Was sind «Personendaten»?
Personendaten sind Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (d.h., die ohne Zuhilfenahme unverhältnismässiger Mittel identifiziert werden kann), und zwar in Form von Wörtern, Bildern oder Zeichen. Es muss sich um ganz bestimmte Personen handeln, was im Prinzip Statistiken ausschliesst, die grundsätzlich mit «anonymisierten» Daten arbeiten (ohne möglichen Bezug zu Personen). Das DSchG (Art. 4 Abs. 1 Bst. a DSchG) geht davon aus, dass alle Personendaten schutzwürdig sind. Massgebend für das Schutzbedürfnis sind in erster Linie der Zweck und der Kontext, in dem eine Angabe verwendet wird. Die Angaben müssen sich zudem auf eine Person beziehen, die zumindest bestimmbar ist.
Wann spricht man von «besonders schützenswerten Personendaten»?
Das Schutzbedürfnis für Daten hängt in erster Linie vom Zweck und vom Kontext ab, in dem eine Angabe verwendet wird. Es gibt jedoch Daten, wie sie in Artikel 4 Abs. 1 Bst. c DSchG erschöpfend aufgezählt sind, die naturgemäss als besonders schützenswert gelten. Es sind Angaben, die besonderen Einblick in die Persönlichkeit der Betroffenen geben, sich auf wesentliche Charakteristiken beziehen, den persönlichen Geheim- oder Privatbereich betreffen, den Ruf oder das Ansehen berühren (die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit oder die ethnische Zugehörigkeit, genetische Daten oder biometrische Daten mit denen eine natürliche Person eindeutig identifiziert wird, Sozialhilfemassnahmen, strafrechtliche oder administrative Verfahren oder Sanktionen).
Welche Anforderungen bestehen für besonders schützenswerte Personendaten?
Für sensible Personendaten sind in jedem Fall besondere Schutzmassnahmen erforderlich:
- besondere Sorgfaltspflicht (Art. 11 DSchG)
Besonders schützenswerte Personnendaten dürfen nur bearbeitet werden, wenn:
- es in einem Gesetz im formellen Sinn ausdrücklich vorgesehen wird oder
- es für die Erfüllung einer Aufgabe, die in einem Gesetz im formellen Sinne klar definiert wird, unerlässlich ist und der Zweck des Bearbeitens keine besonderen Risiken für die Grundrechte der betroffenen Personen birgt (Art. 5 Abs. 2 Bst. a und b DSchG).
Was ist eine «Bearbeitung»?
Dieser Begriff steht für jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere die Beschaffung, Speicherung, Aufbewahrung, Verwendung, Umarbeitung, Bekanntgabe, Verknüpfung, Auslagerung, Löschung, Archivierung und Vernichtung (Art. 4 Abs. 1 Bst. d DSchG).
Damit verbunden sind zwei Instrumente: einerseits das Bearbeitungsregister (Art. 38 ff. DSchG), andererseits das Auskunftsrecht (Art. 27 ff. DSchG). Es gibt manuelle Bearbeitungen (Karteien, Register, Listen, Kataloge usw.) oder automatisierte Bearbeitungen (ein strukturiertes Ganzes an Informationen, das auf einem Informatiksystem oder Magnetdatenträger gespeichert wird).
Was ist das «Bearbeitungsregister»?
Das Bearbeitungsregister ist das Onlineverzeichnis, in dem die von den öffentlichen Organen ausgeführten Bearbeitungstätigkeiten verzeichnet sind (Art. 4 Abs. 1 Bst. j DSchG). Die Aufsichtsbehörde führt nämlich das öffentliche Bearbeitungsregister. Es beinhaltet die Bearbeitungstätigkeiten, welche durch die den DSchG unterstellten Organen ausgeführt werden (Art. 38 Abs. 1 DSchG). Das Bearbeitungsregister ist wichtig ein Werkzeug für die verschiedenen Datenschutzpartner. Zunächst einmal zwingen sie die öffentlichen Organe dazu, ihren Bestand zu sichten, die Rechtmässigkeit der Erhebung und der Bekanntgabe, Fragen in Zusammenhang mit der Speicherung, der Aufbewahrung und der Sicherheit der Personendaten zu prüfen, und vermitteln ihnen einen Überblick über ihre Datenvbearbeitungen. Dann ermöglicht es den Einzelnen, vom Bestehen und von den Merkmalen der von den einzelnen Gemeinwesen geführten Datenbearbeitungen Kenntnis zu nehmen. Somit können sie ihr Auskunftsrecht ausüben. Schliesslich vermittelt es der Aufsichtsbehörde auch Informationen für ihre gesetzlichen Aufgaben im Rahmen der Beratung, Kontrolle und Aufsicht.
Was ist unter «betroffener Person» zu verstehen?
Unter betroffener Person versteht man eine natürliche oder juristische Person, über die Daten bearbeitet werden (Art 4 Abs. 1 Bst. b DSchG).
Wer ist der «Verantwortliche»?
So wird das öffentliche Organ bezeichnet, das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung von Personendaten entscheidet (Art. 4 Abs.1 Bst. h DSchG).