Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) verwarnt eine Bank in der Schweiz, weil sie betroffenen Personen unvollständig und verspätet Auskunft erteilte.
In seiner rechtskräftigen Verfügung vom 29. Januar 2025 trifft der EDÖB folgende Feststellung:
«Die [Bank] hat das DSG durch Missachtung von Art. 25 Abs. 2 Bst. b. und Abs. 7 in der Zeit vom 1. Dezember 2023 bis am 31. August 2024 mehrfach verletzt.»
Der EDÖB unter der Führung von Dr. Adrian Lobsiger ist die schweizerische Datenschutz-Aufsichtsbehörde für Bundesorgane und private Personen.
Rechtslage: Auskunft innerhalb von 30 Tagen und mit «bearbeiteten Personendaten als solche»
Der erwähnte Art. 25 des Bundesgesetzes über den Datenschutz (Datenschutzgesetz, DSG) regelt das Auskunftsrecht der betroffenen Personen.
Art. 25 Abs. 2 lit. b DSG sieht vor, dass betroffenen Personen unter anderem Auskunft über die «bearbeiteten Personendaten als solche» erteilt werden muss.
Die Bank hatte Auskunftsbegehren ausschliesslich mit einem standardisierten Text beantwortet, ohne Auskunft über die von ihr bearbeiteten Personendaten im jeweiligen Einzelfall zu erteilen.
Art. 25 Abs. 7 DSG sieht vor, dass die Auskunft grundsätzlich innerhalb von 30 Tagen erteilt wird.
Gemäss Art. 18 Abs. 1 der Verordnung über den Datenschutz (Datenschutzverordnung, DSV) muss die Auskunft innerhalb von 30 Tagen seit dem Eingang des Auskunftsbegehrens erteilt werden, sofern die Frist nicht während der laufenden Frist verlängert wird (Art. 18 Abs. 2 DSV).
Die Bank hatte mehrere Auskunftsbegehren erst nach Ablauf der – nicht verlängerten – Frist beantwortet.
Die Bank argumentierte mit einem «akuten Personalmangel im Bereich des Datenschutzes». Der EDÖB lässt dieses Argument mit Verweis auf die mögliche Fristverlängerung nicht gelten.
Der EDÖB belässt es mit Verweis auf Art. 51 Abs. 5 DSG bei einer Verwarnung, da die Bank die Bearbeitung der Personendaten während der Untersuchung durch den EDÖB bereits angepasst hatte.
Art. 51 Abs. 5 DSG lautet für private Verantwortliche wie folgt:
«Hat […] die private Person während der Untersuchung die erforderlichen Massnahmen getroffen, um die Einhaltung der Datenschutzvorschriften wiederherzustellen, so kann der EDÖB sich darauf beschränken, eine Verwarnung auszusprechen.»
Die Bank hatte ausdrücklich beantragt, «angesichts des Sachverhalts sei lediglich eine Verwarnung auszusprechen […].»
EDÖB: Verfügung vom 29. Januar 2025 mit Strafandrohung
Das Dispositiv der Verfügung des EDÖB lautet in den relevanten Punkten wie folgt:
- «Die [Bank] wird aufgefordert, allen Personen, die bisher auf ihr Auskunftsbegehren lediglich eine Standardantwort erhalten haben, gestützt auf Art. 51 Abs. 3 lit. g i. V.m. Art. 25 Abs. 2 lit. b DSG mitzuteilen, welche Personendaten über sie bearbeitet werden.
- Die [Bank] wird auf die Strafbestimmung von Art. 63 DSG hingewiesen.
- Der [Bank] wird eine Gebühr in der Höhe von insgesamt CHF 5’829.40 auferlegt.»
Die Verfahrenskosten von CHF 5’829.40 ergeben sich aus 33 Stunden plus Auslagen beim EDÖB. Die Bank muss darüber hinaus die Kosten ihrer anwaltlichen Vertretung bezahlen.
Für das Nachholen der individuellen und vollständigen Auskunft setzt der EDÖB der Bank keine Frist. Es handelt sich ohnehin nicht um eine Pflicht zur Auskunftserteilung, sondern lediglich um eine Aufforderung.
Bei dieser Wortwahl («wird aufgefordert») ist unklar, ob die Strafbestimmung gemäss Art. 63 überhaupt greifen könnte.
Die Strafbestimmung von Art. 63 DSG betrifft das «Missachten von Verfügungen» und lautet wie folgt:
«Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die einer Verfügung des EDÖB oder einem Entscheid der Rechtsmittelinstanzen, die oder der unter Hinweis auf die Strafdrohung dieses Artikels ergangen ist, vorsätzlich nicht Folge leisten.»
Der EDÖB belässt es bei einem allgemeinen Hinweis auf die Strafbestimmung, der auf den Wiederholungsfall zielt:
«Die [Bank] ist angehalten, Art. 25 DSG inskünftig rechtskonform anzuwenden. Für den Fall erneuter Beschwerden behält sich der EDÖB Nachkontrollen vor und weist die [Bank] ausdrücklich auf die Strafbestimmung von Art. 63 DSG hin […].»
Die Strafandrohung richtet sich grundsätzlich gegen einzelne verantwortliche Personen bei der Bank.
Einzelnen verantwortlichen Personen bei der Bank könnte ein Strafverfahren wegen der «Verletzung der Auskunftspflichten» der Strafbestimmung von Art. 60 Abs. 1 lit. a DSG drohen:
«Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft […], die ihre Pflichten nach den Artikeln […] 25 […] verletzen, indem sie vorsätzlich eine […] unvollständige Auskunft erteilen […].»
Die betroffenen Personen müssten Strafantrag stellen. Im entsprechenden Strafverfahren würde ermittelt, wer die einzelnen verantwortlichen Personen bei der Bank sind und ob tatsächlich eine vorsätzliche «Verletzung der Auskunftspflichten» vorliegt.
In der Stadt Zürich, wo die Bank ihren Sitz hat, wäre das Statthalteramt die zuständige Übertretungsstrafbehörde.
Gemäss Medienmitteilung vom 1. Juli 2025 des EDÖB ist die Verfügung rechtskräftig. In dieser Medienmitteilung wird die Bank bereits im Titel namentlich genannt, also an den Pranger gestellt.
Bilder: OpenAI / ChatGPT.
Siehe dazu die naming and shaming Rechtsprechung des Bundesgerichts zur WEKO: http://relevancy.bger.ch/php/aza/http/index.php?lang=de&zoom=&type=show_document&highlight_docid=aza%3A%2F%2F26-05-2016-2C_1065-2014
und Art. 57 Abs. 2 DSG