Auskunft, bitte

Jede Person kann bei datenschutzrechtlich Verantwortlichen eine Auskunft über die Bearbeitung ihrer eigenen Personendaten verlangen. Wie gehen Sie mit solchen Auskunftsgesuchen um?

Text: Benedikt Saner, publiziert am 23.11.2022

Antonia Lopez studiert an einer Schweizer Hochschule. Als Teil einer informierten und datenschutzbewussten Generation möchte sie wissen, was mit ihren eigenen Daten passiert. Sie verfasst ein kurzes Auskunftsgesuch und sendet es an info@schweizerhochschule.ch.

Jede Person hat ein Recht auf Auskunft über ihre gespeicherten Personendaten. Foto: lassedesignen / stock.adobe.com

Ein Versäumnis

Die Anfrage von Antonia Lopez landet in der Inbox von info@schweizerhochschule.ch. Dieses E-Mail-Konto wird vom Sekretariat der Hochschule betreut. Dieses ist unsicher, wie es mit einer solchen Anfrage umgehen soll. Vorsichtshalber leitet das Sekretariat die Anfrage an den internen Rechtsdienst weiter. Aber auch dort herrscht Unklarheit über das weitere Vorgehen. Wegen hoher Arbeitsbelastung wird das Gesuch erst drei Wochen später bearbeitet. Da das Gesetz für die Beantwortung solcher Gesuche eine Frist von 30 Tagen vorsieht, ist nun Eile geboten. Ohne die Identität der Gesuchstellerin zu überprüfen, fragt der Rechtsdienst bei den verschiedenen Abteilungen der Hochschule an, ob Daten über Antonia Lopez bearbeitet würden. Das aggregierte Resultat der Datensuche erhält Antonia ohne weitere Nachprüfung fristgerecht per E-Mail. Der Rechtsdienst bemerkt zu spät, dass an der Hochschule zwei Personen mit demselben Namen studieren und er versehentlich Informationen der «anderen» Antonia herausgegeben hat.

Mit Happy End

Glücklicherweise konnte man die Sache mit den betroffenen Parteien bereinigen, ohne dass ein grösserer (Reputations-)Schaden entstand. Dennoch öffnete der Vorfall der Hochschule die Augen und veranlasste sie dazu, die dringend benötigten Prozesse zu implementieren.

Mit Unterstützung von SWITCHlegal definierte die Hochschule Verantwortlichkeiten und Abläufe, publizierte eine dedizierte E-Mail-Adresse für solche Anfragen an geeigneter Stelle auf ihrer Website und erstellte Vorlagen für Standardantworten. Gleichzeitig implementierte sie technische Massnahmen, um die Daten künftig unkompliziert und nutzerfreundlich als JSON File herausgeben zu können. Um die notwendige bereichsübergreifende Awareness zu schaffen, führte sie einen kleinen Workshop durch. Diese Massnahmen stellen sicher, dass die Hochschule derartige Gesuche, die immer regelmässiger eingehen, künftig in professioneller und gesetzeskonformer Weise beantwortet.

Disclaimer

Es handelt sich um einen fiktiven Fall, der sich so nicht zugetragen hat. Der Name «Antonia Lopez» ist rein zufällig gewählt und bezieht sich auf keine in der Realität existierende Person.

SWITCHlegal entdecken