Auftragsbearbeiter: Private Person, juristische Person, Personenvereinigung oder Bundesorgan, die oder das im Auftrag des Verantwortlichen (siehe Glossar) Personendaten bearbeitet. Unter der DSGVO ist vom “Auftragsverarbeiter” die Rede, was dasselbe meint.
BCR: “Binding Corporate Rules” oder “verbindliche Unternehmensregelungen”, dienen als Basis für die Übermittlung personenbezogener Daten in Drittstaaten, auch innerhalb des gleichen Konzerns. Normalerweise ist das ein Vertrag zwischen den verschiedenen Unternehmenseinheiten, in welchem sich diese zur Einhaltung einheitlicher Datenschutzregeln verpflichten. Die Vereinbarung von BCR unterscheidet sich von der konzerninternen Vereinbarung der EU-Musterklauseln typischerweise dadurch, dass BCR konzernspezifisch angepasst werden können, während die Musterklauseln unverändert übernommen werden müssen. Die Regelungen sind aber oft ähnlich. BCR müssen vor dem Einsatz behördlich genehmigt werden.
Besondere Kategorien von Personendaten nach DSGVO: Als besondere Kategorien von personenbezogenen Daten gelten → personenbezogene Daten, aus denen die rassische und ethische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische (Personen‑)Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Personendaten zum Sexualleben oder der sexuellen Orientierung ‚. Die besonderen Kategorien von Personendaten nach DSGVO entsprechen ungefähr den “besonders schützenswerten Personendaten” im DSG. Vgl. auch → Strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmassregeln.
Besonders schützenswerte Personendaten (nach DSG): Unterart der → Personendaten im DSG und Schweizer Variante der “besonderen Kategorien” von Personendaten unter der DSGVO. Es sind dies Personendaten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe (u.a. Sozialhilfe, Fürsorge, Kindes- und Erwachsenenschutzmassnahmen), administrative oder strafrechtliche Verfolgungen oder Sanktionen.
Gesetz im formellen Sinn (DSG): Bundesgesetz oder für die Schweiz verbindliche Beschlüsse internationaler Organisationen und von der Bundesversammlung genehmigte völkerrechtliche Verträge mit rechtsetzendem Inhalt.
Medienprivileg (DSG): Soweit Personendaten ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet, kann der Verantwortliche unter dem DSG aus einem der folgenden Gründe die Auskunft verweigern, einschränken oder aufschieben:
- Die Daten geben Aufschluss über die Informationsquellen
- Durch die Auskunft würde Einsicht in Entwürfe für Publikationen gewährt
- Die Veröffentlichung würde die freie Meinungsbildung des Publikums gefährden
Medienschaffende können die Auskunft zudem verweigern, einschränken oder aufschieben, wenn ihnen die Personendaten ausschliesslich als persönliche Arbeitsinstrumente dienen.
Personenbezogene Daten (DSGVO): Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie Standortangaben, Namen, Informationen zu psychischen, physischen, kulturellen, wirtschaftlichen oder sozialen Eigenschaften einer natürlichen Person. Im DSG ist von “Personendaten” die Rede. Im vorliegenden Kontext wird der Begriff synonym gebraucht und es wird nur “Personendaten” verwendet, auch im Bereich der DSGVO. Für die vorliegenden Zwecke empfehlen wir, auch IP-Adressen und dauerhafte Cookies im Bereich der DSGVO als Personendaten zu betrachten, auch wenn sie es in vielen Fällen streng genommen nicht sind.
Personendaten (DSG): Alle Angaben, die sich auf einer bestimmten oder bestimmbaren Person beziehen, d.h. jede Art von Information, unabhängig von der Herkunft, Form oder Darstellung. Beispiele sind Namen, als Namensersatz dienende Angaben, äusserliche körperliche Merkmale, innere geistige Zustände, Handlungen, Äusserungen, Verbindungen und Beziehungen usw. Die Person muss wenigstens bestimmbar sein. Sind die Daten anonymisiert, indem der Personenbezug irreversibel so aufgehoben wird, dass ohne unverhältnismässigen Aufwand keine Rückschlüsse auf Personen mehr möglich sind, ist die Person nicht (mehr) bestimmbar. Kann eine Person jedoch indirekt, mit Hilfe von weiteren, verfügbaren Datenquelle (z.B. Internet, eigene Datenbanken) identifiziert werden, ist die Person bestimmbar und es liegen mindestens aus Sicht der Person, die über diese weiteren Datenquellen verfügt, Personendaten vor.
Profiling (DSG): Die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen.
Erfasst sind dabei laut der Botschaft des Bundesrats nur automatisierte Vorgänge, also nicht diejenige, die auch zum Teil einen relevanten “menschlichen” Entscheidungsvorgang mitenthalten.
Entstehen durch die Bearbeitung anonyme Daten, ist das Profiling nicht datenschutzrelevant.
Profiling (DSGVO): Jeder Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine Natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Es werden auch nur teilweise automatisierte Vorgänge erfasst. Entscheidend ist, ob aus dem Datenbild einer Person eine Schlussfolgerung mit Bezug auf persönliche Aspekte dieser Person gezogen wird.
Entstehen durch die Bearbeitung anonyme Daten, ist das Profiling nicht datenschutzrelevant.
Sichere Drittstaaten: Dies sind aus Sicht der EU bzw. der Schweiz jene Staaten, die über ein angemessenes, gesetzliches Datenschutzniveau verfügen und daher keine besonderen Vorkehrungen nötig sind, wenn Daten in diese Länder bekanntgegeben werden. Die Schweiz folgt im Wesentlichen der Beurteilung der EU, welche Drittstaaten als sicher gelten. Dies sind derzeit (März 2018) Andorra, Argentinien, Kanada (kommerzielle Unternehmen), Faroer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Uruguay und – soweit das betreffende Empfänger-Unternehmen für die betreffenden Personendaten aus der EU bzw. der Schweiz “Privacy Shield”-zertifiziert ist – die USA. Auch die Schweiz gilt aus der Sicht der EU als sicheres Drittland. Den EU-Staaten gleichgestellt und somit ebenfalls sicher sind die Staaten des EWR (Liechtenstein, Norwegen, Island). Gespräche der Europäischen Kommission laufen derzeit mit Japan und Südkorea. Kein sicherer Drittstaat ist Australien (hier besteht nur ein Abkommen betr. Fluggastdaten). Aktuelle Liste: https: //goo.gl/YvLDUp.
Strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmassregeln (DSGVO): Personendaten über bereits abgeschlossene Strafverfahren und Urteile sowie über Straftaten, die (noch) nicht gerichtlich beurteilt wurden, in welchen jedoch einen konkreten begründeten Verdacht gegen eine bestimmte Person vorliegt, sowie Sicherungsmassregeln, die mit den Straftaten zusammenhängen, wie ein verhängtes Berufsverbot. Solche Daten dürfen nur sehr eingeschränkt verarbeitet werden.
Überwiegende Interessen Dritter (DSG): Verlangt eine Person Auskunft über die von ihr bearbeiteten Daten, kann dies das Interesse auch anderer Personen tangieren, z.B. wenn diese darin ebenfalls vorkommen (weil beispielsweise ein Vorfall mehrere Personen betrifft oder Aussagen auch Auskunft über Dritten geben.). Überwiegen die Interessen der Dritten an der Nichtnennung die Interessen des Auskunftssuchenden überwiegen, kann die Auskunft eingeschränkt oder verweigert werden. Das Interesse der Dritten überwiegt dann, wenn das Interesse legitim ist und zumindest eine gewisse Erheblichkeit der Beeinträchtigung der Position des bzw. der Dritten vermutet werden kann.
Überwiegendes eigenes Interesse (DSG): Eine Datenbearbeitung, die persönlichkeitsverletzend ist, kann gerechtfertigt sein, wenn die eigenen Interessen der bearbeitenden Person an der Datenbearbeitung die Interessen der betroffenen Person, dass ihre Daten nicht bearbeitet werden, überwiegen.
Ein überwiegendes eigenes Interesse des Datenbearbeiters kommt gemäss DSG insbesondere für die folgenden Fälle in Betracht:
- Die Datenbearbeitung erfolgt im Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags mit der betroffenen Person.
- Der Datenbearbeiter steht der betroffenen Person in wirtschaftlichem Wettbewerb oder wird in wirtschaftlichen Wettbewerb treten und bearbeitet zu diesem Zweck Personendaten, die Dritten nicht bekanntgegeben werden.
- Der Datenbearbeiter bearbeitet Personendaten zur Prüfung der Kreditwürdigkeit der betroffenen Person, wobei die folgenden Voraussetzungen erfüllt sind:
- Es handelt sich weder um besonders schützenswerte Personendaten noch um ein Profiling.
- Die Daten werden Dritten nur bekanntgegeben, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen.
- Die Daten sind nicht älter als fünf Jahre.
- Die betroffene Person ist volljährig.
- Der Datenbearbeiter bearbeitet die Personendaten beruflich und ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums.
- Der Datenbearbeiter bearbeitet die Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung oder Statistik, wobei die folgenden Voraussetzungen erfüllt sind:
- Die Daten werden anonymisiert, sobald der Bearbeitungszweck es erlaubt.
- Besonders schützenswerte Personendaten werden Dritten so bekanntgegeben, dass die betroffenen Personen nicht bestimmbar sind.
- Die Ergebnisse werden so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind.
- Der Datenbearbeiter sammelt Personendaten über eine Person des öffentlichen Lebens, die sich auf das Wirken dieser Person in der Öffentlichkeit beziehen.
Die Aufzählung ist nicht abschliessend. Es sind weitere Fälle von überwiegenden eigenen Interessen denkbar. Eine detaillierte Beurteilung erfolgt im Rahmen von Formular E.4.
Ebenso kann für die Verweigerung einer Auskunft über die Datenbearbeitung ein überwiegendes eigenes Interesse des Datenbearbeiters eine Rolle spielen. Die Interessen des privaten Inhabers der Datensammlung müssen die Interessen des Gesuchstellers überwiegen, was im Rahmen einer Abwägung der Interessen im Einzelfall beurteilt wird. Typische eigene Interessen im Zusammenhang mit dem Auskunftsrecht sind zum Beispiel der Schutz von Geschäftsgeheimnissen oder wo die Auskunft einen hohen finanziellen Aufwand mit sich bringen würde. Die Berufung auf ein überwiegendes eigenes Interesse im Rahmen des Auskunftsrechts ist nur gestattet, wenn die Daten nicht an Dritte bekanntgegeben werden.
Verantwortlicher: Private Person, juristische Person, Personenvereinigung oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet. Sie ist quasi der “Herr der Daten”. Wenn ein Unternehmen eine Dienstleistung anbietet und hierfür die Adressdaten seiner Kunden bearbeitet, um diese mit der Dienstleistung versorgen zu können, tritt das Unternehmen als Verantwortlicher auf. Das tut es ebenfalls, wenn es die Personaldaten seiner Mitarbeiter bearbeitet. Betreibt ein Unternehmen hingegen die IT für ein anderes Unternehmen, ist es in aller Regel nicht ein Verantwortlicher, sondern das Gegenstück dazu, nämlich ein Auftragsbearbeiter.