Logo Kanton St.Gallen

Auf dieser Seite erklären wir kurz und knapp wichtige Begriffe rund um das Thema Datenschutz und Datensicherheit.

Begriff   Erklärung  
Anonymisierte Personendaten   Der Personenbezug der Daten wird nachträglich unwiderruflich entfernt. Sie stellen keine Personendaten mehr dar, wenn die Re-Identifikation nicht oder nur mit einem unverhältnismässigen Aufwand möglich ist.  
Auftragsdatenbearbeitung  

Das öffentliche Organ bearbeitet Personendaten nicht selbst, sondern beauftragt Dritte mit deren Bearbeitung. Dieses Vorgehen ist unter gewissen Voraussetzungen erlaubt. Das öffentliche Organ bleibt in diesem Fall für die Einhaltung der Datenschutzbestimmungen verantwortlich. Die Weiterübertragung der Datenbearbeitung bedarf der vorgängigen schriftlichen Zustimmung des auftraggebenden öffentlichen Organs. Wer Personendaten im Auftrag des öffentlichen Organs bearbeitet und sich dabei vorsätzlich auftragswidrig verhält, wird mit Busse bestraft.

(Art. 9 DSG, Art. 40 Abs. 1 Bst. a) DSG)

 
Auskunfts- und Einsichtsrecht  

Auf Anfrage muss der Inhaber einer Datensammlung einer betroffenen Person mitteilen, ob über sie Personendaten bearbeitet werden. Verlangt es die betroffene Person, muss ihr Einsicht in die Personendaten gewährt werden.

Merkblätter und Arbeitshilfen | sg.ch > Musterantwort Auskunftsbegehren

(Art. 17 DSG)

 
Bekanntgabe von Personendaten  

Zugänglichmachen von Personendaten sowie Gewährung von Einsicht, Weitergabe und Veröffentlichung.

(Art. 11 ff. DSG)

 
Besonders schützenswerte Personendaten  

Personendaten, welche aufgrund ihrer Natur nach besonders heikel und damit besonders schützenswert sind. Besonders schützenswert sind insbesondere Angaben über

  • religiöse, weltanschauliche sowie politische Ansichten und Tätigkeiten
  • die Gesundheit, Intimsphäre und ethnische Zugehörigkeit
  • Leistungen und Massnahmen der sozialen Hilfe
  • strafrechtliche sowie disziplinarische Verfahren und Sanktionen


(Art. 1 Abs. 1 Bst. b) DSG)

 
Bestimmbare Person  

Die Identität einer natürlichen Person ist nur durch die Kombination der Information mit anderen Informationen ohne einen unverhältnismässigen Aufwand feststellbar, beispielsweise über Funktionsbezeichnungen.

(Art. 1 Abs. 1 Bst. a) DSG)

 
Bestimmte Person  

Die Identität einer natürlichen Person ergibt sich direkt aus der Information selber, also z.B. bei einem Personaldossier oder einem Personalausweis.

(Art. 1 Abs. 1 Bst. a) DSG)

 
Cloud-Act   Er ist anwendbar auf Informationen und Daten bei amerikanischen Unternehmen, unabhängig davon, wo diese gespeichert sind. Amerikanischen Behörden soll es damit möglich sein, in einem Verfahren einfach und rasch auf gespeicherte Informationen und Daten bei diesem Unternehmen zugreifen zu können.  
Cloud-Lösungen   In den meisten Fällen werden Daten an den Auftragsbearbeiter übertragen.  
Datenbearbeitung  

Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere die Beschaffung, Aufbewahrung, Verwendung, Umarbeitung, Bekanntgabe, Archivierung, Löschung oder Vernichtung von Personendaten sowie die Durchführung logischer oder rechnerischer Operationen mit diesen Personendaten.

Ein öffentliches Organ kann nur dann Personendaten bearbeiten, wenn dies zur Erfüllung seiner gesetzlichen Aufgaben geeignet und erforderlich ist. Werden besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet, muss dies ein formelles Gesetz vorsehen. 

(Art. 1 Abs. 1 Bst. e) DSG, Art. 5 DSG)

 
Datenbearbeitung auf Vorrat  

Datenbearbeitung, meist Beschaffen von Personendaten, ohne Zweck oder konkretes Ziel Die Datenbearbeitung auf Vorrat verstösst gegen das Verhältnismässigkeitsgebot und ist nicht zulässig.

(Art. 4 Abs. 1 DSG)

 
Datensammlung  

Bestand von Personendaten, der nach Personen erschlossen oder erschliessbar ist. Das öffentliche Organ muss ein Register über die Datensammlungen führen und es jährlich aktualisieren. Zwecks Wahrung von Betroffenenrechten ist es öffentlich einsehbar.

(Art. 37 ff. DSG)

 
Datenschutz-Folgenabschätzung  

Ein Verfahren, anhand dessen im Voraus die Bearbeitung von Personendaten beschrieben, ihre Notwendigkeit und Verhältnismässigkeit bewertet und die Risiken für die Grundrechte der betroffenen Person durch eine entsprechende Risikoabschätzung und die Ermittlung von Gegenmassnahmen besser kontrolliert werden soll. Sie enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Grundrechte. 

Merkblatt Datenschutz-Folgenabschätzung

(Art. 8a DSG)

 
Datensparsamkeit   Es ist einer der Grundsätze des Datenschutzrechts bzw. der Verhältnismässigkeit. Es sollen so wenig Personendaten wie möglich bearbeitet werden.  
Datensperre  

Eine betroffene Person hat das Recht, dass das öffentliche Organ ihre Personendaten nicht weitergeben darf. Personendaten sind beim öffentlichen Organ, bei dem die zu sperrenden Daten bearbeitet werden, auf Gesuch hin zu sperren. Das öffentliche Organ muss jedoch trotz Sperrung Daten bekanntgeben, wenn

  • eine Rechtspflicht dazu besteht
  • die Erfüllung einer gesetzlichen Aufgabe ansonsten verunmöglicht wird
  • glaubhaft gemacht wird, dass Rechtsmissbrauch vorliegt


Merbklatt Datensperre

(Art. 21 DSG)

 
Datenvermeidung   Es ist einer der Grundsätze des Datenschutzes bzw. der Verhältnismässigkeit. Wo immer möglich, soll auf die Bearbeitung von Personendaten verzichtet werden.  
Erkennbarkeit  

Es handelt sich dabei um einen Teilaspekt des Transparenzgrundsatzes.  Die erstmalige Beschafftung von Personendaten und ihr Zweck muss für die betroffene Person erkennbar sein. Die verdeckte Bearbeitung von Personendaten ist nur zulässig, wenn die Bearbeitung in einer gesetzlichen Grundlage vorgesehen ist.

(Art. 4 Abs. 2 DSG)

 
Gesetzliche Grundlage  

Die regelmässige Bearbeitung oder Bekanntgabe von Personendaten muss sich auf eine gesetzliche Grundlage stützen. Als "Gesetze" gelten alle Erlasse des Bundes, der Kantone und der Gemeinden, also alle formellen Gesetze oder die dazugehörenden Verordnungen. Das Legalitätsprinzipt verlangt immer eine hinreichend bestimmte Regelung. Es muss mindestens eine Aufgabe umschreiben, zu deren Erfüllung das Bearbeiten von Personendaten geeignet und erforderlich ist. Die regelmässige Bekanntgabe von Personendaten muss hingegen ausdrücklich im Gesetz verankert sein.

(Art. 5 Abs. 1 und 5 Abs. 2 Bst. a) sowie Art. 11 und 13 Abs. 1 Bst. a) DSG)

 
Informationelle Selbstbestimmung  

Es handelt sich dabei um einen verfassungsrechtlichen Grundrechtsschutz. Jede Person ist vor missbräuchlicher Bearbeitung ihrer Personendaten zu schützen. Sie muss grundsätzlich selbst bestimmen können, ob und mit welchem Ziel Informationen über sie von Behörden bearbeitet werden.

(Art. 2 Abs. 1 Bst. g) KV)

 
ISMS   Ein Information Security Managmenet System (ISMS) legt Regeln und Verfahren fest, mit denen sich die Informationssicherheit in einem Unternehmen sicherstellen, steuern, kontrollieren und kontinuierlich verbessern lässt.  
Klassifizierung von Daten  

Daten werden anhand von Vertraulichkeit und Auswirkungen auf den Geschäftsbetrieb kategorisiert.

(Art. 7 der Verordnung über die Informatiksicherheit)

 
Legalitätsprinzip  

Schränkt der Staat die Grundrechte von Bürgerinnen und Bürgern ein, muss sich diese Handlung auf Gesetze stützen können.

(Art. 5 Abs. 1 KV)

 
Löschen von Personendaten   Daten werden nicht unwiederbringlich zerstört oder unlesbar gemacht.  
Oeffentliches Organ  

Jede Behörde oder Dienststelle im Kanton, welche im Rahmen ihrer gesetzlichen Aufgabenerfüllung Personendaten bearbeitet.

(Art. 1 Abs. 1 Bst. h) DSG)

 
Personendaten  

Alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

(Art. 1 Abs. 1 Bst. a) DSG)

 
Persönlichkeitsprofil  

Zusammenstellung von Personendaten, welche die Beurteilung der Persönlichkeit einer natürlichen Person erlaubt.

(Art. 1 Abs. 1 Bst. d) DSG)

 
Privacy by Default   Mit "Datenschutz durch datenschutzfreundliche Voreinstellungen" soll insbesondere die Verhältnismässigkeit sichergestellt werden.  
Privacy by Design   Der Datenschutz soll durch "Datenschutz durch Technik", sprich insbesondere durch organisatorische und technische Massnahmen sichergestellt werden.  
Protokollierung   Sie ist eine Massnahme der Datensicherheit und hat zum Ziel, für sicherheitsrelevante Elemente hierfür relevante Daten zu erheben, zu speichern und geeignet für die Auswertung bereitzustellen. Sie erlaubt, das Schutzziel der Nachvollziehbarkeit zu erreichen.  
Pseudononymisierung   Personendaten werden durch ein Pseudonym/Kennzeichen ersetzt, wobei der Personenbezug widerhergestellt werden kann.  
Rechtsgrundlage  

Erlass mit allgemein verbindlichen Bestimmungen, insbesondere Gesetz und Verordnung. Der Verordnung sind vom fakultativen Referendum ausgenommene Vollzugsvorschriften von Gemeinden gleichgestellt.

(Art. 1 Abs. 1 Bst. k) DSG)

 
Verantwortlichkeit  

Person oder Stelle, die alleine oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet. Bearbeiten mehrere öffentliche Organe Personendaten einer Datensammlung, regeln sie die Verantwortlichkeiten. Bei Uneinigkeit entscheidet die Fachselle für Datenschutz.

(Art. 3 Abs. 1 und 2 DSG)

 
Verhältnismässigkeit  

Die Verhältnismässigkeit ist einer der Grundsätze des Datenschutzes. Verhältnismässig ist eine Datenbearbeitung, wenn 

  • sie geeignet ist für die gesetzliche Aufgabenerfüllung,
  • sie erforderlich ist für die gesetzliche Aufgabenerfüllung und
  • ein vernünftiges Verhältnis zwischen dem verfolgten Zweck und der Datenbearbeitung besteht.


(Art. 5 Abs. 2 KV)

 
Verletzung der Datensicherheit  

Jede Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Führt die Verletzung voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person, muss dies der Fachstelle für Datenschutz gemeldet werden. 

Meldung von Verletzungen der Datensicherheit

Merkblatt Meldung von Verletzungen der Datensicherheit

(Art. 1 Abs. 1 Bst. ebis), Art. 9a DSG)

 
Vernichten von Personendaten   Daten werden unwiederbringlich zerstört oder unlesbar gemacht.  
Vorabkonsultation  

Eine Vorab-Prüfung einer geplanten Bearbeitung von Personendaten (Projekt) die eine Datenschutzfachstelle durchführt. Es handelt sich dabei um ein schriftliches Verfahren. Zweck der Vorabkonsultation ist, bei neuen Vorhaben (Projekten) den Datenschutz frühzeitig sicherzustellen.

Merkblatt Vorabkonsultation

(Art. 8b DSG)

 
Zweckbindung  

Personendaten dürfen nur für den Zweck beschafft und bearbeitet werden, der bei der Beschaffung angegeben wurde. Ändert sich der Zweck der Bearbeitung, muss die betroffene Person informiert werden.

(Art. 4 Abs. 1 DSG)

 
ISDS bzw. ISDS-Konzept   Informations- und Datensicherheit. Darin werden nötige Schutzmassnahmen betreffend die Informationssicherheit und Datenschutz bei der Nutzung und beim Betrieb einer IT-Lösung definiert. Es bildet die Grundlage für die Festlegung der Massnahmen für Informationssicherheit und Datenschutz. Es zeigt Restrisiken auf, die mit dem Betrieb des Systems und der Organisation verbunden sind.  
EDÖB   Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) nimmt Aufgaben der Aufsicht und der Beratung bei der Datenbearbeitung durch Privatpersonen und Bundesorganen wahr.  
Datenschutz   Er umfasst alle Massnahmen zur Gewährleistung der Rechte einer betroffenen Person an ihren persönlichen Daten.  
Fachstelle für Datenshcutz  

Von Kanton und Gemeinden eingesetztes Organ für Aufsicht und Beratung im Datenschutz. Die Fachstelle erfüllt ihre Aufgaben unabhängig und selbständig.

(Art. 1 Abs. 1  Bst. j) i.V.m. Art. 26 DSG)

 
Informationssicherheit   Vgl. Datensicherheit.  
Datensicherheit   Es umfasst alle Massnahmen zur Sicherstellung der Vertraulichkeit, der Integrität und der Verfügbarkeit von Daten.  
Technische- und organisatorische Massnahmen  

Risiken lassen sich mit technischen und organisatorischen Massnahmen (TOM's) veringern. Sie beziehen sich auf technische Aspekte des Informationssystems bzw. die Umgebung des Systems, die Nutzenden und die Art der Nutzung.

(Art. 4 Abs. 3 DSG)

 

Noch offene Fragen?

Fachstelle für Datenschutz Kanton St.Gallen

Regierungsgebäude
9001 St. Gallen