsprechend sensibilisiert und geschult werden, damit Auskunftsgesuche frühzeitig erkannt und an die zuständige Stelle weitergeleitet werden können.
Hinweis: Im Unterschied zur europäischen Datenschutz-Grundverordnung (DSGVO) kennt das DSG kein ausdrücklich formuliertes „Recht auf eine Kopie“ der Personendaten. In der Praxis wird die Auskunft jedoch häufig durch die Übermittlung einer Kopie der bearbeiteten Personendaten oder der entsprechenden Dokumente erfüllt.
Fristen für die Auskunftserteilung
Gemäss Art. 25 Abs. 7 DSG ist die Auskunft grundsätzlich innerhalb von 30 Tagen nach Eingang des Gesuchs zu erteilen. In begründeten Fällen, etwa bei besonders umfangreichen oder komplexen Anfragen, kann diese Frist verlängert werden. Bei Verzögerungen ist die betroffene Person über die Gründe zu informieren.
Einschränkung oder Verweigerung der Auskunft
Das Auskunftsrecht ist nicht uneingeschränkt. Nach Art. 26 DSG kann die Auskunft eingeschränkt, aufgeschoben oder verweigert werden, wenn überwiegende Interessen Dritter, gesetzliche Geheimhaltungspflichten oder überwiegende eigene Interessen des Verantwortlichen, insbesondere Geschäftsgeheimnisse, betroffen sind.
Auch offensichtlich missbräuchliche Gesuche können abgelehnt werden.
Eine Einschränkung oder Verweigerung der Auskunft ist stets zu begründen, eine pauschale Ablehnung ist unzulässig.
Kosten der Auskunft
Grundsätzlich ist die Auskunft kostenlos zu erteilen. Gemäss Art. 25 Abs. 6 DSG darf nur bei offensichtlich unbegründeten oder exzessiven Gesuchen ein angemessener Kostenbeitrag verlangt werden. Die betroffene Person ist vorgängig über allfällige Kosten zu informieren.
Konsequenzen bei Nichteinhaltung
Die Missachtung des Auskunftsrechts kann rechtliche Folgen haben. Betroffene Personen können sich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden oder zivilrechtliche Ansprüche geltend machen. Bei vorsätzlichen Verstössen gegen die Auskunftspflicht drohen gemäss Art. 60 DSG strafrechtliche Sanktionen von bis zu CHF 250’000 gegen verantwortliche natürliche Personen.
Daten von Personen in der EU
In grenzüberschreitenden Konstellationen kann neben dem Schweizer Datenschutzgesetz auch die DSGVO zur Anwendung kommen, etwa wenn Personendaten von Personen im EU-Raum bearbeitet werden. In solchen Fällen sind gegebenenfalls auch die Anforderungen des Auskunftsrechts nach Art. 15 DSGVO zu beachten.
Tipp: Lesen Sie dazu den Ratgeber unseres deutschen Partnerunternehmens activeMind AG zum Umgang mit Auskunftsanfragen nach Art. 15 DSGVO.
Fazit
Das Auskunftsrecht nach dem DSG verpflichtet Unternehmen und Organisationen in der Schweiz zu einem transparenten und strukturierten Umgang mit Personendaten. Die fristgerechte und vollständige Beantwortung von Auskunftsgesuchen erfordert klar definierte interne Prozesse, eine saubere Dokumentation der Datenbearbeitungen sowie klar geregelte Zuständigkeiten.
Unternehmen, die das Auskunftsrecht konsequent umsetzen, reduzieren rechtliche Risiken und stärken zugleich das Vertrauen von Kunden, Mitarbeitern und Geschäftspartnern.