KOSTENLOSE DATENSCHUTZ MASTERCLASS
Modul 3: Betroffenenbegehren und Auskunftsgesuche
- Erfahre, wie die Rechte der betroffenen Personen auf Auskunft, Löschung, Berichtigung & Widerspruch gewahrt werden
- Lerne, was ein Auskunftsgesuch ist, wann es gültig ist und wie du es korrekt beantwortest
- Lerne, wie du dein Unternehmen vor unzulässigen Auskunftsgesuchen schützen kannst
In Modul 3 erwarten dich folgende Themen:
Betroffenenbegehren - was ist das?
Betroffenenbegehren -
was ist das?
Die Personen deren Daten du bearbeitest, haben sogenannte „Betroffenenrechte“. Diese Rechte können die Personen ausüben, indem Sie ein Betroffenenbegehren bei dir einreichen. Werden diese Betroffenenbegehren nicht oder falsch bearbeitet, drohen Sanktionen.
Im untenstehenden FAQ findest du ausführlich alle Informationen über die Rechte, die die betroffenen Personen gegenüber verantwortlichen Unternehmen geltend machen können, sowie konkrete Praxistipps und Musterschreiben, die für die Beantwortung von Betroffenenbegehren verwendet werden können.
FAQ Betroffenenbegehren
Zu den Betroffenenrechten gehören die folgenden Rechte:
– Auskunftsrecht
– Recht auf Berichtigung
– Recht auf Löschung
– Widerspruchsrecht
– Recht auf Datenübertragbarkeit und Datenherausgabe
– Recht auf Unterlassung künftiger Datenbearbeitungen oder Bekanntgabe an Dritte
💡 Das Auskunftsrecht ist in der Praxis das am häufigsten geltend gemachte Recht. Deshalb gehen wir im weiteren Verlauf des Moduls spezifischer darauf ein.
Wenn Betroffenenbegehren nicht oder falsch bearbeitet werden, besteht das Risiko von zivilrechtlichen Klagen, mit denen die Einhaltung der Betroffenenrechte auf gerichtlichem Weg erzwungen werden kann.
Zudem besteht das Risiko, dass Bussen gegen dich verhängt werden. Wichtig zu erwähnen ist hierbei, dass nur vorsätzliche Verstösse gegen die Rechte der Betroffenen mit Busse bestraft werden können. Das heisst, dass du grundsätzlich keine Bussen zu befürchten hast, solange du die Betroffenenbegehren nach bestem Wissen und Gewissen bearbeitest.
Prüfung von Auskunftsgesuchen
Es ist wichtig, im Unternehmen eine Organisationsstruktur zu schaffen, die es erlaubt, die Begehren korrekt und effizient zu bearbeiten.
Das Auskunftsrecht ist in der Praxis das am häufigsten geltend gemachte und damit relevanteste Recht. Es hat den Zweck, den betroffenen Personen zu ermöglichen, sich über die sie betreffenden Datenbearbeitungen zu informieren.
Wenn eine betroffene Person ein Auskunftsbegehren bei dir stellt, ist zunächst abzuklären, ob das Gesuch bearbeitet werden muss oder nicht. Dabei ist folgender Prozess einzuhalten:
Wenn du auf dem grünen Feld landest, ist das Auskunftsgesuch zulässig. Du musst es entsprechend bearbeiten. Weiter unten erfährst du in 3 Schritten, wie du dabei vorgehen musst.
Als verantwortliche Person bist du dazu verpflichtet, nur berechtigten Gesuchstellern Auskünfte zu erteilen. Daher solltest du nur Auskunftsgesuche bearbeiten, denen ein glaubwürdiger Identitätsnachweis beiliegt. In der Regel genügt dazu eine Kopie eines amtlichen Ausweises.
Du bist nur zur Auskunft verpflichtet, wenn du Personendaten des Gesuchstellers bearbeitest. Ist dies nicht der Fall, kannst und musst du das Gesuch ablehnen.
Vollständige oder teilweise Aufschübe, Einschränkungen und Verweigerungen des Auskunftsrechts sind nur in drei Ausnahmefällen zulässig:
1️⃣ Eine gesetzliche Regelung verbietet die Auskunft (beispielsweise ein Berufsgeheimnis).
2️⃣ Es liegen überwiegende Interessen von Dritten vor, die der Auskunft entgegenstehen (insbesondere wenn das Auskunftsgesuch auch die Personendaten von Dritten umfasst).
3️⃣ Das Auskunftsgesuch ist offensichtlich unbegründet (insbesondere wenn das Auskunftsgesuch einen datenschutzwiedrigen Zweck verfolgt oder offensichtlich querulatorisch ist).
Liegt einer dieser Ausnahmefälle vor, muss die für die betroffene Person günstigste Massnahme getroffen werden. Das heisst, dass die Auskunft grundsätzlich primär aufzuschieben, sekundär einzuschränken und, als letztes Mittel, zu verweigern ist.
Wichtig ist, dass du den Aufschub, Einschränkung oder Verweigerung der betroffenen Person innert 30 Tagen schriftlich und unter Angabe der Gründe mitteilst. Bei einem Aufschub oder einer Verweigerung kannst du das Schreiben einzeln versenden. Bei der Einschränkung empfiehlt es sich, das Schreiben zusammen mit der (eingeschränkten) Auskunft zu versenden.
➡️ Aufschub: Grundsätzlich ist das Auskunftsgesuch innert 30 Tagen zu bearbeiten. Liegen Gründe vor die einen Aufschub erfordern, kann die Auskunft um eine angemessene Frist aufgeschoben werden.
📥 Musterschreiben_Auskunftsrecht_Aufschub
➡️ Einschränkung: Bei der Einschränkung wird nur teilweise die Auskunft erteilt. Eine teilweise Auskunft erfolgt beispielsweise durch das Schwärzen von bestimmten Textpassagen.
📥 Musterschreiben_Auskunftsrecht_Einschränkung
➡️ Verweigerung: Die vollständige Verweigerung der Auskunft erfolgt, wenn das Auskunftsgesuch vollständig von einem Ausnahmefall erfasst ist und ein Aufschub oder eine Einschränkung nicht in Frage kommen. Eine zeitlich befristete Verweigerung gilt als Aufschub.
Grundsätzlich sind Auskünfte kostenlos zu erteilen.
Ist die Auskunft allerdings mit einem unverhältnismässigen Aufwand verbunden, kann eine Gebühr von bis zu 300 CHF erhoben werden.
Unverhältnismässig ist der Aufwand, wenn er in keinem angemessenen Verhältnis zum Umfang der Datenbearbeitung steht, die du beim Gesuchsteller vornimmst. Wenn allerdings die Gründe für den unverhältnismässigen Aufwand beim Gesuchsempfänger liegen (beispielsweise eine mangelhafte interne Organisation), dürfen keine Kosten erhoben werden.
Schritt 1: Bearbeitungen von Auskunftsgesuchen
Wenn du ein gültiges Auskunftsgesuch erhalten hast, musst du dieses korrekt beantworten.
In einem ersten Schritt musst du alle Informationen zusammentragen, die du dem Gesuchsteller mitteilen musst. Dazu gehören im Wesentlichen folgende Informationen:
💡 Um die nachfolgenden Ausführungen zu veranschaulichen, stelle dir folgendes Beispiel vor: Lorenzo ist Geschäftsführer des Pizzalieferdienstes «Margharita AG». Die Margharita AG liefert Pizzen aller Art in den Grossraum Bern. Eine Person, die eine Pizza bestellt hat, stellt ein Auskunftsgesuch.
Identität
Die Identität des Verantwortlichen.
💡 Beispiel: Lorenzo ist der Geschäftsführer und damit die verantwortliche Person.
Personendaten
Die bearbeiteten Personendaten über die betroffene Person.
💡 Beispiel: Name, Adresse und Telefonnummer der Kund:in.
Zweck
Der Zweck der bearbeiteten Personendaten.
💡 Beispiel: Auslieferung der Pizza und allfällige Rückfragen zur Bestellung.
Dauer
Die Speicherdauer oder, falls unbekannt, die Kriterien, welche die Speicherdauer bestimmen.
💡 Beispiel: Grundsätzlich Löschung der Daten nach Auslieferung. In Ausnahmefällen etwas länger, jedoch max. 30 Tage.
Schritt 2: Weitere Informationen
Schritt 2: Weitere Informationen
Zusätzlich zu den 4 genannten Punkten musst du unter gegebenen Bedingungen über folgendes informieren:
➡️ Über die Herkunft der Personendaten, wenn du die Personendaten nicht bei der betroffenen Person beschafft hast.
➡️ Über die automatisierte Einzelentscheidung und die dazugehörige Logik, wenn du die Daten an Dritte bekannt gegeben hast.
➡️ Über die Empfänger oder Kategorien von Empfänger, wenn es weitere Informationen gibt, die für den Gesuchsteller relevant sein könnten, damit dieser vollständig über die Datenbearbeitung informiert wird.
Schritt 3: Auskunftsgesuche richtig beantworten
Grundsätzlich erfolgt die Information in Textform oder in der Form, in der die Daten vorliegen.
💡 Ein Beispiel zur Erläuterung:
Die Callcenter AG speichert Aufnahmen der Telefonate mit ihren Anrufern als Tondateien. Eine Anruferin verlangt Auskunft. Die Callcenter AG kann die Aufnahme des Telefonats als Tondatei versenden und ist nicht verpflichtet ein Transkript zu erstellen.
➡️ Wichtig: Im Einvernehmen mit dem Gesuchsteller kannst du eine alternative Form der Auskunft vereinbaren. Beispielsweise eine mündliche Auskunft oder eine persönliche Einsicht. Von einer mündlichen Auskunft ist aus Beweisgründen grundsätzlich abzuraten. Bei der persönlichen Einsicht ist zu beachten, dass Kopien der eingesehenen Dokumente verlangt werden dürfen.
Ob du die Auskunft physisch (bspw. per Post) oder auf elektronischem Weg (bspw. per E-Mail) erteilst, kannst du selber entscheiden.
Damit Auskunftsgesuche speditiv und korrekt bearbeitet werden können, ist es elementar, dass du im Unternehmen ganz klar den Überblick hast, welche Daten über wen bearbeitet werden. Daher lohnt es sich, wenn du ein Bearbeitungsverzeichnis (→ siehe Modul 1) erstellst, welches du bei der Beantwortung von Auskunftsgesuchen beiziehen kannst.
PrivacyBee stellt dir ein Begleitschreiben für die Auskunftserteilung zur Verfügung:
📥 Musterschreiben_Auskunftsrecht_Erteilung
Falls du die Auskunft erteilst, aber nur aufgeschoben bzw. eingeschränkt, solltest du entsprechend diese Musterschreiben verwenden:
Deine To Dos:
Du weisst nun alles rund um Betroffenenbegehren und Auskunftsgesuche. Greife darauf zurück, wenn du es brauchst. Im nächsten Modul geht es um «weitere Pflichten» – stay tuned! 🐝
Offene Fragen oder Verbesserungsvorschläge? Bitte lass uns kurz wissen, wie dir dieses Modul gefallen hat:
Haftungsausschluss:
Die PrivacyBee AG ist bemüht, die Inhalte diese Masterclass richtig, aktuell und vollständig zu halten. Dennoch übernimmt die PrivacyBee AG keine Gewähr für die Vollständigkeit, Richtigkeit oder Aktualität des bereitgestellten Inhalts dieser Masterclass. Diese Masterclass ersetzt eine individuelle Rechtsberatung nicht und ermöglicht keine hundertprozentige Compliance mit geltendem Recht. Mit Teilnahme an dieser Masterclass erklären Sie sich mit diesem Haftungsausschluss einverstanden.