Datenverarbeitungen

Als Bearbeiten von Personendaten gilt jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren. Beispielhaft genannt werden das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten (Art. 5 lit. d DSG). Der Anwendungsbereich des DSG stellt sich damit als technikneutral dar, indem festgehalten wird, dass es nicht auf die eingesetzten Methoden oder verwendeten technischen Mittel ankommt.

Ein «Beschaffen» von Daten liegt vor, wenn die beschaffende Person gewollt Kenntnis von Daten erhält oder Verfügung darüber begründet. Keine Beschaffung von Daten liegt vor, wenn die Person ohne einen entsprechenden Willen Kenntnis bzw. Verfügung über die Daten erlangt (bspw. wenn sie zufällig einer Diskussion von Nachbarn beiwohnt).

Das «Aufbewahren» unterscheidet sich vom «Archivieren» nur insofern, als Daten im Rahmen ihrer Bearbeitung – statt ausserhalb davon – verfügbar gehalten werden.

Eine «Verwendung» der Daten setzt eine Nutzung ihres Informationsgehalts voraus.

Das «Bekanntgeben» richtet sich nach Art. 5 lit. e DSG und bedeutet die Zugänglichmachung von Personendaten an Drittpersonen.

Das «Vernichten ist schliesslich mit der unwiederbringlichen Zerstörung oder Unlesbarmachung von Daten gleichzusetzen.

Der Begriff des Bearbeitens bleibt auch unter dem neuen DSG inhaltlich unverändert. Die Liste wurde jedoch ergänzt um die Begriffe «Speichern» und «Löschen». Zudem wird der Begriff «Umarbeiten» mit «Verändern» ersetzt, dies mit dem Ziel, sich dem Wortlaut des Europäischen Rechts anzunähern. Die Speicherung von Daten bezieht sich lediglich auf elektronische Daten, fügt dem Begriff des Aufbewahrens/Archivierens aber inhaltlich nichts neues hinzu.

Im Verhältnis zur Vernichtung von Daten impliziert der Begriff «Löschen» nicht, dass die Daten unwiederbringlich zerstört werden. Beispielsweise setzt die Datenvernichtung bei elektronischen Daten eine Unbrauchbarmachung des Datenträgers voraus. Zudem dürfen allfällige Kopien der Daten ebenfalls nicht mehr lesbar gemacht werden können. Im Falle von Daten, welche im Anhang von E-Mails übermittelt wurden, müssen auch allfällige Zwischenspeicherungen dieser E-Mails vernichtet werden. Übliche Löschbefehle oder eine reine Umformatierung stellen hingegen keine Vernichtung, sondern eine Löschung dar.

Zu beachten ist, dass das DSG nicht für anonymisierte Daten gilt. Wenn eine Re-Identifizierung durch Dritte unmöglich ist (die Daten also vollständig und endgültig anonymisiert wurden) oder nur mit einem hohen Aufwand möglich ist, welche kein Interessent auf sich nehmen würde, werden Datenbearbeitungsvorgänge nicht durch das DSG erfasst. Dies gilt ebenso für pseudonymisierte Daten.

Anders als das Schweizer Recht verwendet die Europäische Union den Begriff des Verarbeitens statt des Bearbeitens. Inhaltlich besteht allerdings kein Unterschied zwischen den beiden Begriffen.

Kostenfreies Datenschutz Risk Assessment.

L24 AG
Weinbergstrasse 29
8006 Zürich