Was ist unter «Bearbeiten» von Personendaten zu verstehen?
Es handelt sich um jeglichen Umgang mit Personendaten, insbesondere die einzelnen Bearbeitungsphasen (Beschaffen, Bekanntgeben, Verwenden, Umarbeiten, Aufbewahren, Vernichten, Archivieren). Der Geltungsbereich des Gesetzes umfasst nicht nur die automatisierte, sondern auch die manuelle Bearbeitung sowie Mischformen (z.B. Dossier, Datenbanken, Art. 3 Bst. d DSchG).
Worin besteht das «Beschaffen» von Personendaten?
Dieser Begriff steht für jegliche Form der Erlangung von Daten und umfasst die Erlangung bei einem öffentlichen Organ (dieses Organ gibt aus seiner Sicht Daten bekannt).
Wie wird die «Bekanntgabe» von Personendaten definiert?
Es geht dabei darum, Personendaten Dritten zugänglich zu machen, beispielsweise, indem sie eingesehen werden dürfen, weitergegeben oder veröffentlicht werden. Dieser Begriff umfasst sowohl die Bekanntgabe im Einzelfall als auch die regelmässige Bekanntgabe, die Weitergabe von Auskünften wie auch die Einsichtgewährung oder die Veröffentlichung.
Es ist deshalb sinnvoll, die Bekanntgabe, die eine Form des Bearbeitens ist, zu definieren (Art. 3 Bst. e DSchG), weil sie besondere Risiken birgt. Dies erklärt die detaillierten Bestimmungen, die das Gesetz zu diesem Thema enthält (Art. 10-12, Art. 15 Abs. 2, Art. 19 Abs. 2 Bst. f, Art. 26 Abs. 2 Bst. a sowie die Bestimmungen des Gesetz über die Einwohnerkontrolle [EKG] und des Gesetzes über die Kantonspolizei [PolG]).
Welches ist der Unterschied zwischen «gelegentlicher» und «systematischer» Datenbekanntgabe?
Bei der gelegentlichen Bekanntgabe geht es um die Bekanntgabe von Daten in einem Einzelfall, das heisst in einer konkreten Sachlage.Beispiel: Eine Frau, die um Bekanntgabe der Adresse ihres Exmannes ersucht.
Die systematische Bekanntgabe umfasst eine Gesamtheit von Personen, die durch ein abstraktes Kriterium definiert sind, das ein einziges Mal oder wiederholt verwendet wird. Beispiel: Die Liste der Bürgerinnen und Bürger einer Gemeinde. Sie ist das Gegenteil von der gelegentlichen Bekanntgabe (oder Bekanntgabe im Einzelfall).
Was ist ein «Abrufverfahren»?
Das Abrufverfahren ist ein automatisierter Datenbekanntgabemodus, bei dem die Empfängerin oder der Empfänger der Daten aufgrund einer Bewilligung des Verantwortlichen der Datensammlung selber und ohne vorherige Kontrolle über den Zeitpunkt und den Umfang der Bekanntgabe entscheidet (Art. 2 Bst. c des Reglements über die Sicherheit der Personendaten [DSR]). Dieses Verfahren wird in Art. 10 Abs. 2 DSchG angesprochen. Es ist ein automatisierter Zugriff, mit dem der Empfänger der Daten mit der Bewilligung des Verantwortlichen der Datensammlung von sich aus und ohne vorgängige Kontrolle entscheidet, wann und wie viel Information er abrufen will. Es ist eine regelmässige Bekanntgabe, in Form einer allgemeinen Zugriffsberechtigung (online).
In einem solchen Fall ist eine Gesetzesgrundlage erforderlich, die ein solches Verfahren ausdrücklich autorisiert, weil es dem Daten bekannt gebenden Organ unmöglich ist, in jedem einzelnen Fall nachzuprüfen, ob die allgemeinen Grundsätze eingehalten werden.
Mehr zur Ausarbeitung eines Benutzerreglements für die Bekanntgabe von Daten im Abrufverfahren ist in den Informationsblättern Nr. 7 und 7bis zu finden.
Wann spricht man von «grenzüberschreitender Datenübermittlung»?
Grenzüberschreitende Datenübermittlung heisst Bekanntgabe von Daten im Ausland. Gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ist von Datenübermittlung ins Ausland dann die Rede, wenn Personendaten entweder aufgrund einer Bekanntgabe durch den Dateninhaber oder aufgrund eines Abrufs durch den Datenempfänger im Ausland das Hoheitsgebiet der Schweiz verlassen. Das allgemeine Zugänglichmachen von Personendaten mittels automatisierter Informations- und Kommunikationsdienste zwecks Information der Öffentlichkeit, z.B. im Internet, gilt nicht als Datenübermittlung ins Ausland, obwohl diese Informationen auch im Ausland abgerufen werden können. Die Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet, ist auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zu finden.
Hier die entsprechende Bestimmung in unserem kantonalen Datenschutzgesetz:
Art. 12a Bekanntgabe ins Ausland
1 Personendaten dürfen nur in Staaten bekannt gegeben werden, die einen angemessenen Schutz gewährleisten.
2 In Staaten, die keinen angemessenen Schutz gewährleisten, dürfen Personendaten jedoch bekannt gegeben werden, wenn eine der folgenden Bedingungen erfüllt ist:
a) Hinreichende Garantien, insbesondere vertragliche Garantien, gewährleisten einen angemessenen Schutz im Ausland.
b) Die betroffene Person hat im Einzelfall ausdrücklich eingewilligt.
c) Die Bearbeitung steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags und es handelt sich um Personendaten des Vertragspartners.
d) Die Bekanntgabe ist im Einzelfall entweder für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht unerlässlich.
e) Die Bekanntgabe ist im Einzelfall erforderlich, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen.
3 Vor der Bekanntgabe der Daten ins Ausland informiert das öffentliche Organ die kantonale Datenschutzbeauftragte oder den kantonalen Datenschutzbeauftragten über die Garantien nach Absatz 2 Bst. a.
Mehr zum Vorgehen des öffentlichen Organs bei einem Gesuch um grenzüberschreitende Datenübermittlung ist im Informationsblatt Nr. 10 zu finden.
Wie sieht es mit dem Bearbeiten für Forschung oder Planung aus?
Personendaten, die im Hinblick auf eine Bearbeitung für nicht personenbezogene Zwecke (z.B. Statistiken, Forschung, Planung …) beschafft werden müssen, können beim öffentlichen Organ, das im Besitz der Daten ist, eingeholt werden (Art. 14 ff. DSchG). Sofern es der Zweck des Bearbeitens erlaubt, müssen die für nicht personenbezogene Zwecke bearbeiteten Personendaten anonymisiert oder zumindest ohne direkten Bezug auf die betroffenen Personen verwendet werden. Die Ergebnisse müssen so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind.
Wer Daten zu Forschungszwecken erheben möchte, findet mehr dazu im Informationsblatt Nr. 1 und kann unser Formular und unseren Musterbrief verwenden.