Glossar zur DSGVO

  • Anonymisierung (Erwägungsgrund 26)

    Erwägungsgrund 26 stellt in Satz 5 klar, dass

    die Grundsätze des Datenschutzes daher nicht für anonyme Informationen gelten sollten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.

    Daraus folgt, dass anonymisierte Daten (im Gegensatz zu pseudonymisierten Daten) nicht in den Anwendungsbereich der DSGVO fallen. Damit dient die Anonymisierung nicht nur dem Schutz der betroffenen Personen, sondern verringert auch die Verpflichtungen der Verantwortlichen.

    Bei der Anonymisierung ist vom Verantwortlichen sicherzustellen, dass keinerlei Rückschlüsse mehr auf die dahinter stehende betroffene Person gezogen werden können. Solange der „Schlüssel“ zur Identifizierung noch irgendwo vorhanden ist, handelt es sich um pseudonymisierte und nicht anonymisierte Daten.

  • Besondere Kategorien personenbezogener Daten („sensible Daten“, Art. 9 Abs. 1 DSGVO)

    Darunter sind personenbezogene Daten zu verstehen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

  • Biometrische Daten (Art. 9 Abs. 1 DSGVO)

    Biometrische Daten sind personenbezogene Daten, die die Identifizierung einer Person ermöglichen. Sie zeichnen sich vor allem dadurch aus, dass sie einzigartig und dauerhaft sind (DNA, Fingerabdrücke, Retina und Iris der Augen, Stimmmuster oder Gesichtsmuster).

    Erwägungsgrund 51 präzisiert, dass Lichtbilder nur dann als biometrisches Daten einzuordnen sind, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.

  • Dateisystem (Art. 4 Nr. 6 DSGVO)
    „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

    Der Begriff „Dateisystem“ ist technologieneutral und umfasst sowohl automatisierte wie auch manuell geführte Systeme.

    Lediglich Sammlungen, die nicht nach bestimmten Kriterien geordnet sind und somit keiner Ordnung unterliegen, fallen nicht in den Anwendungsbereich der DSGVO.

  • Grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 4 Nr. 23 DSGVO)

    Im Sinne dieser Verordnung bezeichnet der Ausdruck: 

    „grenzüberschreitende Verarbeitung“ entweder
    1. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
    2. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;

    Mit der Wortwahl erhebliche Auswirkungen in Satz 2 wollte der europäische Gesetzgeber vermeiden, dass jegliche Verarbeitungstätigkeit unabhängig von ihren Folgen in Zusammenhang mit einer einzigen Niederlassung unter die Definition der „grenzüberschreitenden Verarbeitung" fällt.

    Gemäss der Art. 29 Arbeitsgruppe kann eine Datenverarbeitung dem Satz 2 der Definition zugeordnet werden, wenn die Wahrscheinlichkeit erheblicher Auswirkungen und nicht lediglich tatsächliche erhebliche Auswirkungen gegeben sind. Zu beachten ist, dass „haben kann“ nicht bedeutet, dass die entfernte Möglichkeit erheblicher Auswirkungen besteht. Für die erheblichen Auswirkungen muss gelten, dass mehr dafür als dagegen spricht. Andererseits bedeutet es ebenfalls, dass Einzelpersonen nicht tatsächlich betroffen sein müssen: Die Wahrscheinlichkeit erheblicher Auswirkungen reicht aus, um die Verarbeitung der Definition der „grenzüberschreitenden Verarbeitung“ zuzuordnen.

    Die Aufsichtsbehörden bestimmen jeweils im Einzelfall, inwieweit „erhebliche Auswirkungen" gegeben sind. Sie berücksichtigen den Kontext der Verarbeitung, die Art der Daten, den Zweck der Verarbeitung sowie Faktoren, die darüber Auskunft geben, ob die Verarbeitung

    • Schäden, Verluste oder Notlagen für Einzelpersonen nach sich zieht bzw. nach sich ziehen kann;
    • tatsächliche Auswirkungen mit sich bringt bzw. mit sich bringen kann, die Rechte einschränken oder eine Möglichkeit zunichtemachen;
    • die Gesundheit, das Wohlergehen oder den Seelenfrieden von Einzelpersonen beeinträchtigt bzw. beeinträchtigen kann;
    • den finanziellen oder wirtschaftlichen Status oder die Umstände von Einzelpersonen beeinträchtigt bzw. beeinträchtigen kann;
    • Einzelpersonen Diskriminierung oder ungerechter Behandlung aussetzt;
    • die Analyse besonderer Kategorien von personenbezogenen Daten oder sonstigen sensiblen Daten, darunter insbesondere personenbezogene Daten von Kindern, beinhaltet;
    • Einzelpersonen dazu veranlasst bzw. veranlassen kann, ihr Verhalten erheblich zu verändern;
    • für Einzelpersonen unwahrscheinliche, unvorhergesehene oder unerwünschte Folgen mit sich bringt;
    • peinliche oder sonstige negative Erkenntnisse zutage fördert, darunter auch Rufschädigung; oder
    • die Verarbeitung einer breiten Palette personenbezogener Daten beinhaltet.
  • Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)

    Im Sinne dieser Verordnung bezeichnet der Ausdruck:

    (1) „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

    Beispiele personenbezogener Daten:

    • allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer etc.)
    • Kennziffern (Sozialversicherungsnummer, Steuernummer, Versicherungsnummer, Personalausweisnummer, etc.)
    • Bankdaten (Kontonummer, Kreditinformationen, Kontostände etc.)
    • Online-Daten (IP-Adresse, Standortdaten, Inhalte in sozialen Netzwerken etc.)
    • physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergrösse etc.)
    • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten etc.)
    • Kundendaten (Bestellungen, Adressdaten, Kontodaten etc.)
    • Werturteile (Zeugnisse, Prüfungsergebnisse einschliesslich Anmerkungen / Korrekturen des Prüfers etc.)
    • Weitere Daten (Foto-, Video- und Tonaufnahmen etc.)

    Nicht umfasst vom Begriff der personenbezogenen Daten sind Daten von juristischen Personen, Verstorbenen oder Ungeborenen sowie anonymisierte Daten.

    Eine Person kann identifiziert werden:

    • direkt (Beispiel: Nachname, Vorname)
    • oder indirekt (Beispiel: durch eine Nummer (z.B. Telefonnummer, Steuernummer), biometrische Daten, Elemente, die spezifisch für ihre physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität sind, aber auch die Stimme oder ein Bild).

    Bei der Frage, ob eine Person identifizierbar ist, sind alle Mittel zu berücksichtigen, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.

  • Pseudonymisierung (Art. 4 Nr. 5 DSGVO)

    Im Sinne dieser Verordnung bezeichnet der Ausdruck

    „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

    Es gibt unterschiedliche Möglichkeiten, personenbezogene Daten zu pseudonymisieren. Jeder Einzelne kann seine Daten pseudonymisieren, indem er/sie zum Beispiel eine fiktive E-Mail-Adresse wählt (miau123(at)internet.li). Aber auch ein Verantwortlicher kann einer ihm bekannten Person ein Pseudonym zuweisen, etwa die Universitätsverwaltung ihren Studierenden eine Matrikelnummer. Ein anderes Beispiel sind codierte Datensätze, die in klinischen Studien verwendet werden.

    Wichtig ist, dass der „Schlüssel“ zur erneuten Identifizierung getrennt von den pseudonymisierten Daten verwahrt wird.

    Die Pseudonymisierung kann die Risiken für die betroffenen Personen erheblich verringern und dem Verantwortlichen helfen, seine Datenschutzverpflichtungen zu erfüllen.

    Es darf aber nicht übersehen werden, dass die Pseudonymisierung nur eine Sicherheitsmassnahme ist und nicht den Status der Daten als personenbezogene Daten ändert!

    Erwägungsgrund 26 stellt diesbezüglich klar, dass die

    einer Pseudonymisierung unterzogenen personenbezogenen Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten.

    Dennoch bringt die Pseudonymisierung klare Vorteile für die Verantwortlichen:

    • Im Falle einer Interessensabwägung sprechen pseudonymisierte Daten für den Verantwortlichen,
    • der technisch-organisatorische Schutzbedarf fällt bei pseudonymisierten Daten geringer aus,
    • im Falle eines Datenschutzverstosses nach Art. 34 Abs. 3 Bst. a DSGVO bedarf es keiner Information der betroffenen Personen, wenn das Verschlüsselungsverfahren (als Beispiel einer Verschlüsselung) Anwendung fand.
  • Verantwortlicher (Art. 4 Nr. 7 DSGVO)

    Im Sinne dieser Verordnung bezeichnet der Ausdruck:

    Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

     Der Verantwortliche entscheidet über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten. Wenn Ihr Unternehmen/Ihre Organisation also die wesentliche Entscheidungsbefugnis darüber hat, „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist dieses Unternehmen/diese Organisation der Verantwortliche.

    Gemäss Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der Datenschutzbestimmungen verantwortlich in Bezug auf die unter seiner Aufsicht stattfindenden Datenverarbeitungstätigkeiten. Insbesondere für die Rechtmässigkeit der jeweiligen Datenverarbeitungstätigkeiten.

    Es ist daher wesentlich, dass in einer Unternehmensgruppe etc. festgelegt wird, wer als Verantwortlicher agiert und deshalb verpflichtet ist, die Einhaltung der Bestimmungen der DSGVO zu verantworten.

    Diese Zuständigkeit als Verantwortlicher kann sich aus unterschiedlichen Umständen ergeben:

    • einer ausdrücklichen rechtlichen Zuständigkeit. Das heisst eine Rechtsvorschrift benennt den für die Verarbeitung Verantwortlichen direkt, indem sie jemandem eine Aufgabe explizit zuweist oder die Verpflichtung auferlegt, bestimmte Daten zu erheben und zu verarbeiten.
    • allgemeiner gesetzlicher Bestimmungen oder geltender Rechtspraxis, die üblicherweise eine bestimmte natürliche Verantwortlichkeit implizieren. So ist etwa der Arbeitgeber Verantwortlicher in Bezug auf die Daten seiner Mitarbeitenden.

    Darüber kann sich eine Verantwortung aufgrund des tatsächlichen Einflusses oder anderer Bewertungen ergeben, wie etwa

    • aufgrund der Rollenverteilung in einer vertraglichen Beziehung;
    • aufgrund einer tatsächlich ausgeübten Kontrolle; oder
    • aufgrund der Aussenwirkung gegenüber den betroffenen Personen.

    Die Rolle des für die Verarbeitung Verantwortlichen bestimmt sich ergänzend auch nach der Frage, ob eine Zuständigkeit für die Festlegung der „Mittel“ einer Verarbeitung besteht. Solche „Mittel“ beziehen sich auf:

    • die technischen und organisatorischen Prozesse einer Datenverarbeitung;
    • die Kompetenz, den Umfang der Verarbeitung zu bestimmen, einschliesslich der Kategorien betroffener Personen oder Daten, der zugangsberechtigten Dritten, etc.
  • Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DSGVO)

    Im Sinne dieser Verordnung bezeichnet der Ausdruck:

    (2) „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

    Der Begriff „Verarbeiten“ ist ein sehr weiter Begriff und umfasst jede Art des Umgangs mit Daten. Bereits die Darstellung am Bildschirm oder die „blosse“ Speicherung ohne aktives Verwenden der Daten fällt unter diesen Begriff.

    Es ist nicht Voraussetzung, dass die Verarbeitung in automatisierter Form erfolgt, auch Akten oder Karteikästen in Papierform fallen darunter.

  • Verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)

    Der Begriff Verbindliche interne Datenschutzvorschriften im Sinne des Art. 47 DSGVO oder die häufig verwendete englische Abkürzung BCR (Binding Corporate Rules) stehen für verbindliche unternehmens- oder organisationsinterne Datenschutzregeln.

    Diese für alle Einheiten einer Unternehmensgruppe oder Organisation geltenden internen Regeln enthalten Grundsätze, die den Transfer personenbezogener Daten in Staaten ausserhalb der Europäischen Union oder des Europäischen Wirtschaftsraums regeln. Die BCR sind eine Alternative zum EU-US Privacy Shield (auch EU-US-Datenschutzschild), welches nur für Transfers in die Vereinigten Staaten gilt oder den Standardvertragsklauseln der Europäischen Kommission. Sie gewährleisten, dass der in der EU und EWR geltende Schutz für personenbezogene Daten auch im betreffenden Drittstaat adäquat vorhanden ist.

    Die zuständige Aufsichtsbehörde genehmigt gemäss dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften.