Das Auskunftsrecht stellt eine bedeutende Verpflichtung für alle Schweizer KMU dar. Ein strukturierter und durchdachter Prozess zur Bearbeitung von Auskunftsgesuchen ist daher von zentraler Bedeutung. Durch klare Prozesse und gut geschulte Mitarbeitende stellen KMU sicher, dass sie das Auskunftsrecht korrekt umsetzen und zugleich rechtliche sowie reputationsbezogene Risiken minimieren.
Wird vorsätzlich eine falsche oder unvollständige Auskunft erteilt, drohen Bussen bis zu CHF 250'000.00.
1. Das Auskunftsrecht nach Art. 25 DSG
Betroffene Personen haben das Recht, Auskunft darüber zu verlangen, ob Personendaten über sie bearbeitet werden. Das Auskunftsrecht ist höchstpersönlich, unvererblich und unverzichtbar. Auch minderjährige Personen sind unter bestimmten Umständen – abhängig von ihrer Urteilsfähigkeit im Einzelfall – berechtigt, ein Auskunftsgesuch zu stellen.
Der Verantwortliche ist grundsätzlich zur Auskunftserteilung verpflichtet, was bedeutet, dass Unternehmen, die Personendaten bearbeiten, auf Anfrage einer betroffenen Person Auskunft geben müssen. Es besteht jedoch keine Verpflichtung zur Herausgabe von Unterlagen, sondern nur der Auskunftserteilung zu den Personendaten «als solche». Weil sich der Auskunftsanspruch auch auf das «ob» der Datenbearbeitung bezieht, sind KMU verpflichtet, auch allfällige «Negativmeldungen» zu erteilen (z.B., wenn zuvor ein Löschbegehren des Gesuchstellers erfolgreich umgesetzt wurde und nun keine Personendaten mehr bearbeitet bzw. gespeichert werden). Der Verantwortliche bleibt selbst dann auskunftspflichtig, wenn er Personendaten von einem Auftragsbearbeiter bearbeiten lässt.
Gemäss Art. 25 Abs. 2 DSG müssen mindestens die folgenden Angaben mitgeteilt werden:
Empfänger von Personendaten sowie Informationen zu Auslandsdatenbekanntgaben.
Da die Angaben so detailliert wie möglich sein sollten, empfiehlt es sich, eine strukturierte Liste oder Tabelle zu erstellen, um die relevanten Informationen klar und präzise darzustellen. Es genügt nicht, lediglich Kategorien von Personendaten zu nennen – vielmehr müssen sich die Angaben spezifisch auf den Gesuchsteller beziehen.
2. Compliance-Massnahmen
Klare Zuständigkeiten sowie Schulungen
Zentral ist, dass es intern eine Person (oder Abteilung) gibt, welche für die Beantwortung von Auskunftsgesuchen zuständig ist. Zudem sind regelmässige Schulungen innerhalb des Unternehmens wichtig, damit Mitarbeitende einerseits den richtigen Umgang bei der Bearbeitung von Personendaten kennen und andererseits wissen, dass Auskunftsgesuche unbeantwortet an die intern zuständige Person weiterzuleiten sind.
Automatisierung von Prozessen, Antworten und Bearbeitungsverzeichnis-Aktualisierungen
Für KMU, die viele Auskunftsgesuche bearbeiten müssen, kann die Automatisierung von Prozessen sinnvoll sein. Dies könnte zum Beispiel durch die Anbindung von Schnittstellen an zentrale Datenbanken oder CRM-Systeme geschehen, um die Effizienz zu steigern und Fehlerquellen zu minimieren.
Daneben bietet sich an, ein standardisiertes Antwortschreiben vorzubereiten, das auf den jeweiligen Einzelfall angepasst wird. Wenn zudem das Bearbeitungsverzeichnis jederzeit aktuell gehalten wird und vollständig ist, bietet es sich als gute Basis für das Sammeln von ersten Angaben zum Gesuchsteller an.
3. Der Ablauf der Bearbeitung eines Auskunftsgesuchs
Für die Bearbeitung eines Auskunftsgesuchs ist aus Compliance-Gründen empfohlen, ein mehrstufiges Schema im Unternehmen zu erstellen und zu implementieren. Ein solches könnte in etwa so aussehen:
Schritt 1: Eingang des Gesuchs und Eingangsbestätigung
Das Auskunftsgesuch wird von der intern zuständigen Person formell erfasst und ggf. eine Eingangsbestätigung an den Gesuchsteller erteilt.
Schritt 2: Authentifizierung des Gesuchstellers
Um den Datenschutz auch bei der Beantwortung eines Auskunftsgesuchs zu wahren, muss der Gesuchsteller authentifiziert werden. Häufig wird hierfür eine Kopie des Ausweises angefordert, oder es werden andere Sicherheitsvorkehrungen getroffen, z.B. die verschlüsselte Beantwortung mittels E-Mail und die gleichzeitige Übermittlung des Passworts auf anderem Wege, namentlich eingeschrieben per Briefpost.
Schritt 3: Verweigerung und Einschränkung
Liegt ein Grund gemäss Art. 26 DSG vor, kann die Antwort eingeschränkt, verweigert oder aufgeschoben werden. Hierzu zählen bspw. Berufsgeheimnisse oder überwiegende Interessen des Verantwortlichen oder Dritter.
Schritt 4: Interner Prozess zur Beschaffung der Daten
Es muss ein interner Prozess etabliert werden, um die angeforderten Personendaten zu sammeln. Hierbei sind alle relevanten Abteilungen, einschliesslich Auftragsbearbeiter, einzubeziehen, die mit den betreffenden Daten arbeiten.
Schritt 5: Beachtung der Frist
Der Verantwortliche muss die Auskunft grundsätzlich kostenlos erteilen und dabei die Frist von 30 Tagen beachten. Sofern eine Auskunftserteilung innert 30 Tagen seit Eingang des korrekt gestellten Auskunftsgesuchs nicht möglich ist, muss der Verantwortliche den Gesuchsteller entsprechend benachrichtigen und die neue, selbst erstreckte, Nachfrist mitteilen.
Schritt 6: Zusammenstellen und Versenden der Auskunft
Nachdem die angefragten Daten gesammelt wurden, wird die Auskunft zusammen mit allen relevanten Informationen zusammengestellt. Gegebenenfalls kann es sinnvoll sein, z.B. aus Kulanz oder zur Vereinfachung der Beantwortung, zusätzliche Informationen, wie Kopien von wesentlichen Unterlagen, beizufügen, solange keine Personendaten von Dritten ersichtlich sind. Die Auskunft ist aus Beweisgründen am besten schriftlich (Briefform [bestenfalls eingeschrieben], E-Mail [je nachdem verschlüsselt]) zu erteilen und auf die Abgabe von Vollständigkeitserklärungen ist in jedem Fall zu verzichten.