Auf dieser Seite erklären wir kurz und knapp wichtige Begriffe rund um das Thema Datenschutz und Datensicherheit.
| Begriff | Erklärung |
|---|---|
| Anonymisierte Personendaten | Der Personenbezug der Daten wird nachträglich unwiderruflich entfernt. Sie stellen keine Personendaten mehr dar, wenn die Re-Identifikation nicht oder nur mit einem unverhältnismässigen Aufwand möglich ist. |
| Auftragsdatenbearbeitung | Das öffentliche Organ bearbeitet Personendaten nicht selbst, sondern beauftragt Dritte mit deren Bearbeitung. Dieses Vorgehen ist unter gewissen Voraussetzungen erlaubt. Das öffentliche Organ bleibt in diesem Fall für die Einhaltung der Datenschutzbestimmungen verantwortlich. Die Weiterübertragung der Datenbearbeitung bedarf der vorgängigen schriftlichen Zustimmung des auftraggebenden öffentlichen Organs. |
| Auskunfts- und Einsichtsrecht | Auf Anfrage muss der Inhaber einer Datensammlung einer betroffenen Person mitteilen, ob über sie Personendaten bearbeitet werden. Verlangt es die betroffene Person, muss ihr Einsicht in die Personendaten gewährt werden. Merkblätter und Arbeitshilfen | sg.ch > Musterantwort Auskunftsbegehren |
| Bekanntgabe von Personendaten | Zugänglichmachen von Personendaten sowie Gewährung von Einsicht, Weitergabe und Veröffentlichung. |
| Besonders schützenswerte Personendaten | Personendaten, welche aufgrund ihrer Natur nach besonders heikel und damit besonders schützenswert sind. Besonders schützenswert sind insbesondere Angaben über
|
| Bestimmbare Person | Die Identität einer natürlichen Person ist nur durch die Kombination der Information mit anderen Informationen ohne einen unverhältnismässigen Aufwand feststellbar, beispielsweise über Funktionsbezeichnungen. |
| Bestimmte Person | Die Identität einer natürlichen Person ergibt sich direkt aus der Information selber, also z.B. bei einem Personaldossier oder einem Personalausweis. |
| Cloud-Act | Er ist anwendbar auf Informationen und Daten bei amerikanischen Unternehmen, unabhängig davon, wo diese gespeichert sind. Amerikanischen Behörden soll es damit möglich sein, in einem Verfahren einfach und rasch auf gespeicherte Informationen und Daten bei diesem Unternehmen zugreifen zu können. |
| Cloud-Lösungen | In den meisten Fällen werden Daten an den Auftragsbearbeiter übertragen. |
| Datenbearbeitung | Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere die Beschaffung, Aufbewahrung, Verwendung, Umarbeitung, Bekanntgabe, Archivierung, Löschung oder Vernichtung von Personendaten sowie die Durchführung logischer oder rechnerischer Operationen mit diesen Personendaten. Ein öffentliches Organ kann nur dann Personendaten bearbeiten, wenn dies zur Erfüllung seiner gesetzlichen Aufgaben geeignet und erforderlich ist. Werden besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet, muss dies ein formelles Gesetz vorsehen. |
| Datenbearbeitung auf Vorrat | Datenbearbeitung, meist Beschaffen von Personendaten, ohne Zweck oder konkretes Ziel Die Datenbearbeitung auf Vorrat verstösst gegen das Verhältnismässigkeitsgebot und ist nicht zulässig. |
| Datensammlung | Bestand von Personendaten, der nach Personen erschlossen oder erschliessbar ist. Das öffentliche Organ muss ein Register über Datensammlungen führen und es jährlich aktualisieren. Zwecks Wahrung von Betroffenenrechten ist es öffentlich einsehbar. |
| Datenschutz-Folgenabschätzung | Ein Verfahren, anhand dessen im Voraus die Bearbeitung von Personendaten beschrieben, ihre Notwendigkeit und Verhältnismässigkeit bewertet und die Risiken für die Grundrechte der betroffenen Person durch eine entsprechende Risikoabschätzung und die Ermittlung von Gegenmassnahmen besser kontrolliert werden soll. Sie enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Grundrechte. |
| Datensparsamkeit | Es ist einer der Grundsätze des Datenschutzrechts bzw. der Verhältnismässigkeit. Es sollen so wenig Personendaten wie möglich bearbeitet werden. |
| Datensperre | Eine betroffene Person hat das Recht, dass das öffentliche Organ ihre Personendaten nicht weitergeben darf. Personendaten sind beim öffentlichen Organ, bei dem die zu sperrenden Daten bearbeitet werden, auf Gesuch hin zu sperren. Das öffentliche Organ muss jedoch trotz Sperrung Daten bekanntgeben, wenn
|
| Datenvermeidung | Es ist einer der Grundsätze des Datenschutzes bzw. der Verhältnismässigkeit. Wo immer möglich, soll auf die Bearbeitung von Personendaten verzichtet werden. |
| Erkennbarkeit | Es handelt sich dabei um einen Teilaspekt des Transparenzgrundsatzes. Die erstmalige Beschafftung von Personendaten und ihr Zweck muss für die betroffene Person erkennbar sein. Die verdeckte Bearbeitung von Personendaten ist nur zulässig, wenn die Bearbeitung in einer gesetzlichen Grundlage vorgesehen ist. |
| Gesetzliche Grundlage | Die regelmässige Bearbeitung oder Bekanntgabe von Personendaten muss sich auf eine gesetzliche Grundlage stützen. Als "Gesetze" gelten alle Erlasse des Bundes, der Kantone und der Gemeinden, also alle formellen Gesetze oder die dazugehörenden Verordnungen. Das Legalitätsprinzipt verlangt immer eine hinreichend bestimmte Regelung. Es muss mindestens eine Aufgabe umschreiben, zu deren Erfüllung das Bearbeiten von Personendaten geeignet und erforderlich ist. Die regelmässige Bekanntgabe von Personendaten muss hingegen ausdrücklich im Gesetz verankert sein. (Art. 5 Abs. 1 und 5 Abs. 2 Bst. a) sowie Art. 11 und 13 Abs. 1 Bst. a) DSG) |
| Informationelle Selbstbestimmung | Es handelt sich dabei um einen verfassungsrechtlichen Grundrechtsschutz. Jede Person ist vor missbräuchlicher Bearbeitung ihrer Personendaten zu schützen. Sie muss grundsätzlich selbst bestimmen können, ob und mit welchem Ziel Informationen über sie von Behörden bearbeitet werden. |
| ISMS | Ein Information Security Managmenet System (ISMS) legt Regeln und Verfahren fest, mit denen sich die Informationssicherheit in einem Unternehmen sicherstellen, steuern, kontrollieren und kontinuierlich verbessern lässt. |
| Klassifizierung von Daten | Daten werden anhand von Vertraulichkeit und Auswirkungen auf den Geschäftsbetrieb kategorisiert. |
| Legalitätsprinzip | Schränkt der Staat die Grundrechte von Bürgerinnen und Bürgern ein, muss sich diese Handlung auf Gesetze stützen können. |
| Löschen von Personendaten | Daten werden nicht unwiederbringlich zerstört oder unlesbar gemacht. |
| Oeffentliches Organ | Jede Behörde oder Dienststelle im Kanton, welche im Rahmen ihrer gesetzlichen Aufgabenerfüllung Personendaten bearbeitet. |
| Personendaten | Alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. |
| Persönlichkeitsprofil | Zusammenstellung von Personendaten, welche die Beurteilung der Persönlichkeit einer natürlichen Person erlaubt. |
| Privacy by Default | Mit "Datenschutz durch datenschutzfreundliche Voreinstellungen" soll insbesondere die Verhältnismässigkeit sichergestellt werden. |
| Privacy by Design | Der Datenschutz soll durch "Datenschutz durch Technik", sprich insbesondere durch organisatorische und technische Massnahmen sichergestellt werden. |
| Protokollierung | Sie ist eine Massnahme der Datensicherheit und hat zum Ziel, für sicherheitsrelevante Elemente hierfür relevante Daten zu erheben, zu speichern und geeignet für die Auswertung bereitzustellen. Sie erlaubt, das Schutzziel der Nachvollziehbarkeit zu erreichen. |
| Pseudononymisierung | Personendaten werden durch ein Pseudonym/Kennzeichen ersetzt, wobei der Personenbezug widerhergestellt werden kann. |
| Rechtsgrundlage | Erlass mit allgemein verbindlichen Bestimmungen, insbesondere Gesetz und Verordnung. Der Verordnung sind vom fakultativen Referendum ausgenommene Vollzugsvorschriften von Gemeinden gleichgestellt. |
| Verantwortlichkeit | Person oder Stelle, die alleine oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet. Bearbeiten mehrere öffentliche Organe Personendaten einer Datensammlung, regeln sie die Verantwortlichkeiten. Bei Uneinigkeit entscheidet die Fachselle für Datenschutz. |
| Verhältnismässigkeit | Die Verhältnismässigkeit ist einer der Grundsätze des Datenschutzes. Verhältnismässig ist eine Datenbearbeitung, wenn
|
| Verletzung der Datensicherheit | Jede Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Führt die Verletzung voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person, muss dies der Fachstelle für Datenschutz gemeldet werden. |
| Vernichten von Personendaten | Daten werden unwiederbringlich zerstört oder unlesbar gemacht. |
| Vorabkonsultation | Eine Vorab-Prüfung einer geplanten Bearbeitung von Personendaten (Projekt) die eine Datenschutzfachstelle durchführt. Es handelt sich dabei um ein schriftliches Verfahren. Zweck der Vorabkonsultation ist, bei neuen Vorhaben (Projekten) den Datenschutz frühzeitig sicherzustellen. |
| Zweckbindung | Personendaten dürfen nur für den Zweck beschafft und bearbeitet werden, der bei der Beschaffung angegeben wurde. Ändert sich der Zweck der Bearbeitung, muss die betroffene Person informiert werden. |
| ISDS bzw. ISDS-Konzept | Informations- und Datensicherheit. Darin werden nötige Schutzmassnahmen betreffend die Informationssicherheit und Datenschutz bei der Nutzung und beim Betrieb einer IT-Lösung definiert. Es bildet die Grundlage für die Festlegung der Massnahmen für Informationssicherheit und Datenschutz. Es zeigt Restrisiken auf, die mit dem Betrieb des Systems und der Organisation verbunden sind. |
| EDÖB | Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) nimmt Aufgaben der Aufsicht und der Beratung bei der Datenbearbeitung durch Privatpersonen und Bundesorganen wahr. |
| Datenschutz | Er umfasst alle Massnahmen zur Gewährleistung der Rechte einer betroffenen Person an ihren persönlichen Daten. |
| Fachstelle für Datenschutz | Von Kanton und Gemeinden eingesetztes Organ für Aufsicht und Beratung im Datenschutz. Die Fachstelle erfüllt ihre Aufgaben unabhängig und selbständig. |
| Informationssicherheit | Vgl. Datensicherheit. |
| Datensicherheit | Es umfasst alle Massnahmen zur Sicherstellung der Vertraulichkeit, der Integrität und der Verfügbarkeit von Daten. |
| Technische- und organisatorische Massnahmen | Risiken lassen sich mit technischen und organisatorischen Massnahmen (TOM's) veringern. Sie beziehen sich auf technische Aspekte des Informationssystems bzw. die Umgebung des Systems, die Nutzenden und die Art der Nutzung. |
| Zwei-Faktor-Authentifizierung | Neben einer gewöhnlichen Authentifizierung (Benutzername und Passwort) für den Zugriff auf den Administrationsbereich wird ein zusätzliches Passwort (Einmal-Passwort, SMS-Token, usw.) generiert. |
| Transportverschlüsselung | Der Weg zwischen den Kommunikationspartnern ist verschlüsselt, die Nachricht selbst wird unverschlüsselt gespeichert. |
| End-zu-End-Verschlüsselung | Nachrichten werden beim Sender verschlüsselt und erst beim vorgesehenen Empfänger wieder entschlüsselt. Die Nachricht wird ebenfalls verschlüsselt gespeichert. |
| Abrufverfahren | Die Empfängerin oder der Empfänger beschafft sich Personendaten beim öffentlichen Organ mittels automatisiertem Zugriff selbst. Die Beschaffung der Personendaten erfolgt ohne dass die Empfängerin oder der Empfänger sie begründen muss. oder ohne vorgängige Kontrolle. |
| Gemeindefachstellen für Datenschutz | Aufsichtsstelle, wenn Personendaten durch Organe der Schul-, Orts- oder politischen Gemeinde bearbeitet werden. |
Noch offene Fragen?
Fachstelle für Datenschutz Kanton St.Gallen
Regierungsgebäude
9001 St. Gallen
