Glossar

Auf­trags­bear­beit­er: Pri­vate Per­son, juris­tis­che Per­son, Per­so­n­en­vere­ini­gung oder Bun­des­or­gan, die oder das im Auf­trag des Ver­ant­wortlichen (siehe Glos­sar) Per­so­n­en­dat­en bear­beit­et. Unter der DSGVO ist vom “Auf­tragsver­ar­beit­er” die Rede, was das­selbe meint.

BCR: “Bind­ing Cor­po­rate Rules” oder “verbindliche Unternehmen­sregelun­gen”, dienen als Basis für die Über­mit­tlung per­so­n­en­be­zo­gen­er Dat­en in Drittstaat­en, auch inner­halb des gle­ichen Konz­erns. Nor­maler­weise ist das ein Ver­trag zwis­chen den ver­schiede­nen Unternehmen­sein­heit­en, in welchem sich diese zur Ein­hal­tung ein­heitlich­er Daten­schutzregeln verpflicht­en. Die Vere­in­barung von BCR unter­schei­det sich von der konz­ern­in­ter­nen Vere­in­barung der EU-Musterk­lauseln typ­is­cher­weise dadurch, dass BCR konz­ern­spez­i­fisch angepasst wer­den kön­nen, während die Musterk­lauseln unverän­dert über­nom­men wer­den müssen. Die Regelun­gen sind aber oft ähn­lich. BCR müssen vor dem Ein­satz behördlich genehmigt wer­den.

Beson­dere Kat­e­gorien von Per­so­n­en­dat­en nach DSGVO: Als beson­dere Kat­e­gorien von per­so­n­en­be­zo­ge­nen Dat­en gel­ten → per­so­n­en­be­zo­gene Dat­en, aus denen die ras­sis­che und ethis­che Herkun­ft, poli­tis­che Mei­n­un­gen, religiöse oder weltan­schauliche Überzeu­gun­gen oder die Gew­erkschaft­szuge­hörigkeit her­vorge­hen, sowie genetis­che (Personen‑)Daten, bio­metrische Dat­en zur ein­deuti­gen Iden­ti­fizierung ein­er natür­lichen Per­son, Gesund­heits­dat­en oder Per­so­n­en­dat­en zum Sex­u­alleben oder der sex­uellen Ori­en­tierung ‚. Die beson­deren Kat­e­gorien von Per­so­n­en­dat­en nach DSGVO entsprechen unge­fähr den “beson­ders schützenswerten Per­so­n­en­dat­en” im DSG. Vgl. auch → Strafrechtliche Verurteilun­gen und Straftat­en oder damit zusam­men­hän­gende Sicherungs­mass­regeln.

Beson­ders schützenswerte Per­so­n­en­dat­en (nach DSG): Unter­art der → Per­so­n­en­dat­en im DSG und Schweiz­er Vari­ante der “beson­deren Kat­e­gorien” von Per­so­n­en­dat­en unter der DSGVO. Es sind dies Per­so­n­en­dat­en über die religiösen, weltan­schaulichen, poli­tis­chen oder gew­erkschaftlichen Ansicht­en oder Tätigkeit­en, die Gesund­heit, die Intim­sphäre oder die Rassen­zuge­hörigkeit, Mass­nah­men der sozialen Hil­fe (u.a. Sozial­hil­fe, Für­sorge, Kindes- und Erwach­se­nen­schutz­mass­nah­men), admin­is­tra­tive oder strafrechtliche Ver­fol­gun­gen oder Sank­tio­nen.

Gesetz im formellen Sinn (DSG): Bun­des­ge­setz oder für die Schweiz verbindliche Beschlüsse inter­na­tionaler Organ­i­sa­tio­nen und von der Bun­desver­samm­lung genehmigte völk­er­rechtliche Verträge mit recht­set­zen­dem Inhalt.

Medi­en­priv­i­leg (DSG): Soweit Per­so­n­en­dat­en auss­chliesslich zur Veröf­fentlichung im redak­tionellen Teil eines peri­odisch erscheinen­den Medi­ums bear­beit­et, kann der Ver­ant­wortliche unter dem DSG aus einem der fol­gen­den Gründe die Auskun­ft ver­weigern, ein­schränken oder auf­schieben:

  • Die Dat­en geben Auf­schluss über die Infor­ma­tion­squellen
  • Durch die Auskun­ft würde Ein­sicht in Entwürfe für Pub­lika­tio­nen gewährt
  • Die Veröf­fentlichung würde die freie Mei­n­ungs­bil­dung des Pub­likums gefährden

Medi­en­schaf­fende kön­nen die Auskun­ft zudem ver­weigern, ein­schränken oder auf­schieben, wenn ihnen die Per­so­n­en­dat­en auss­chliesslich als per­sön­liche Arbeitsin­stru­mente dienen.

Per­so­n­en­be­zo­gene Dat­en (DSGVO): Per­so­n­en­be­zo­gene Dat­en sind alle Infor­ma­tio­nen, die sich auf eine iden­ti­fizierte oder iden­ti­fizier­bare natür­liche Per­son beziehen, wie Stan­dor­tangaben, Namen, Infor­ma­tio­nen zu psy­chis­chen, physis­chen, kul­turellen, wirtschaftlichen oder sozialen Eigen­schaften ein­er natür­lichen Per­son. Im DSG ist von “Per­so­n­en­dat­en” die Rede. Im vor­liegen­den Kon­text wird der Begriff syn­onym gebraucht und es wird nur “Per­so­n­en­dat­en” ver­wen­det, auch im Bere­ich der DSGVO. Für die vor­liegen­den Zwecke empfehlen wir, auch IP-Adressen und dauer­hafte Cook­ies im Bere­ich der DSGVO als Per­so­n­en­dat­en zu betra­cht­en, auch wenn sie es in vie­len Fällen streng genom­men nicht sind.

Per­so­n­en­dat­en (DSG): Alle Angaben, die sich auf ein­er bes­timmten oder bes­timm­baren Per­son beziehen, d.h. jede Art von Infor­ma­tion, unab­hängig von der Herkun­ft, Form  oder Darstel­lung. Beispiele sind Namen, als Namenser­satz dienende Angaben, äusser­liche kör­per­liche Merk­male, innere geistige Zustände, Hand­lun­gen, Äusserun­gen, Verbindun­gen und Beziehun­gen usw. Die Per­son muss wenig­stens bes­timm­bar sein. Sind die Dat­en anonymisiert, indem der Per­so­n­en­bezug irre­versibel so aufge­hoben wird, dass ohne unver­hält­nis­mäs­si­gen Aufwand keine Rückschlüsse auf Per­so­n­en mehr möglich sind, ist die Per­son nicht (mehr) bes­timm­bar. Kann eine Per­son jedoch indi­rekt, mit Hil­fe von weit­eren, ver­füg­baren Daten­quelle (z.B. Inter­net, eigene Daten­banken) iden­ti­fiziert wer­den, ist die Per­son bes­timm­bar und es liegen min­destens aus Sicht der Per­son, die über diese weit­eren Daten­quellen ver­fügt, Per­so­n­en­dat­en vor.

Pro­fil­ing (DSG): Die Bew­er­tung bes­timmter Merk­male ein­er Per­son auf der Grund­lage von automa­tisiert bear­beit­eten Per­so­n­en­dat­en, ins­beson­dere um die Arbeit­sleis­tung, die wirtschaftlichen Ver­hält­nisse, die Gesund­heit, das Ver­hal­ten, die Vor­lieben, den Aufen­thalt­sort oder die Mobil­ität zu analysieren oder vorherzusagen.

Erfasst sind dabei laut der Botschaft des Bun­desrats nur automa­tisierte Vorgänge, also nicht diejenige, die auch zum Teil einen rel­e­van­ten “men­schlichen” Entschei­dungsvor­gang miten­thal­ten.

Entste­hen durch die Bear­beitung anonyme Dat­en, ist das Pro­fil­ing nicht daten­schutzrel­e­vant.

Pro­fil­ing (DSGVO): Jed­er Art der automa­tisierten Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en, die darin beste­ht, dass diese per­so­n­en­be­zo­ge­nen Dat­en ver­wen­det wer­den, um bes­timmte per­sön­liche Aspek­te, die sich auf eine Natür­liche Per­son beziehen, zu bew­erten, ins­beson­dere um Aspek­te bezüglich Arbeit­sleis­tung, wirtschaftliche Lage, Gesund­heit, per­sön­liche Vor­lieben, Inter­essen, Zuver­läs­sigkeit, Ver­hal­ten, Aufen­thalt­sort oder Ortswech­sel dieser natür­lichen Per­son zu analysieren oder vorherzusagen.

Es wer­den auch nur teil­weise automa­tisierte Vorgänge erfasst. Entschei­dend ist, ob aus dem Daten­bild ein­er Per­son eine Schlussfol­gerung mit Bezug auf per­sön­liche Aspek­te dieser Per­son gezo­gen wird.

Entste­hen durch die Bear­beitung anonyme Dat­en, ist das Pro­fil­ing nicht daten­schutzrel­e­vant.

Sichere Drittstaat­en: Dies sind aus Sicht der EU bzw. der Schweiz jene Staat­en, die über ein angemessenes, geset­zlich­es Daten­schutzniveau ver­fü­gen und daher keine beson­deren Vorkehrun­gen nötig sind, wenn Dat­en in diese Län­der bekan­nt­gegeben wer­den. Die Schweiz fol­gt im Wesentlichen der Beurteilung der EU, welche Drittstaat­en als sich­er gel­ten. Dies sind derzeit (März 2018) Andor­ra, Argen­tinien, Kana­da (kom­merzielle Unternehmen), Faroer, Guernsey, Israel, Isle of Man, Jer­sey, Neusee­land, Uruguay und ­­– soweit das betr­e­f­fende Empfänger-Unternehmen für die betr­e­f­fend­en Per­so­n­en­dat­en aus der EU bzw. der Schweiz “Pri­va­cy Shield”-zertifiziert ist ­– die USA. Auch die Schweiz gilt aus der Sicht der EU als sicheres Drit­t­land. Den EU-Staat­en gle­ichgestellt und somit eben­falls sich­er sind die Staat­en des EWR (Liecht­en­stein, Nor­we­gen, Island). Gespräche der Europäis­chen Kom­mis­sion laufen derzeit mit Japan und Süd­ko­rea. Kein sicher­er Drittstaat ist Aus­tralien (hier beste­ht nur ein Abkom­men betr. Flug­gast­dat­en). Aktuelle Liste:  https: //goo.gl/YvLDUp.

Strafrechtliche Verurteilun­gen und Straftat­en oder damit zusam­men­hän­gende Sicherungs­mass­regeln (DSGVO): Per­so­n­en­dat­en über bere­its abgeschlossene Strafver­fahren und Urteile sowie über Straftat­en, die (noch) nicht gerichtlich beurteilt wur­den, in welchen jedoch einen konkreten begrün­de­ten Ver­dacht gegen eine bes­timmte Per­son vor­liegt, sowie Sicherungs­mass­regeln, die mit den Straftat­en zusam­men­hän­gen, wie ein ver­hängtes Berufsver­bot. Solche Dat­en dür­fen nur sehr eingeschränkt ver­ar­beit­et wer­den.

Über­wiegende Inter­essen Drit­ter (DSG): Ver­langt eine Per­son Auskun­ft über die von ihr bear­beit­eten Dat­en, kann dies das Inter­esse auch ander­er Per­so­n­en tang­ieren, z.B. wenn diese darin eben­falls vorkom­men (weil beispiel­sweise ein Vor­fall mehrere Per­so­n­en bet­rifft oder Aus­sagen auch Auskun­ft über Drit­ten geben.). Über­wiegen die Inter­essen der Drit­ten an der Nicht­nen­nung die Inter­essen des Auskun­ftssuchen­den über­wiegen, kann die Auskun­ft eingeschränkt oder ver­weigert wer­den. Das Inter­esse der Drit­ten über­wiegt dann, wenn das Inter­esse legit­im ist und zumin­d­est eine gewisse Erhe­blichkeit der Beein­träch­ti­gung der Posi­tion des bzw. der Drit­ten ver­mutet wer­den kann.

Über­wiegen­des eigenes Inter­esse (DSG): Eine Daten­bear­beitung, die per­sön­lichkeitsver­let­zend ist, kann gerecht­fer­tigt sein, wenn die eige­nen Inter­essen der bear­bei­t­en­den Per­son an der Daten­bear­beitung die Inter­essen der betrof­fe­nen Per­son, dass ihre Dat­en nicht bear­beit­et wer­den,  über­wiegen.

Ein über­wiegen­des eigenes Inter­esse des Daten­bear­beit­ers kommt gemäss DSG ins­beson­dere für die fol­gen­den Fälle in Betra­cht:

  • Die Daten­bear­beitung erfol­gt im Zusam­men­hang mit dem Abschluss oder der Abwick­lung eines Ver­trags mit der betrof­fe­nen Per­son.
  • Der Daten­bear­beit­er ste­ht der betrof­fe­nen Per­son in wirtschaftlichem Wet­tbe­werb oder wird in wirtschaftlichen Wet­tbe­werb treten und bear­beit­et zu diesem Zweck Per­so­n­en­dat­en, die Drit­ten nicht bekan­nt­gegeben wer­den.
  • Der Daten­bear­beit­er bear­beit­et Per­so­n­en­dat­en zur Prü­fung der Kred­itwürdigkeit der betrof­fe­nen Per­son, wobei die fol­gen­den Voraus­set­zun­gen erfüllt sind:
    • Es han­delt sich wed­er um beson­ders schützenswerte Per­so­n­en­dat­en noch um ein Pro­fil­ing.
    • Die Dat­en wer­den Drit­ten nur bekan­nt­gegeben, wenn diese die Dat­en für den Abschluss oder die Abwick­lung eines Ver­trags mit der betrof­fe­nen Per­son benöti­gen.
    • Die Dat­en sind nicht älter als fünf Jahre.
    • Die betrof­fene Per­son ist volljährig.
  • Der Daten­bear­beit­er bear­beit­et die Per­so­n­en­dat­en beru­flich und auss­chliesslich zur Veröf­fentlichung im redak­tionellen Teil eines peri­odisch erscheinen­den Medi­ums.
  • Der Daten­bear­beit­er bear­beit­et die Per­so­n­en­dat­en zu nicht per­so­n­en­be­zo­ge­nen Zweck­en ins­beson­dere in der Forschung, Pla­nung oder Sta­tis­tik, wobei die fol­gen­den Voraus­set­zun­gen erfüllt sind:
    • Die Dat­en wer­den anonymisiert, sobald der Bear­beitungszweck es erlaubt.
    • Beson­ders schützenswerte Per­so­n­en­dat­en wer­den Drit­ten so bekan­nt­gegeben, dass die betrof­fe­nen Per­so­n­en nicht bes­timm­bar sind.
    • Die Ergeb­nisse wer­den so veröf­fentlicht, dass die betrof­fe­nen Per­so­n­en nicht bes­timm­bar sind.
  • Der Daten­bear­beit­er sam­melt Per­so­n­en­dat­en über eine Per­son des öffentlichen Lebens, die sich auf das Wirken dieser Per­son in der Öffentlichkeit beziehen.

Die Aufzäh­lung ist nicht abschliessend. Es sind weit­ere Fälle von über­wiegen­den eige­nen Inter­essen denkbar. Eine detail­lierte Beurteilung erfol­gt im Rah­men von For­mu­lar E.4.

Eben­so kann für die Ver­weigerung ein­er Auskun­ft über die Daten­bear­beitung ein über­wiegen­des eigenes Inter­esse des Daten­bear­beit­ers eine Rolle spie­len. Die Inter­essen des pri­vat­en Inhab­ers der Daten­samm­lung müssen die Inter­essen des Gesuch­stellers über­wiegen, was im Rah­men ein­er Abwä­gung der Inter­essen im Einzelfall beurteilt wird. Typ­is­che eigene Inter­essen im Zusam­men­hang mit dem Auskun­ft­srecht sind zum Beispiel der Schutz von Geschäfts­ge­heimnis­sen oder wo die Auskun­ft einen hohen finanziellen Aufwand mit sich brin­gen würde. Die Beru­fung auf ein über­wiegen­des eigenes Inter­esse im Rah­men des Auskun­ft­srechts ist nur ges­tat­tet, wenn die Dat­en nicht an Dritte bekan­nt­gegeben wer­den.

Ver­ant­wortlich­er: Pri­vate Per­son, juris­tis­che Per­son, Per­so­n­en­vere­ini­gung oder Bun­des­or­gan, die oder das allein oder zusam­men mit anderen über den Zweck und die Mit­tel der Bear­beitung entschei­det. Sie ist qua­si der “Herr der Dat­en”. Wenn ein Unternehmen eine Dien­stleis­tung anbi­etet und hier­für die Adress­dat­en sein­er Kun­den bear­beit­et, um diese mit der Dien­stleis­tung ver­sor­gen zu kön­nen, tritt das Unternehmen als Ver­ant­wortlich­er auf. Das tut es eben­falls, wenn es die Per­son­al­dat­en sein­er Mitar­beit­er bear­beit­et. Betreibt ein Unternehmen hinge­gen die IT für ein anderes Unternehmen, ist es in aller Regel nicht ein Ver­ant­wortlich­er, son­dern das Gegen­stück dazu, näm­lich ein Auf­trags­bear­beit­er.