Betroffenenrechte unter dem nDSG: Der vollständige Leitfaden für Schweizer KMU

Wenn ein Kunde, ein Mitarbeitender oder selbst ein zufälliger Besucher Ihrer Website Ihnen eine E-Mail mit der Frage schickt: « Welche Daten haben Sie über mich? », dann ist Ihre Antwort nicht bloss gute Praxis — es ist eine gesetzliche Pflicht nach Schweizer Recht. Seit dem 1. September 2023 hat das neue Bundesgesetz über den Datenschutz (nDSG, auf Französisch nLPD, auf Englisch nFADP) die Betroffenenrechte erheblich gestärkt, und Schweizer KMU sind verpflichtet, diese Begehren zügig, korrekt und kostenfrei zu bearbeiten.

Die Realität sieht jedoch beunruhigend aus. Die meisten kleinen und mittleren Unternehmen in der Schweiz haben noch nie ein formelles Auskunftsbegehren erhalten, verfügen über kein dokumentiertes Verfahren und wüssten nicht, wo sie anfangen sollten, wenn morgen eines eintrifft. Dieser Leitfaden ändert das. Er erklärt jedes Betroffenenrecht des nDSG im Detail, beschreibt die praktischen Schritte zur Bearbeitung von Begehren, beleuchtet die Ausnahmen, die eine Ablehnung ermöglichen, und vergleicht den Schweizer Rahmen mit der DSGVO, damit Sie genau wissen, wo Sie stehen.

Warum Betroffenenrechte für Ihr Unternehmen wichtig sind

Betroffenenrechte sind kein abstraktes juristisches Konzept, das multinationalen Konzernen vorbehalten ist. Sie sind der Mechanismus, mit dem jede Person Ihr Unternehmen zur Rechenschaft ziehen kann, wie es mit ihren Personendaten umgeht. Unter dem nDSG gelten diese Rechte unabhängig von der Grösse Ihres Unternehmens, dem Volumen der bearbeiteten Daten oder davon, ob Sie ausschliesslich in der Schweiz tätig sind.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) — die Schweizer Aufsichtsbehörde (auf Französisch PFPDT, auf Englisch FDPIC) — hat wiederholt betont, dass die Einhaltung der Betroffenenrechte ein Schwerpunktbereich ist. Die auf edoeb.admin.ch veröffentlichten Leitlinien machen deutlich, dass auch KMU nachweisen können müssen, dass sie in der Lage sind, auf diese Begehren innerhalb der gesetzlichen Frist zu antworten.

Die praktischen Konsequenzen sind erheblich:

• Sanktionen: Die Missachtung der Informationspflichten kann Strafverfolgung gemäss Art. 60 nDSG auslösen, mit Bussen bis zu CHF 250 000 gegen die verantwortliche natürliche Person
• Reputationsschaden: Ein schlecht bearbeitetes Auskunftsbegehren kann zu einer EDÖB-Untersuchung und öffentlicher Berichterstattung eskalieren
• Kundenvertrauen: Die korrekte Bearbeitung von Datenbegehren signalisiert Professionalität und stärkt das Vertrauen
• Wettbewerbsvorteil: In B2B-Beziehungen beeinflusst der Nachweis einer ausgereiften Daten-Governance zunehmend die Lieferantenauswahl

Das Auskunftsrecht (Art. 25 nDSG)

Das Auskunftsrecht ist der Grundpfeiler der Betroffenenrechte unter dem nDSG. Es erlaubt jeder Person, einen Verantwortlichen zu fragen, ob Personendaten über sie bearbeitet werden, und falls ja, einen umfassenden Satz an Informationen über diese Bearbeitung zu erhalten.

Was die betroffene Person verlangen kann

Gemäss Art. 25 Abs. 2 nDSG hat die betroffene Person Anspruch auf folgende Informationen:

1. Die Identität und die Kontaktdaten des Verantwortlichen
2. Die bearbeiteten Personendaten als solche (die tatsächlichen Daten, nicht bloss eine Zusammenfassung)
3. Den Bearbeitungszweck
4. Die Aufbewahrungsdauer der Daten oder die Kriterien zur Festlegung dieser Dauer
5. Die verfügbaren Angaben über die Herkunft der Daten (wenn diese nicht direkt bei der betroffenen Person beschafft wurden)
6. Gegebenenfalls automatisierte Einzelentscheidungen (Art. 21 nDSG), einschliesslich der zugrunde liegenden Logik
7. Die Empfänger oder Kategorien von Empfängern, denen Daten bekanntgegeben werden
8. Gegebenenfalls Angaben zur grenzüberschreitenden Bekanntgabe von Daten, einschliesslich der Zielländer und der getroffenen Garantien

Dies ist eine umfangreichere Offenlegungspflicht, als vielen KMU bewusst ist. Es genügt nicht, zu bestätigen: «Ja, wir haben Ihre E-Mail-Adresse.» Sie müssen alle Daten bereitstellen, die Sie besitzen, erklären, warum Sie sie haben, offenlegen, wer sie gesehen hat, und angeben, wie lange Sie sie aufbewahren.

Die 30-Tage-Frist

Der Verantwortliche muss innert 30 Tagen ab Eingang des Auskunftsbegehrens antworten (Art. 25 Abs. 6 nDSG). Diese Frist beginnt am Tag des Eingangs des Begehrens, nicht ab dem Tag, an dem Sie den Empfang bestätigen oder die Identität des Antragstellers überprüfen.

Wenn das Begehren besonders komplex ist oder ein sehr grosses Datenvolumen betrifft, können Sie diese Frist verlängern. Allerdings müssen Sie:

• Die betroffene Person innerhalb der ursprünglichen 30 Tage über die Verlängerung informieren
• Spezifische Gründe für die Verzögerung angeben
• Das voraussichtliche Antwortdatum mitteilen

In der Praxis vergeht die 30-Tage-Frist schnell. Wenn kein Verfahren vorhanden ist, stellt die Identifizierung aller relevanten Daten über E-Mail-Postfächer, CRM-Systeme, Analyseplattformen, Papierakten und Sicherungsbänder innerhalb eines Monats eine ernsthafte Herausforderung dar. Hier wird ein systematisches Dateninventar — wie eines, das über das Bearbeitungsverzeichnis von PrivaGuard gepflegt wird — unschätzbar wertvoll.

Form und Zustellung der Antwort

Die Informationen müssen schriftlich (einschliesslich elektronisch) in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form mitgeteilt werden (Art. 25 Abs. 5). Das nDSG schreibt kein bestimmtes Format vor, aber bewährte Praxis empfiehlt:

• Einen strukturierten Brief oder ein PDF, das jede Informationskategorie abdeckt
• Einen Anhang mit den tatsächlichen Daten (Datenbankexporte, Kopien von Korrespondenz usw.)
• Klare Sprache, unter Vermeidung unnötigen juristischen Fachjargons
• Zustellung über einen sicheren Kanal (verschlüsselte E-Mail, eingeschriebener Brief oder sicherer Download-Link)

Kostenfreiheit — mit Ausnahmen

Die Auskunftserteilung ist grundsätzlich kostenlos (Art. 25 Abs. 6 nDSG). Die Verordnung des Bundesrates (die DSV) erlaubt dem Verantwortlichen jedoch, eine angemessene Kostenbeteiligung in zwei spezifischen Situationen zu verlangen:

1. Unverhältnismässiger Aufwand: Wenn das Begehren einen unverhältnismässigen Aufwand erfordert, beispielsweise weil die betroffene Person innerhalb kurzer Zeit wiederholte Begehren stellt
2. Bereits erteilte Auskunft: Wenn dieselben Informationen der betroffenen Person kürzlich mitgeteilt wurden

Der Betrag muss verhältnismässig zu den Verwaltungskosten sein und dem Antragsteller vor der Erteilung der Auskunft mitgeteilt werden. Der Antragsteller kann dann sein Begehren zurückziehen oder einschränken.

Wichtig: Die Kostenpflicht sollte die Ausnahme sein, nicht die Regel. Der EDÖB hat darauf hingewiesen, dass Verantwortliche, die routinemässig für Auskunftsbegehren Gebühren erheben, einer Überprüfung unterzogen werden.

Das Recht auf Datenportabilität (Art. 28 nDSG)

Das Recht auf Datenportabilität ist eine Neuerung des revidierten nDSG und widerspiegelt die wachsende Erkenntnis, dass Personendaten nicht in proprietären Systemen eingeschlossen sein sollten.

Was Portabilität in der Praxis bedeutet

Gemäss Art. 28 nDSG kann jede betroffene Person verlangen, dass ihre Personendaten in einem gängigen elektronischen Format herausgegeben werden. Wenn der Verantwortliche Daten automatisiert bearbeitet, kann die betroffene Person auch verlangen, dass die Daten direkt an einen anderen Verantwortlichen übermittelt werden, sofern dies technisch möglich ist und keinen unverhältnismässigen Aufwand erfordert.

Die Schlüsselelemente:

• Maschinenlesbares Format: Die Daten müssen in einem strukturierten, gängigen Format bereitgestellt werden (z. B. CSV, JSON, XML)
• Direkter Transfer: Wenn technisch machbar, kann die betroffene Person die Übermittlung an einen neuen Anbieter verlangen
• Umfang: Nur Daten, die von der betroffenen Person bereitgestellt oder durch ihre Nutzung des Dienstes erzeugt wurden (keine abgeleiteten Daten oder analytischen Ergebnisse)
• Kostenfreiheit: Dasselbe Prinzip der Kostenfreiheit gilt

Praktisches Beispiel

Ein Kunde, der von einer Schweizer Cloud-Buchhaltungsplattform zu einer anderen wechselt, kann verlangen, dass seine Transaktionshistorie, Kontaktdaten und hochgeladene Dokumente im CSV-Format exportiert und entweder heruntergeladen oder direkt an den neuen Anbieter übermittelt werden. Die ursprüngliche Plattform kann dies nicht mit der Begründung ablehnen, dass es einem Konkurrenten zugutekäme.

Vergleich mit der DSGVO-Portabilität (Art. 20 DSGVO)

Das Recht auf Datenportabilität der DSGVO nach Art. 20 ist auf Daten beschränkt, die auf Grundlage einer Einwilligung oder eines Vertrags verarbeitet und automatisiert durchgeführt werden. Das Portabilitätsrecht des nDSG ist breiter in einer Hinsicht — es ist nicht auf bestimmte Rechtsgrundlagen beschränkt — aber enger in einer anderen, da es nur gilt, wenn der Verantwortliche Daten automatisiert bearbeitet und der Transfer technisch ohne unverhältnismässigen Aufwand möglich ist.

Das Recht auf Berichtigung und Löschung

Obwohl das nDSG kein eigenständiges «Recht auf Berichtigung» oder «Recht auf Löschung» in derselben expliziten Weise wie die Artikel 16 und 17 der DSGVO schafft, werden dieselben Ergebnisse durch die allgemeinen Bearbeitungsgrundsätze des Gesetzes erreicht.

Berichtigung

Gemäss Art. 6 Abs. 5 nDSG muss jeder, der Personendaten bearbeitet, sicherstellen, dass die Daten richtig sind. Wenn die betroffene Person nachweist, dass ihre Personendaten unrichtig sind, muss der Verantwortliche sie berichtigen. Die betroffene Person kann dieses Recht in Verbindung mit dem Auskunftsrecht geltend machen — sobald sie sieht, welche Daten vorliegen, kann sie deren Richtigkeit anfechten.

Praxistipp: Wenn eine betroffene Person eine Berichtigung verlangt, dokumentieren Sie die Originaldaten, die gewünschte Korrektur, das Änderungsdatum und die vorgelegten Belege. Dieser Prüfpfad schützt Sie im Fall einer späteren Streitigkeit.

Löschung

Das Recht auf Löschung ergibt sich aus den Grundsätzen der Zweckbindung und Verhältnismässigkeit (Art. 6 nDSG). Wenn Personendaten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, oder wenn die betroffene Person ihre Einwilligung widerruft und keine andere Rechtsgrundlage vorliegt, muss der Verantwortliche die Daten löschen.

Wichtige Einschränkungen: Löschungsbegehren haben keinen Vorrang vor gesetzlichen Aufbewahrungspflichten. Das Schweizer Handelsrecht verlangt von Unternehmen, Buchhaltungsunterlagen 10 Jahre aufzubewahren (Art. 958f OR), und das Arbeitsrecht schreibt die Aufbewahrung bestimmter Personalakten vor. Wo solche Pflichten bestehen, muss der Verantwortliche die betroffene Person darüber informieren, dass die Daten nicht gelöscht werden können, ihre Bearbeitung jedoch auf den gesetzlich vorgeschriebenen Zweck beschränkt wird.

Das Recht auf Widerspruch gegen automatisierte Einzelentscheidungen (Art. 21 nDSG)

Das nDSG befasst sich in Art. 21 mit automatisierten Einzelentscheidungen und gewährt betroffenen Personen das Recht, informiert zu werden, wenn eine sie erheblich betreffende Entscheidung ausschliesslich durch automatisierte Mittel getroffen wird, sowie das Recht, eine Überprüfung durch eine natürliche Person zu verlangen.

Dies betrifft KMU, die Folgendes einsetzen:

• Automatisierte Kreditprüfung oder Risikobewertung
• Algorithmisches Recruiting oder CV-Screening
• Automatisierte Versicherungs-Underwriting
• KI-gestützte Kundenkategorisierung

Wenn Ihr Unternehmen Entscheidungen mit rechtlichen oder ähnlich erheblichen Auswirkungen auf Personen durch rein automatisierte Verfahren trifft, müssen Sie:

1. Die betroffene Person über den automatisierten Charakter der Entscheidung informieren
2. Ihr die Möglichkeit geben, ihren Standpunkt darzulegen
3. Die Möglichkeit einer menschlichen Überprüfung anbieten

Vergleich mit Art. 22 DSGVO

Art. 22 der DSGVO schafft ein generelles Verbot automatisierter Einzelentscheidungen mit rechtlicher Wirkung, vorbehaltlich spezifischer Ausnahmen. Das nDSG wählt einen leichteren Ansatz — es verbietet solche Verarbeitungen nicht, verlangt aber Transparenz und die Möglichkeit menschlicher Intervention.

Einschränkungen und Ausnahmen (Art. 26 nDSG)

Nicht jedes Begehren einer betroffenen Person muss vollumfänglich erfüllt werden. Art. 26 nDSG erlaubt dem Verantwortlichen, die Auskunftserteilung unter bestimmten Umständen einzuschränken, aufzuschieben oder zu verweigern.

Gründe für Einschränkungen

Der Verantwortliche darf das Auskunftsrecht einschränken, wenn:

1. Ein formelles Gesetz es verlangt — beispielsweise kann die Geldwäschereigesetzgebung die Offenlegung bestimmter Überwachungsaktivitäten verhindern
2. Überwiegende Interessen Dritter Schutz erfordern — beispielsweise wenn die Offenlegung Informationen über eine andere identifizierbare Person preisgeben würde
3. Eigene überwiegende Interessen des Verantwortlichen dies rechtfertigen — jedoch nur, wenn die Daten nicht an Dritte bekanntgegeben werden. Dies ist eine bedeutende Einschränkung: Sie können Ihr eigenes Interesse nicht als Schutzschild verwenden, wenn Sie die Daten bereits geteilt haben
4. Ein öffentliches Interesse es erfordert — beispielsweise im Rahmen einer laufenden behördlichen Untersuchung

Wie Einschränkungen in der Praxis anzuwenden sind

Wenn Sie sich auf eine Einschränkung gemäss Art. 26 berufen, müssen Sie:

• Ihre Begründung detailliert dokumentieren
• Die betroffene Person informieren, dass ihr Begehren eingeschränkt wurde, und die Gründe dafür nennen (es sei denn, die Mitteilung der Gründe würde den Zweck der Einschränkung selbst vereiteln)
• Die Informationen bereitstellen, die bekanntgegeben werden können, auch wenn andere Teile eingeschränkt sind
• Prüfen, ob eine teilweise Bekanntgabe möglich ist

Entscheidender Punkt: Die Beweislast liegt beim Verantwortlichen. Bei einer EDÖB-Untersuchung oder gerichtlichen Anfechtung müssen Sie nachweisen können, dass die Einschränkung gerechtfertigt, notwendig und verhältnismässig war.

Die Rolle des EDÖB

Wenn eine betroffene Person eine Einschränkung anficht, kann sie Beschwerde beim EDÖB einreichen. Der EDÖB hat die Befugnis zu ermitteln, zu vermitteln, Empfehlungen auszusprechen und — seit der Revision 2023 — verbindliche Verfügungen zu erlassen, die den Verantwortlichen zur Einhaltung verpflichten (Art. 51 nDSG). Dies ist eine bedeutende Änderung gegenüber dem alten Regime, unter dem der EDÖB nur unverbindliche Empfehlungen aussprechen konnte.

Vergleich mit den DSGVO-Betroffenenrechten (Art. 15–22 DSGVO)

Schweizer KMU, die auch EU-Kunden bedienen oder EU-basierte Mitarbeitende beschäftigen, müssen verstehen, wie die nDSG-Rechte mit ihren DSGVO-Äquivalenten verglichen werden. Hier eine praktische Gegenüberstellung:

Praktische Folge: Wenn Sie DSGVO-konform sind, sind Sie bei den Betroffenenrechten weitgehend auch nDSG-konform — aber nicht vollständig. Das nDSG hat seine Eigenheiten, insbesondere bei den Einschränkungsgründen und dem strafrechtlichen Sanktionsregime.

Praktisches Bearbeitungsverfahren für Schweizer KMU

Die Bearbeitung von Begehren betroffener Personen sollte nicht improvisiert werden. Ein dokumentiertes, wiederholbares Verfahren schützt Ihr Unternehmen rechtlich und gewährleistet konsistente Antworten. Hier ein schrittweiser Rahmen:

Schritt 1: Begehren empfangen und registrieren

• Bestimmen Sie eine zentrale Kontaktstelle (E-Mail-Adresse, Webformular) für Begehren betroffener Personen
• Registrieren Sie das Begehren sofort mit Eingangsdatum, Identität des Antragstellers und Art des Begehrens
• Starten Sie die 30-Tage-Frist

Schritt 2: Identität des Antragstellers überprüfen

Bevor Sie Personendaten offenlegen, müssen Sie überprüfen, dass die Person, die das Begehren stellt, tatsächlich diejenige ist, die sie vorgibt zu sein. Daten an die falsche Person zu liefern, ist selbst eine Datenschutzverletzung.

Akzeptable Überprüfungsmethoden umfassen:

• Amtlicher Ausweis (Reisepass, Identitätskarte) — schwärzen Sie unnötige Angaben wie Foto oder Ausweisnummer, wenn nicht benötigt
• Abgleich mit vorhandenen Daten — überprüfen Sie, ob die Angaben des Antragstellers mit denen in Ihrem System übereinstimmen (E-Mail, Adresse, Geburtsdatum)
• Elektronische Identifikation — sofern verfügbar, über SwissID oder ähnliche Dienste
• Zwei-Faktor-Verifizierung — bei bestehenden Kunden über einen bekannten Kommunikationskanal bestätigen

Wichtig: Die Überprüfungsmethode muss verhältnismässig zur Sensibilität der Daten sein. Bei einem Newsletter-Abonnenten, der seine E-Mail-Einstellungen anfragt, kann eine Bestätigungs-E-Mail genügen. Bei einem Patienten, der medizinische Unterlagen anfordert, ist ein amtlicher Ausweis angemessen.

Schritt 3: Alle relevanten Daten lokalisieren

Hier stossen die meisten KMU auf Schwierigkeiten. Personendaten können verstreut sein über:

• CRM- und Kundendatenbanken
• E-Mail-Postfächer und Archive
• HR- und Lohnabrechnungssysteme
• Web-Analysetools (Google Analytics usw.)
• Cookie-Einwilligungsprotokolle
• Papierakten und physische Archive
• Sicherungssysteme
• Auftragsbearbeiter (Cloud-Anbieter, E-Mail-Marketing-Tools)

Ein umfassendes Bearbeitungsverzeichnis — das das nDSG für die meisten Unternehmen bereits vorschreibt — ist hier unverzichtbar. Wenn Sie eines haben, reduziert sich die Beantwortung von Auskunftsbegehren darauf, das Verzeichnis zu konsultieren, um zu identifizieren, wo Daten gespeichert sind. Wenn Sie keines haben, sollten Sie eines mit einem Tool wie dem Bearbeitungsverzeichnis von PrivaGuard erstellen, das Ihre Bearbeitungstätigkeiten und Datenflüsse systematisch abbildet.

Schritt 4: Antwort zusammenstellen und prüfen

• Alle Personendaten zum Antragsteller zusammentragen
• Nach Kategorien ordnen (Identitätsdaten, Kontaktdaten, Finanzdaten, Nutzungsdaten usw.)
• Daten prüfen, um sicherzustellen, dass keine Drittdaten versehentlich enthalten sind
• Berechtigte Einschränkungen gemäss Art. 26 anwenden (Begründung dokumentieren)
• Die Antwort in einem klaren, strukturierten Format vorbereiten

Schritt 5: Antwort übermitteln

• Die Antwort innert 30 Tagen versenden
• Eine sichere Übermittlungsmethode verwenden, die der Sensibilität der Daten angemessen ist
• Eine Kopie der Antwort und der Zustellbestätigung für Ihre Unterlagen aufbewahren
• Wenn Sie mehr Zeit benötigen, die Verlängerung innerhalb der 30-Tage-Frist kommunizieren

Schritt 6: Nachbearbeitung bei Bedarf

• Wenn die betroffene Person nach dem Auskunftsbegehren eine Berichtigung oder Löschung verlangt, behandeln Sie dies als separate Massnahme mit eigener Dokumentation
• Aktualisieren Sie Ihr Bearbeitungsverzeichnis, um Änderungen widerzuspiegeln
• Wenn Daten an Dritte weitergegeben wurden, informieren Sie diese über Korrekturen oder Löschungen

Muster-Antwortschreiben

Um Ihnen den Einstieg zu erleichtern, hier eine Struktur für eine Antwort auf ein Auskunftsbegehren:

Betreff: Antwort auf Ihr Auskunftsbegehren vom [Datum]

Sehr geehrte/r Frau/Herr [Name],

Wir bestätigen den Eingang Ihres Begehrens vom [Datum] gestützt auf Art. 25 des Bundesgesetzes über den Datenschutz (nDSG).

Nach der am [Datum] abgeschlossenen Identitätsüberprüfung teilen wir Ihnen Folgendes mit:

1. Verantwortlicher: [Firmenname, Adresse, Kontaktdaten]

2. Personendaten, die wir über Sie bearbeiten:

• [Kategorie]: [Spezifische Daten]
• [Kategorie]: [Spezifische Daten]

3. Bearbeitungszwecke: [Zwecke auflisten]

4. Aufbewahrungsfristen: [Pro Kategorie angeben]

5. Empfänger: [Empfänger oder Kategorien auflisten]

6. Grenzüberschreitende Bekanntgabe: [Länder und Garantien, oder «Keine»]

7. Herkunft der Daten: [Wie die Daten beschafft wurden]

8. Automatisierte Einzelentscheidungen: [Ja/Nein — falls ja, Logik erläutern]

Sollten Sie weitere Rechte wie die Berichtigung oder Löschung Ihrer Daten geltend machen wollen, kontaktieren Sie uns bitte unter der obigen Adresse.

Freundliche Grüsse, [Unterschrift]

Identitätsüberprüfung: richtig umsetzen

Die Identitätsüberprüfung verdient besondere Aufmerksamkeit, da Fehler in beide Richtungen Risiken schaffen:

• Unzureichende Überprüfung: Personendaten an einen Betrüger herauszugeben, ist ein Datenleck
• Übermässige Überprüfung: Unverhältnismässige Dokumentation zu verlangen, schafft unnötige Hürden und kann selbst gegen den Grundsatz der Datenminimierung verstossen

Die DSV (Verordnung zum Datenschutzgesetz) sieht vor, dass der Verantwortliche angemessene Massnahmen zur Identitätsprüfung ergreifen muss. Das Niveau variiert je nach Kontext:

Tipp: Dokumentieren Sie Ihre Verifizierungsrichtlinie und wenden Sie diese konsequent an. Inkonsistente Überprüfung lädt zu Beschwerden ein.

Sanktionen bei Nicht-Einhaltung (Art. 60 nDSG)

Das Sanktionsregime des nDSG ist strafrechtlich, nicht verwaltungsrechtlich. Die Missachtung der Betroffenenrechte fällt unter Art. 60 nDSG (Verletzung der Informationspflichten), der Bussen bis zu CHF 250 000 gegen die verantwortliche natürliche Person vorsieht — nicht das Unternehmen.

Wichtige Punkte zur Durchsetzung:

• Der EDÖB kann keine Bussen direkt verhängen — er ermittelt, erlässt Empfehlungen und verbindliche Verfügungen und kann Strafanzeige bei der Staatsanwaltschaft erstatten
• Die Staatsanwaltschaft führt das Strafverfahren durch und verhängt Sanktionen
• Verurteilungen erscheinen im Strafregister der betroffenen Person
• Die Verjährungsfrist beträgt 3 Jahre ab Begehung der Tat (Art. 66 nDSG)
• Für die Strafverfolgung sind vorsätzliche Verstösse erforderlich; fahrlässige Verstösse sind unter dem geltenden Regime nicht strafbar

Für eine detaillierte Analyse des Sanktionsregimes konsultieren Sie unseren umfassenden Leitfaden zu nDSG-Strafen und persönlicher Haftung.

Auch ausserhalb des strafrechtlichen Kontexts birgt Nicht-Einhaltung praktische Risiken:

• EDÖB-Untersuchungen können zeitaufwändig und störend sein
• Verbindliche Verfügungen können kostspielige Abhilfemassnahmen erfordern
• Reputationsfolgen in einem zunehmend datenbewussten Markt
• Verlust des Kundenvertrauens, insbesondere in Sektoren wie Gesundheitswesen, Finanzdienstleistungen und Rechtsberatung

Häufige Fehler und bewährte Praktiken

Fehler 1: Begehren ignorieren oder als Reklamationen behandeln

Ein Auskunftsbegehren ist eine gesetzliche Pflicht, keine Kundendienstanfrage. Nicht innerhalb von 30 Tagen zu antworten — oder mit einem vagen «Wir werden der Sache nachgehen» zu reagieren — setzt Ihr Unternehmen Durchsetzungsmassnahmen aus.

Bewährte Praxis: Behandeln Sie jedes Auskunftsbegehren als formelle Rechtsangelegenheit. Registrieren Sie es, weisen Sie es einer verantwortlichen Person zu und verfolgen Sie die 30-Tage-Frist.

Fehler 2: Unvollständige Antworten

Nur Daten aus der Hauptdatenbank bereitzustellen und dabei E-Mail-Korrespondenz, Analysedaten oder von Ihren Auftragsbearbeitern gehaltene Daten zu übersehen, ist ein häufiges und gefährliches Versäumnis.

Bewährte Praxis: Nutzen Sie Ihr Bearbeitungsverzeichnis, um alle Speicherorte von Personendaten zu identifizieren. Wenn Sie kein Verzeichnis haben, ist dies das stärkste Argument für dessen Erstellung — Tools wie PrivaGuard machen diesen Prozess unkompliziert.

Fehler 3: Übermässiges Abstützen auf Einschränkungen

Manche Unternehmen berufen sich reflexartig auf «überwiegende Interessen», um die Datenherausgabe zu vermeiden. Die Einschränkungen des Art. 26 sollen die Ausnahme und nicht die Regel sein und müssen im Einzelfall begründet werden.

Bewährte Praxis: Wenden Sie Einschränkungen nur an, wenn sie wirklich notwendig sind, dokumentieren Sie Ihre Begründung gründlich und stellen Sie stets die Daten bereit, die bekanntgegeben werden können, auch wenn andere Teile eingeschränkt sind.

Fehler 4: Keine Identitätsüberprüfung

Personendaten an eine nicht überprüfte Person zu senden, ist ein Datenleck. Es stellt auch eine Verletzung der Pflicht des Verantwortlichen zur Datensicherheit gemäss Art. 8 nDSG dar.

Bewährte Praxis: Implementieren Sie ein verhältnismässiges Überprüfungsverfahren und wenden Sie es konsequent auf jedes Begehren an.

Fehler 5: Standardmässig Gebühren erheben

Manche Unternehmen fügen jedem Auskunftsbegehren «Bearbeitungsgebühren» hinzu, um davon abzuschrecken. Dies verstösst direkt gegen den Grundsatz der Kostenfreiheit.

Bewährte Praxis: Erteilen Sie Auskünfte kostenlos. Ziehen Sie Gebühren nur in Betracht, wenn das Begehren tatsächlich übermässig oder offensichtlich unbegründet ist, und kommunizieren Sie den Betrag stets vor der Bearbeitung.

Fehler 6: Fehlende interne Dokumentation

Bei einer EDÖB-Untersuchung hängt Ihre Fähigkeit, die Einhaltung nachzuweisen, von Ihren Unterlagen ab. «Wir haben es mündlich erledigt» ist keine vertretbare Position.

Bewährte Praxis: Führen Sie ein Protokoll aller Begehren betroffener Personen, einschliesslich Eingangsdatum, verwendeter Überprüfungsmethode, Antwortdatum und einer Kopie der Antwort. Das Einwilligungs-Audit-Protokoll von PrivaGuard kann helfen, diese Interaktionen systematisch zu verfolgen.

Fehler 7: Auftragsbearbeiter vergessen

Wenn Sie Cloud-Dienste, SaaS-Tools oder externe Dienstleister nutzen, die in Ihrem Auftrag Personendaten bearbeiten, können diese für das Auskunftsbegehren relevante Daten halten. Sie bleiben der Verantwortliche und sind für die vollständige Antwort verantwortlich.

Bewährte Praxis: Beziehen Sie Ihre Auftragsbearbeiter in den Datenerhebungsprozess ein. Stellen Sie sicher, dass Ihre Auftragsbearbeitungsverträge (AVV) Bestimmungen enthalten, die Auftragsbearbeiter verpflichten, Sie bei der Bearbeitung von Begehren betroffener Personen innerhalb einer Frist zu unterstützen, die Ihnen die Einhaltung der 30-Tage-Frist ermöglicht.

Ein nachhaltiges Compliance-Framework aufbauen

Die Bearbeitung von Begehren betroffener Personen sollte keine Krisenübung sein. Sie sollte Teil Ihrer regulären Geschäftsabläufe sein, unterstützt durch:

1. Ein umfassendes Bearbeitungsverzeichnis, das abbildet, wo Personendaten in Ihrer Organisation gespeichert sind — dies ist das Fundament für alles Weitere
2. Ein dokumentiertes Bearbeitungsverfahren mit klaren Verantwortlichkeiten, Fristen und Eskalationswegen
3. Eine Identitätsüberprüfungsrichtlinie, die verhältnismässig und konsequent angewendet wird
4. Muster-Antwortschreiben, die an verschiedene Arten von Begehren angepasst sind
5. Schulung für Mitarbeitende, die Begehren betroffener Personen erhalten oder bearbeiten könnten
6. Regelmässige Überprüfungen, um sicherzustellen, dass die Verfahren aktuell bleiben, wenn sich Ihr Unternehmen und Ihre Bearbeitungstätigkeiten weiterentwickeln

PrivaGuard bietet Schweizer KMU die Werkzeuge, um dieses Framework effizient aufzubauen — vom Bearbeitungsverzeichnis gemäss Art. 12 nDSG über die Einwilligungsverwaltung bis zur Erstellung von Datenschutzerklärungen. Die Plattform ist speziell für das Schweizer Recht konzipiert, in der Schweiz gehostet und darauf ausgelegt, Compliance praktisch statt theoretisch zu gestalten.

Fazit

Betroffenenrechte unter dem nDSG sind nicht optional und nicht ausschliesslich ein Thema für Grossunternehmen. Jedes Schweizer Unternehmen, das Personendaten bearbeitet — und das ist faktisch jedes Schweizer Unternehmen — muss darauf vorbereitet sein, diese Begehren innerhalb der gesetzlichen Frist zu empfangen, zu überprüfen, zu bearbeiten und zu beantworten.

Die gute Nachricht ist, dass der nDSG-Rahmen vernünftig ist. Die 30-Tage-Frist ist mit angemessener Vorbereitung handhabbar. Die Einschränkungen des Art. 26 bieten echten Schutz gegen missbräuchliche Begehren. Der Grundsatz der Kostenfreiheit hat sinnvolle Ausnahmen. Und der EDÖB hat seine Bereitschaft signalisiert, konstruktiv mit KMU zusammenzuarbeiten, die guten Glauben demonstrieren.

Der Schlüssel ist Vorbereitung. Auf das erste Auskunftsbegehren zu warten, um Ihren Prozess zu definieren, ist ein Rezept für Nicht-Einhaltung. Ihr Framework jetzt aufzubauen — mit einem ordnungsgemässen Bearbeitungsverzeichnis, dokumentierten Verfahren und den richtigen Werkzeugen — bedeutet, dass Sie sicher, schnell und rechtskonform antworten können, wenn es soweit ist.

Für den vollständigen Gesetzestext des nDSG konsultieren Sie die Veröffentlichung der Bundeskanzlei auf fedlex.admin.ch. Für praktische Orientierungshilfen und Vorlagen ist die Website des EDÖB Ihre primäre Referenz.