PrivacyBee Masterclass
Betroffenenrechte & Auskunftsrecht
Was ist ein Betroffenenbegehren?
Die Personen deren Daten Dein Unternehmen bearbeitet, haben sogenannte „Betroffenenrechte“. Diese Rechte können diese Personen ausüben, indem Sie ein Betroffenenbegehren bei ihrem Unternehmen einreichen. Werden diese Betroffenenbegehren nicht oder falsch bearbeitet drohen Sanktionen.
Welche Betroffenenrechte gibt es?
Zu den Betroffenenrechten gehören die folgenden Rechte:
Auskunftsrecht
Betroffene können Auskunft darüber verlangen, welche Daten über sie verarbeitet werden.
Recht auf Berichtigung
Betroffene haben das Recht, fehlerhafte oder unvollständige Daten korrigieren zu lassen.
Recht auf Löschung
Betroffene können verlangen, dass ihre Daten gelöscht werden, wenn keine rechtlichen Gründe für die weitere Verarbeitung vorliegen.
Widerspruchsrecht
Betroffene haben das Recht, der Verarbeitung ihrer Daten unter bestimmten Umständen zu widersprechen.
Recht auf Datenübertragbarkeit
Betroffene können verlangen, dass ihre Daten in einem gängigen Format an sie oder an einen anderen Verantwortlichen übertragen werden.
Recht auf Unterlassung
Betroffene können die Unterlassung der künftigen Datenverarbeitung oder der Weitergabe an Dritte fordern.
Es ist wichtig im Unternehmen eine Organisationsstruktur zu schaffen, die es erlaubt, die Begehren korrekt und effizient zu bearbeiten. Das Auskunftsrecht ist in der Praxis das relevanteste Betroffenenrecht. Daher wird nachfolgend detailliert beschrieben, wie Auskunftsgesuche korrekt geprüft und bearbeitet werden.
Was passiert, wenn ich die Betroffenenrechte nicht einhalte?
Wenn Betroffenenbegehren nicht oder falsch bearbeitet werden, besteht das Risiko von zivilrechtlichen Klagen, mit denen die Einhaltung der Betroffenenrechte auf gerichtlichem Weg erzwungen werden dann. Zudem besteht das Risiko, dass Bussen gegen Sie verhängt werden. Wichtig zu erwähnen ist hierbei, dass nur vorsätzliche Verstösse gegen die Rechte der Betroffenen mit Busse bestraft werden können. Das heisst, dass Sie grundsätzlich keine Bussen zu befürchten haben, solange Sie die Betroffenenbegehren nach bestem Wissen und Gewissen bearbeiten.
Schritt 1: Prüfung von Auskunftsgesuchen
Das Auskunftsrecht ist das am häufigsten geltend gemachte Recht. Es hat den Zweck, den betroffenen Personen zu ermöglichen, sich über die sie betreffenden Datenbearbeitungen zu informieren. Wenn eine betroffene Person ein Auskunftsbegehren stellt, ist zunächst abzuklären, ob das Gesuch bearbeitet werden muss oder nicht. Dabei ist folgender Prozess einzuhalten:
Als verantwortliche Person bist du dazu verpflichtet, nur berechtigten Gesuchstellern Auskünfte zu erteilen. Daher solltest du nur Auskunftsgesuche bearbeiten, denen ein glaubwürdiger Identitätsnachweis beiliegt. In der Regel genügt dazu eine Kopie eines amtlichen Ausweises.
Du bist nur zur Auskunft verpflichtet, wenn du Personendaten des Gesuchstellers bearbeitest. Ist dies nicht der Fall, kannst und musst du das Gesuch ablehnen.
Vollständige oder teilweise Aufschübe, Einschränkungen und Verweigerungen des Auskunftsrechts sind nur in drei Ausnahmefällen zulässig:
- Eine gesetzliche Regelung verbietet die Auskunft (beispielsweise ein Berufsgeheimnis).
- Es liegen überwiegende Interessen von Dritten vor, die der Auskunft entgegenstehen (insbesondere wenn das Auskunftsgesuch auch die Personendaten von Dritten umfasst).
- Das Auskunftsgesuch ist offensichtlich unbegründet (insbesondere wenn das Auskunftsgesuch einen datenschutzwiedrigen Zweck verfolgt oder offensichtlich querulatorisch ist).
Liegt einer dieser Ausnahmefälle vor, muss die für die betroffene Person günstigste Massnahme getroffen werden. Das heisst, dass die Auskunft grundsätzlich primär aufzuschieben, sekundär einzuschränken und, als letztes Mittel, zu verweigern ist.
Wichtig ist, dass du den Aufschub, Einschränkung oder Verweigerung der betroffenen Person innert 30 Tagen schriftlich und unter Angabe der Gründe mitteilst. Bei einem Aufschub oder einer Verweigerung kannst du das Schreiben einzeln versenden. Bei der Einschränkung empfiehlt es sich, das Schreiben zusammen mit der (eingeschränkten) Auskunft zu versenden.
Aufschub: Grundsätzlich ist das Auskunftsgesuch innert 30 Tagen zu bearbeiten. Liegen Gründe vor die einen Aufschub erfordern, kann die Auskunft um eine angemessene Frist aufgeschoben werden.
Einschränkung: Bei der Einschränkung wird nur teilweise die Auskunft erteilt. Eine teilweise Auskunft erfolgt beispielsweise durch das Schwärzen von bestimmten Textpassagen.
Verweigerung: Die vollständige Verweigerung der Auskunft erfolgt, wenn das Auskunftsgesuch vollständig von einem Ausnahmefall erfasst ist und ein Aufschub oder eine Einschränkung nicht in Frage kommen. Eine zeitlich befristete Verweigerung gilt als Aufschub.
Grundsätzlich sind Auskünfte kostenlos zu erteilen.
Ist die Auskunft allerdings mit einem unverhältnismässigen Aufwand verbunden, kann eine Gebühr von bis zu 300 CHF erhoben werden.
Unverhältnismässig ist der Aufwand, wenn er in keinem angemessenen Verhältnis zum Umfang der Datenbearbeitung steht, die du beim Gesuchsteller vornimmst. Wenn allerdings die Gründe für den unverhältnismässigen Aufwand beim Gesuchsempfänger liegen (beispielsweise eine mangelhafte interne Organisation), dürfen keine Kosten erhoben werden.
Schritt 2: Bearbeitung von Auskunftsgesuchen
Wenn du ein Auskunftsbegehren erhältst, musst du es korrekt beantworten. Um die folgenden Schritte besser zu verstehen, nehmen wir folgendes Beispiel:
Lorenzo ist Geschäftsführer des Pizzalieferdienstes «Margherita AG». Die Margherita AG liefert Pizzen in den Grossraum Bern. Eine Person, die eine Pizza bestellt hat, stellt ein Auskunftsbegehren.
Welche Informationen müssen dem Gesuchsteller mitgeteilt werden?
Identität des Verantwortlichen
Beispiel: Lorenzo ist der Geschäftsführer und damit die verantwortliche Person.
Die bearbeiteten Personendaten über die betroffene Person
Beispiel: Name, Adresse und Telefonnummer der Kund:in.
Zweck der bearbeiteten Personendaten
Beispiel: Auslieferung der Pizza und allfällige Rückfragen zur Bestellung.
Speicherdauer oder, falls unbekannt, die Kriterien, welche die Speicherdauer bestimmen
Beispiel: Grundsätzlich Löschung der Daten nach Auslieferung. In Ausnahmefällen etwas länger, jedoch max. 30 Tage.
Zusätzlich zu den bereits genannten Punkten musst du unter gegebenen Bedingungen über folgendes informieren:
Herkunft der Personendaten
Wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden, z. B. aus einer öffentlichen Datenbank.
Automatisierte Einzelentscheidung
Wenn eine automatisierte Entscheidung getroffen wurde, z. B. durch einen Algorithmus, der die Auslieferungsreihenfolge von Bestellungen bestimmt.
Empfänger:innen oder Kategorien von Empfänger:innen
Wenn die Daten an Dritte übermittelt werden, musst du dies offenlegen.
Gibt es weitere Informationen, die relevant sein könnten, damit die/der Gesuchsteller:in vollständig über die Datenbearbeitung informiert wird, müssen diese ihm ebenfalls mitgeteilt werden.
In welcher Form muss das Auskunftsgesuch beantwortet werden?
Grundsätzlich erfolgt die Information in Textform oder in der Form, in der die Daten vorliegen. Ein Beispiel zur Erläuterung:
Beispiel: Wenn die Callcenter AG Telefonate als Tondateien speichert, reicht es, die Tondatei auf Anfrage bereitzustellen. Ein Transkript ist nicht nötig.
Wichtig: Im Einvernehmen kann auch eine alternative Form der Auskunft vereinbart werden – beispielweise eine mündliche Auskunft oder eine persönliche Einsicht. Von einer mündlichen Auskunft ist aus Beweisgründen grundsätzlich abzuraten. Bei der persönlichen Einsicht ist zu beachten, dass Kopien der eingesehenen Dokumente verlangt werden dürfen.
Ob die Auskunft physisch (beispielsweise per Post) oder auf elektronischem Weg (beispielsweise per E-Mail) erteilt wird, kannst du grundsätzlich selbst entscheiden.
Weitere Hinweise und Vorlagen
Damit Auskunftsgesuche speditiv und korrekt bearbeitet werden können, ist es elementar, dass du im Unternehmen ganz klar den Überblick hast, welche Daten über wen bearbeitet werden. Daher lohnt es sich, ein Bearbeitungsverzeichnis zu erstellen und dieses bei der Beantwortung von Auskunftsgesuchen beizuziehen.
Damit du noch schneller bist, stellen wir dir verschiedene Musterschreiben zur Verfügung:
- Erteilung
- Aufschub
- Einschränkung
Module der Datenschutz-Masterclass
Die PrivacyBee AG ist bemüht, die Inhalte diese Masterclass richtig, aktuell und vollständig zu halten. Dennoch übernimmt die PrivacyBee AG keine Gewähr für die Vollständigkeit, Richtigkeit oder Aktualität des bereitgestellten Inhalts dieser Masterclass. Diese Masterclass ersetzt eine individuelle Rechtsberatung nicht und ermöglicht keine hundertprozentige Compliance mit geltendem Recht. Mit Teilnahme an dieser Masterclass erklären Sie sich mit diesem Haftungsausschluss einverstanden.
Schütze deine Website noch heute!
Vertraue auf PrivacyBee, um deine Website rechtlich sicher und stets aktuell zu halten. Starte jetzt und erlebe, wie einfach Datenschutz sein kann. Nutze unsere kostenlose 14-Tage-Testphase und überzeuge dich selbst von den Vorteilen unserer Lösung.
14 Tage kostenlos,
keine Kreditkarte erforderlich
Schütze deine Website noch heute!
Vertraue auf PrivacyBee, um deine Website rechtlich sicher und stets aktuell zu halten. Starte jetzt und erlebe, wie einfach Datenschutz sein kann. Nutze unsere kostenlose 14-Tage-Testphase und überzeuge dich selbst von den Vorteilen unserer Lösung.