Eine Bank vom EDÖB zur Ordnung gerufen

(Übersetzt von DeepL)

In seiner Entscheidung vom 29. Januar 2025, veröffentlicht am 1. Juli 2025, hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine Schweizer Bank wegen wiederholter Verstösse gegen die Bestimmungen des DSG zum Recht auf Zugang verwarnt. Dieser Entscheid legt klare Standards fest : strikte Einhaltung der 30-tägigen Frist für die Antwort an die betroffene Person und Verpflichtung zur Bereitstellung der personenbezogenen Daten « als solche ».

Diese Entscheidung folgt auf zwei Beschwerden von Kunden, die ihr Auskunftsrecht ausgeübt hatten. In einem Fall hatte die Bank nicht innerhalb der gesetzlichen Frist geantwortet, im anderen Fall hatte sie sich auf ein allgemeines Schreiben beschränkt, in dem sie die Kategorien der verarbeiteten Daten auflistete und für den Rest auf ihre Datenschutzerklärung verwies.

Der PFPDT war der Ansicht, dass ausreichende Anhaltspunkte vorlagen, die darauf hindeuteten, dass die Bank bei der Bearbeitung von Auskunftsersuchen gegen die Datenschutzvorschriften verstieß, was die Einleitung einer Untersuchung rechtfertigte. Die Untersuchung ergab, dass von dreizehn Auskunftsgesuchen, die zwischen Dezember 2023 und August 2024 an die Bank gerichtet wurden, neun nicht fristgerecht bearbeitet und alle mit Standardantworten beantwortet worden waren.

In seiner Entscheidung zum Abschluss des Verfahrens ordnete der EDSB die vollständige Herausgabe der Daten an, drohte mit der in Art. 63 DSG vorgesehenen Strafe, erteilte der Bank eine Verwarnung und legte ihr eine Gebühr auf.

Hinsichtlich des Inhalts der Antwort auf ein Auskunftsgesuch sind zwei sich ergänzende Ziele von Art. 25 DSG zu berücksichtigen : (i) Gewährleistung der Transparenz und (ii) wirksame Ausübung anderer Rechte, insbesondere des Rechts auf Berichtigung. Da eine standardisierte Antwort auf ein Auskunftsgesuch dieses Recht aushöhlt, reicht die bloße Mitteilung abstrakter Datenkategorien oder der Verweis auf eine Datenschutzerklärung nicht aus.

Im vorliegenden Fall hätte die Bank die konkreten Daten des Kunden, einschliesslich derjenigen, die zur Verweigerung der Kreditkarte geführt haben, bereitstellen müssen, damit der Betroffene deren Richtigkeit überprüfen und gegebenenfalls deren Berichtigung verlangen kann.

Art. 25 Abs. 2 lit. b VDSG verpflichtet den für die Datenbearbeitung Verantwortlichen, die als solche bearbeiteten Personendaten mitzuteilen. Dazu gehören die Identifikationsdaten und alle damit verbundenen Informationen, einschliesslich derjenigen, die aus Analysen oder internen Tools stammen. Die Ausnahmen nach Art. 26 VDSG sind eng gefasst und müssen schriftlich geltend gemacht und begründet werden.

Diese Verpflichtung ist im Bankensektor von besonderer Bedeutung, wo die Institute grosse Datenmengen verarbeiten und komplexe Systeme einsetzen. Die Lehre räumt ein, dass der für die Datenbearbeitung Verantwortliche bei sehr umfangreichen Anfragen die betroffene Person auffordern kann, diese zu präzisieren. Dies kann jedoch keine individuelle Antwort ersetzen. Der Verantwortliche behält zudem die Möglichkeit, den Zugang zu bestimmten Daten unter Angabe eines berechtigten Grundes zu beschränken oder zu verweigern, beispielsweise durch Schwärzung sensibler oder personenbezogener Daten Dritter gemäss Art. 26 DSG.

Für die Bearbeitungsfrist eines Auskunftsgesuchs legen Art. 25 Abs. 7 DSG und 18 Abs. 1 VDSG eine Frist von 30 Tagen fest. Trotz der Formulierung « in der Regel » (en règle générale) in der französischen und deutschen Fassung des Gesetzes betrachtet der EDÖB diese Frist als zwingend. Eine Verlängerung ist nur möglich, wenn die betroffene Person darüber informiert wird und die Entscheidung gemäss Art. 18 Abs. 2 VDSG begründet wird.

Das von der Bank zur Rechtfertigung ihrer Verzögerungen angeführte Argument des Personalmangels überzeugte den EDÖB nicht : Das Institut hätte von der in Art. 18 Abs. 2 VDSG vorgesehenen Verlängerungsmöglichkeit Gebrauch machen können, tat dies jedoch nicht. Erhält die betroffene Person innerhalb von 30 Tagen keine Antwort, kann sie ihr Recht auf Auskunft vor Gericht geltend machen.

Der EDÖB stellte fest, dass die Bank mehrfach gegen das DSG verstossen hatte, indem sie Art. 25 Abs. 2 Bst. b und Abs. 7 verletzt hatte. Gestützt auf Art. 51 Abs. 3 Bst. g DSG wies er sie unter Androhung der in Art. 63 DSG vorgesehenen Strafe an, den Auskunftsbegehren gesetzesgemäss nachzukommen. Die vorsätzliche Nichtbefolgung dieser Anordnung kann mit einer Busse von bis zu CHF 250’000 bestraft werden.

Da die Bank im Laufe der Untersuchung die erforderlichen Massnahmen zur Wiederherstellung einer DSG-konformen Situation getroffen hatte, beschränkte sich der EDÖB auf eine Verwarnung (Art. 51 Abs. 5 DSG). Er hat dem Institut zudem eine Gebühr von CHF 5’829.40 auferlegt, die dem für das Verfahren aufgewendeten Zeitaufwand entspricht (Art. 59 Abs. 1 Bst. d VDSG in Verbindung mit Art. 44 VDSV).

Da weder die materielle Entscheidung noch die Entscheidung über die Veröffentlichung angefochten wurden, sind sie nach Ablauf der 30-tägigen Beschwerdefrist rechtskräftig geworden.

Die Botschaft des EDÖB ist klar : Die 30-Tage-Frist muss eingehalten werden, und die Antwort darf nicht auf ein Standardmuster reduziert werden. Auch wenn die gegen diese Bank verhängte Verwaltungsmassnahme sich auf eine Verwarnung beschränkt, hat sie doch eine starke symbolische Wirkung. Der EDÖB zeigt damit seine Bereitschaft, gegen systematische Verstösse gegen das DSG vorzugehen. Verantwortliche für die Datenverarbeitung, die sich nur zögerlich an die Vorschriften halten, setzen sich nicht nur einem rechtlichen Risiko aus, sondern vor allem einem Reputationsrisiko, da Transparenz bei der Datenverarbeitung mittlerweile ein wesentliches Merkmal für Zuverlässigkeit ist.