Pflichten

Betroffenenrechte nach revDSG: Auskunft, Berichtigung, Löschung richtig umsetzen

ComplianceCore Editorial··7 min read

Das revDSG gibt jeder natürlichen Person das Recht, von jedem Unternehmen Auskunft über ihre gespeicherten Daten zu verlangen — kostenlos und innerhalb von 30 Tagen. Dazu kommen das Recht auf Berichtigung, Löschung und Datenherausgabe. Wer keine internen Prozesse für Betroffenenbegehren aufgebaut hat, riskiert Fristversäumnisse und Beschwerden beim EDÖB.

30 Tage

Frist für Auskunft (Praxis)

CHF 0

Kosten für Auskunftserteilung

Art. 25

Auskunftsrecht im revDSG

Überblick: Die Betroffenenrechte im revDSG

Auskunftsrecht (Art. 25 DSG)

Jede betroffene Person kann jederzeit und kostenlos verlangen zu erfahren: ob ihre Daten bearbeitet werden, welche Daten vorhanden sind, zu welchem Zweck, wie lange, woher die Daten stammen, an wen sie weitergegeben werden und ob eine Auslandübermittlung stattfindet.

Recht auf Berichtigung (Art. 32 Abs. 1 DSG)

Unrichtige oder unvollständige Daten müssen korrigiert werden — auf Antrag. Wurden die Daten an Dritte weitergegeben, sind diese über die Korrektur zu informieren.

Recht auf Löschung (Art. 32 Abs. 2 DSG)

Daten können gelöscht werden, wenn die Bearbeitung unrechtmässig ist, der Zweck entfallen ist oder die Daten nicht mehr notwendig sind. Das Recht gilt nicht absolut — gesetzliche Aufbewahrungspflichten (z.B. 10 Jahre Buchführung nach OR) gehen vor.

Datenherausgabe / Datenportabilität (Art. 28 DSG)

Neu im revDSG: Betroffene können ihre Daten in einem gängigen elektronischen Format erhalten, wenn die Daten automatisiert bearbeitet werden und der Bearbeitung eine Einwilligung oder ein Vertrag zugrunde liegt.

RechtRechtsgrundlageFristAusnahmen möglich?
AuskunftArt. 25 DSG30 Tage (Praxis)Ja (Art. 26 DSG)
BerichtigungArt. 32 Abs. 1 DSGUnverzüglichSelten
LöschungArt. 32 Abs. 2 DSGUnverzüglichJa (Aufbewahrungspflichten)
DatenherausgabeArt. 28 DSG30 Tage (Praxis)Ja (technisch unverhältnismässig)

Internen Prozess aufsetzen: 5 Schritte

1

Eingangsprüfung

Begehren erfassen: Datum, Kanal (E-Mail / Post), Art des Begehrens (Auskunft / Berichtigung / Löschung / Datenherausgabe). Zuständige Person intern informieren.

2

Identitätsverifikation

Das Auskunftsrecht steht nur der betroffenen Person selbst zu. Prüfen Sie, ob die anfragende Person tatsächlich die ist, für die Daten vorhanden sind. Bei Unsicherheit: Ausweiskopie anfordern.

3

Interne Datenerhebung

Alle Stellen inventarisieren, wo Daten gespeichert sein könnten: CRM, ERP, HR-System, E-Mail-Archiv, Newsletter-Tool. Ohne gepflegtes VVT ist dies zeitaufwändig — ein Hauptargument für strukturiertes Datenmanagement.

4

Antwort formulieren und senden

Auskunft muss klar, verständlich und vollständig sein — per E-Mail oder Post. Mustervorlage nutzen. Frist: 30 Tage ab Eingang des Begehrens.

5

Dokumentieren

Eingang, Inhalt des Begehrens, ergriffene Massnahmen und Datum der Antwort festhalten. Aufbewahrung mindestens 1 Jahr empfohlen. Basis für EDÖB-Nachfragen.

Musterantwort auf ein Auskunftsbegehren

Eine Auskunftsantwort enthält: Bestätigung des Eingangs, Auflistung aller bearbeiteten Datenkategorien mit Inhalt, Zweck, Aufbewahrungsdauer und Empfängern, Angaben zur Herkunft sowie zu allfälligen Auslandübermittlungen.

DatenkategorieInhaltZweckAufbewahrungEmpfänger
KontaktdatenName, E-Mail, TelefonVertragsabwicklung10 Jahre (OR)Intern
BestellhistorieBestellnummern, PreiseVertragserfüllung10 Jahre (OR)Buchhaltungstool
ℹ️

Vorlage: Betreff «Ihre Datenschutzanfrage vom [Datum]» — Bestätigung des Eingangs, vollständige Datenübersicht, Angabe der Herkunft und allfälliger Auslandübermittlungen, Kontaktadresse für Rückfragen oder Folgebegehren.

Prozess-Flowchart: Begehren → Antwort

?Identität der anfragenden Person prüfen
Unklarheit → Ausweiskopie anfordern
?Art des Begehrens bestimmen
Auskunft → Alle Daten zusammenstellen → Musterantwort senden
Berichtigung → Daten korrigieren + Dritte informieren
?Löschung → Gesetzliche Aufbewahrungspflicht vorhanden?
JA → Begründete Ablehnung mit schriftlicher Mitteilung
NEIN → Löschen + schriftlich bestätigen
Datenherausgabe → Export als CSV/JSON etc.
Dokumentieren: Datum, Massnahmen, Antwortdatum

Häufige Fragen

Wie lange habe ich Zeit, auf ein Auskunftsbegehren zu antworten?+
Das revDSG nennt keine konkrete Frist, verlangt aber eine unverzügliche Bearbeitung. In der Praxis hat sich analog zur DSGVO eine Frist von 30 Tagen eingebürgert. Diese kann in begründeten, komplexen Fällen verlängert werden — die betroffene Person ist darüber zu informieren.
Was passiert, wenn ich ein Auskunftsbegehren ignoriere?+
Die betroffene Person kann beim EDÖB Beschwerde einreichen. Der EDÖB kann eine Sachverhaltsabklärung einleiten und Sie zur Beantwortung verpflichten. Zudem kann die Verweigerung der Auskunftspflicht nach Art. 62 DSG strafbar sein (Busse bis CHF 250'000).
Muss ich auf ein Löschungsbegehren eingehen, wenn ich gesetzliche Aufbewahrungspflichten habe?+
Nein. Gesetzliche Aufbewahrungspflichten (z.B. 10 Jahre für Buchführung nach Art. 958f OR) gehen dem Löschungsbegehren vor. Sie müssen die betroffene Person aber über den Grund der Ablehnung informieren und ggf. eine Sperrung statt Löschung anbieten.
Können wir für Auskunftsbegehren eine Gebühr verlangen?+
Grundsätzlich ist die Auskunft kostenlos zu erteilen. Nur bei offensichtlich unbegründeten oder exzessiven Anfragen darf eine Gebühr verlangt werden. Im Zweifel ist Vorsicht geboten.
Was, wenn eine Person behauptet, wir hätten noch mehr Daten als angegeben?+
Führen Sie eine gründliche Suche durch und dokumentieren Sie das Ergebnis. Das VVT ist in solchen Situationen Ihr wichtigstes Argument — es zeigt, welche Systeme und Datenkategorien Sie betreiben.

Betroffenenbegehren effizient verwalten

ComplianceCore trackt Fristen automatisch und stellt Antwortvorlagen bereit. Kein Begehren fällt mehr durch den Rost.

Jetzt Beta-Zugang sichern →

This content is for informational purposes only and does not constitute legal advice.

Related Articles

Pflichten

Verzeichnis der Bearbeitungstätigkeiten (VVT): Pflicht oder freiwillig für Schweizer KMU?

Read article →
Risiko

Datenschutzverletzung melden: So funktioniert die Meldung an den EDÖB

Read article →
Praxis

Geschäftskontaktdaten und Datenschutz: Sind B2B-Daten Personendaten?

Read article →