Am 1. September 2023 tritt das neue Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG; AS 2022 491) in Kraft. Mit der Totalrevision des DSG sollen unter anderem die Rechte betroffener Personen gestärkt werden. Die geplante Revision soll Individuen mehr Kontrolle über ihre Daten geben und sicherstellen, dass Unternehmen transparent und verantwortungsvoll mit erlangten Daten umgehen.
Das vierte Kapitel des nDSG widmet sich den Rechten betroffener Personen. Der betroffenen Person werden nach nDSG das Recht auf Auskunft in Art. 25 nDSG und das Rechte auf Datenherausgabe und –übertragung in Art. 28 nDSG eingeräumt. Im fünften Kapitel des nDSG werden der betroffenen Person in Art. 32 nDSG weitere Rechtsansprüche gewährt. In diesem Beitrag werden wir uns genauer mit den Rechten der betroffenen Personen befassen und die Unterschiede zur DSGVO aufzeigen.
Auskunftsrecht, Art. 25 nDSG
Das Auskunftsrecht gemäss Art. 25 nDSG gibt der betroffenen Person das Recht Auskunft darüber zu verlangen, ob der Verantwortliche Personendaten über sie bearbeitet. Art. 25 Abs. 2 nDSG enthält dabei eine Liste an Mindestinformationen, die der betroffenen Person bei Auskunftsanfragen mitgeteilt werden müssen. Diese Mindestinformationen umfassen:
- Die Identität und die Kontaktdaten des Verantwortlichen;
- Die bearbeiteten Personendaten als solche;
- Der Bearbeitungszweck;
- Die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
- Die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
- das Vorliegen einer automatisierten Einzelentscheidung, sowie die Logik, auf der die Entscheidung beruht;
- die Empfänger oder die Kategorien von Empfängern, denen Personendaten bekanntgegeben werden.
Die Auskunftserteilung gemäss Art. 25 nDSG erfolgt grundsätzlich kostenfrei. Nur bei einem unverhältnismässig hohen Aufwand darf die auskunftsersuchende Person gemäss Art. 19 Abs. 1 nDSG an den Kosten beteiligt werden. Dabei sieht Art. 19 nDSG sowohl eine Höchstgrenze für die Kostenbeteiligung vor als auch die Verpflichtung, die betroffene Person im Voraus über die Kostenpflicht zu informieren.
Der Verantwortliche hat gemäss Art. 25 Abs. 7 nDSG 30 Tage Zeit, um auf eine Auskunftsanfrage zu antworten. Sollte diese Frist nicht eingehalten werden können, muss der Verantwortliche die betroffene Person darüber informieren und ihr eine neue Frist mitteilen.
Einschränkungen des Auskunftsrechts finden sich in den Art. 26 und Art. 27 nDSG. Art. 26 nDSG stellt generelle Einschränkungen auf, während Art. 27 nDSG nur für Medien gilt. In beiden Artikeln werden dem Verantwortlichen die Möglichkeit eingeräumt unter bestimmten Voraussetzungen die Auskunft zu verweigern, einzuschränken oder aufzuschieben. Ein Beispiel für einen solchen Grund in Art. 26 nDSG ist der Schutz des Berufsgeheimnisses gemäss Art. 26 Abs. 1 lit. a nDSG sowie offensichtlich unbegründete Auskunftsgesuche gem. Art. 26 Abs. 1 lit. c nDSG.
Das Auskunftsrecht gemäss nDSG weist starke Ähnlichkeiten zum Auskunftsrecht gemäss Europäischer Datenschutz-Grundverordnung (DSGVO) auf. Auch die DSGVO legt Mindestinformationen fest, die bereitgestellt werden müssen. Art. 15 DSGVO verlangt aber zusätzlich, dass die betroffene Person über die ihr zustehenden Betroffenenrechte sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde informiert wird (Art. 15 Abs.1 lit. e und f DSGVO). Nicht verlangt wird in der DSGVO dafür die weitergehenden Angaben zum Export der Daten. Die zu liefernden Pflichtinformationen sind im Gegensatz zu Art. 15 Abs. 1 DSGVO im nDSG aber auch nicht abschliessend geregelt.
Die Modalitäten der Auskunftserteilung sind ebenfalls ähnlich. Die DSGVO schreibt explizit vor, dass eine Kopie aller verarbeiteten Daten kostenfrei ausgehändigt werden soll. Weitere Kopien sind kostenpflichtig. Ging der Antrag elektrisch ein, müssen die Daten in einem gängigen elektrischen Format zur Verfügung gestellt werden.
Recht auf Datenherausgabe, Art. 28 Abs. 1 nDSG
Gemäss Art. 28 Abs. 1 nDSG haben alle betroffenen Personen das Recht, die Herausgabe von Personendaten, die dem Verantwortlichen bekanntgegeben wurden, in einem gängigen elektronischen Format heraus zu verlangen. Die Herausgabe hat aber nicht zur Folge, dass der Verantwortliche diese Daten nicht mehr bearbeiten darf. Sofern ein Rechtfertigungsgrund vorliegt, kann der Verantwortliche die Daten weiterhin bearbeiten. Einen Anspruch auf Löschung der Daten hat die betroffene Person separat geltend zu machen.
Der Anspruch auf Datenherausgabe besteht, soweit zwei Voraussetzungen kumulativ erfüllt sind: Zum einen muss es sich gemäss Art. 28 Abs. 1 lit. a nDSG um eine automatisierte Bearbeitung handeln, die zum anderen gemäss Art. 28 Abs. 1 lit. b nDSG aufgrund einer Einwilligung erfolgt oder im unmittelbaren Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages zwischen dem Verantwortlichen und der betroffenen Person steht. Wird der Anspruch geltend gemacht hat der Verantwortliche 30 Tage Zeit um der Herausgabe Folge zu leisten. Ähnlich wie beim Auskunftsrecht müssen die Daten gemäss Art. 28 Abs. 3 nDSG kostenlos herausgegeben werden, es sei denn, der Bundesrat hat ausdrücklich eine Ausnahme von dieser Regelung vorgesehen.
Das Recht auf Datenherausgabe wird durch Art. 29 nDSG eingeschränkt. Dieser verweist auf Art. 26 nDSG und ermöglicht es dem Verantwortlichen die Geltendmachung des Herausgabeanspruchs zu verweigern, einzuschränken oder aufzuschieben, sofern eine der Voraussetzungen aus Art. 26 Abs. 1–2 nDSG einschlägig ist.
Das gängige elektronische Format wird im nDSG nicht weiter spezifiziert. Art. 21 Abs. 1 DSV führt aus, dass das Format eine Übertragung mit verhältnismässigem Aufwand garantieren muss und dass die betroffene Person die Daten automatisiert weiterverwenden können muss. Bildformate, PDFs sowie andere proprietäre Formate dürften hiermit dann nicht als gängig im Sinne des nDSG und der DSV gelten. Formate wie HTML, JSON, ODT & ODS dürften damit zu bevorzugen sein.
Die DSGVO enthält keine äquivalente Regelung.
Recht auf Datenübertragung, Art. 28 Abs. 2 nDSG
Das Recht auf Datenübermittlung ist in Art. 28 Abs. 2 nDSG normiert. Dieses räumt der betroffenen Person den Anspruch ein gegenüber dem Verantwortlichen eine Übermittlung der Daten an einen anderen Verantwortlichen zu erwirken.
Der Anspruch besteht soweit ein Anspruch auf Herausgabe der Daten anzunehmen ist und die Übermittlung keinen unverhältnismässigen Aufwand erfordert. Das Vorliegen eines unverhältnismässigen Aufwandes dürfte dabei nur in Ausnahmefällen anzunehmen sein. Da Art. 28 Abs. 1 nDSG für die Herausgabe von Daten bereits Modalitäten festlegt, ist die Weitergabe dieser Daten unter den gleichen Modalitäten nicht als unverhältnismässiger Aufwand anzusehen. Auch die Umwandlung in ein gängiges Format wird keinen solchen unverhältnismässigen Aufwand darstellen. Art. 21 Abs. 3 DSV konkretisiert den Begriff des unverhältnismässigen Aufwandes und bezeichnet nur solche Umstände als unverhältnismässigen Aufwand, in denen eine Übertragung der Daten technisch nicht möglich ist. Wichtig zu beachten im Zusammenhang mit der Geltendmachung des Art. 28 Abs. 2 nDSG ist, dass der Verantwortliche, an den die Daten übertragen werden sollen, rechtlich nicht dazu verpflichtet ist den Empfang übertragener Daten anzubieten. Bietet der Empfänger dies nicht an, läuft eine Geltendmachung des Art. 28 Abs. 2 nDSG leer. Für die Modalitäten der Geltendmachung gilt das Gleiche wie für das Recht auf Datenherausgabe.
Die DSGVO sieht ebenfalls ein Recht auf Datenübertragung in Art. 20 DSGVO vor. Dieses kann im Gegensatz zu dem aus dem nDSG fliessenden Recht jedoch nicht durch den Verantwortlichen in seiner Geltendmachung beschränkt werden.
Recht auf Berichtigung, Art. 32 Abs. 1 nDSG sowie Bestreitungsvermerk, Art. 32 Abs. 3 nDSG
Das Recht auf Berichtigung gemäss Art. 32 Abs. 1 nDSG räumt Betroffenen das Recht ein, die Berichtigung unrichtiger Personendaten zu verlangen. Dieser Berichtigungsanspruch besteht nicht, soweit eine gesetzliche Vorschrift die Änderung der Personendaten verbietet oder die Personendaten zu Archivzwecken im öffentlichen Interesse bearbeitet werden. Das Berichtigungsrecht ergänzt den Bearbeitungsgrundsatz sowie die damit einhergehenden Pflichten der Bearbeitenden, insbesondere die in Art. 6 Abs. 6 nDSG normierte proaktive Pflicht der Bearbeitenden die Richtigkeit und Aktualität der Personendaten zu gewährleisten. Zur Ermittlung der Unrichtigkeit der Daten muss der in Art. 6 Abs. 5 nDSG erwähnte Bearbeitungszweck berücksichtigt werden und eine umfassende Abwägung im Einzelfall stattfinden. Zu berücksichtigen gilt, dass auch die Unvollständigkeit der Datenz zur Unrichtigkeit führen kann.
Wird weder die Unrichtigkeit noch die Richtigkeit der bearbeiteten Daten bewiesen, kann die betroffene Person gemäss Art. 32 Abs. 3 nDSG das Anbringen eines Bestreitungsvermerks fordern. Auch wenn gemäss Wortlaut der Bestimmung der Bestreitungsvermerk durch die «klagende Person» verlangt werden kann, bedeutet dies keine Beschränkung auf eine gerichtliche Geltendmachung. Lediglich die Mitteilung des Bestreitungsvermerks an Dritte sowie die Urteilspublikation muss mittels Klage erwirkt werden. In der Praxis zieht dieser Vermerk wohl keine Konsequenzen mit sich, weder rechtlich noch tatsächlich. Ihm ist allenfalls eine gewisse Symbolik zuzurechnen.
Art. 16 DSGVO hält das äquivalente Recht auf Berichtigung fest. Die DSGVO führt weiter aus, dass die Berichtigung ohne schuldhaftes Zögern («unverzüglich») zu erfolgen hat. Explizite Ausnahmen vom Berichtigungsrecht sieht Art. 16 DSGVO im Gegensatz zu Art. 32 Abs. 1 nDSG nicht vor. Hinsichtlich des Bestreitungsvermerks geht die DSGVO jedoch weiter als das nDSG. Nach Art. 19 DSGVO hat der Verantwortliche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Einschränkung der Verarbeitung mitzuteilen, ausser dies erweist sich als unmöglich oder ist mit einem unverhältnismässigen Aufwand verbunden. Der Verantwortliche unterrichtet auch die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
Kein eigenständiges Recht auf Löschung («Vergessenwerden») – Möglichkeit zivilrechtlicher Ansprüche gemäss Art. 28 ZGB, Art. 28a ZGB sowie Art. Art. 28 g-l ZGB
Ein im nDSG normiertes Recht auf Löschung gibt es nicht. Stattdessen wird auf das allgemeine Zivilrecht zurückgegriffen und es kann lediglich gestützt auf die Persönlichkeitsrechte gegen (mutmasslich) widerrechtliche persönlichkeitsverletzende Personendatenbearbeitung vorgegangen werden. Dafür verweist das nDSG im Rahmen des Berichtigungsrechts in Art. 32 Abs. 2 auf die zivilrechtlichen Klagen zum Schutz der Persönlichkeit gemäss Art. 28 ZGB, Art. 28a ZGB sowie Art. Art. 28 g-l ZGB. Die von einer Personendatenbearbeitung betroffene Person hat damit die Möglichkeit, gegen die «an der Verletzung mitwirkende Person» – somit Verantwortliche, aber auch Auftragsbearbeiter oder andere Hilfspersonen – zivilgerichtlich und klageweise vorzugehen. Aus dem Art. 32 Abs. 2 nDSG i.V.m. Art. 28 ff. ZGB lassen sich die folgenden Ansprüche ableiten:
- Negatorische Ansprüche
- Unterlassungsklage (Verbot von künftigen, drohenden, sich gegebenenfalls wiederholenden persönlichkeitsverletzenden Bearbeitungen)
- Beseitigungsklage (Beseitigung gegenwärtiger und noch andauernder/bestehender persönlichkeitsverletzenden Bearbeitungen)
- Feststellungsklage (Feststellung einer [abgeschlossenen] Verletzung, welche sich weiterhin oder erneut störend auswirkt)
- Reparatorische Ansprüche
- Schadensersatz (Geldersatz für den verursachten Vermögensschaden)
- Genugtuung (Ausgleich für erlittenen immateriellen Unbill)
- Gewinnherausgabe
- Gegendarstellungsrecht
Das Gericht kann somit insbesondere bestimmte Datenbearbeitungen verbieten oder beseitigende Massnahmen wie die Löschung oder Vernichtung von Personendaten anordnen. Zu berücksichtigen gilt, dass sich die Beweislast in einem Zivilprozess nach Art. 8 ZGB richtet, d. h. die betroffene Person muss eine Verletzung mithin beweisen.
In der DSGVO ist das Recht auf Löschen hingegen explizit geregelt. Art. 17 DSGVO räumt Betroffenen das Recht ein die unverzügliche Löschung ihrer Daten zu verlangen, sofern einer der in Art. 17 Abs. 1 lit. a-f DSGVO normierten Gründe einschlägig ist.
Widerspruchsrecht, Art. 30 Abs. 2 lit. b nDSG
Betroffene Personen haben das Recht, einer Bearbeitung von Personendaten zu widersprechen. Erfolgt dennoch eine Bearbeitung der Personendaten, ist gemäss Gesetzgeber eine hinreichende Intensität gegeben, als dass eine Persönlichkeitsverletzung vorliegt. Erforderlich ist jedoch gemäss Art. 30 Abs. 2 lit. b nDSG eine «ausdrückliche Willenserklärung» der betroffenen Person. Darüber hinaus kann das Bearbeiten von sie betreffenden Daten ohne weitere Voraussetzungen und ohne Interessensnachweis dem Bearbeiter verboten werden (Opt-Out-Prinzip). Diese Persönlichkeitsverletzung kann jedoch unter Umständen gemäss Art. 31 nDSG gerechtfertigt sein. In solchen Fällen steht der Widerspruch der Bearbeitung nicht entgegen .
Ein Widerspruchsrecht ist auch in Art. 21 DSGVO vorgesehen. Dieses gibt betroffenen Personen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen, es sei denn, es liegen zwingende berechtigte Gründe vor, die Vorrang haben. Die Verarbeitung durch den Verantwortlichen muss dann eingestellt werden, es sei denn der Verantwortliche kann seinerseits zwingende schutzwürdige Gründe vorlegen, die eine weitere Verarbeitung der Daten gebieten.
Quellen
- Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG; AS 2022 491; tritt per 1. September 2023 in Kraft)
- Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; DSGVO)
- Bruno Baeriswyl/Kurt Pärli/Dominika Blonski, Stämpflis Handkommentar (SHK) zum Datenschutzgesetz, 2023, 2. Aufl.