I. Allgemeines

1 Der Begriff des Bearbeitens ist sehr weit zu verstehen und umfasst jeglichen Umgang mit Personendaten – «grob gesprochen: alles, was man mit Personendaten tut».

Beispielhaft nennt Art. 5 lit. d die Bearbeitungsformen «Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten». Die Begriffe «Speichern» und «Löschen» wurden neu hinzugefügt, um den Wortlaut des Art. 5 lit. d DSG dem des Art. 4 Nr. 2 DSGVO anzunähern. Inhaltlich bleibt der Begriff des Bearbeitens durch die Gesetzesrevision jedoch unverändert. Der altrechtliche Begriff der Datensammlung ging im Begriff der Bearbeitung auf.

2 Eine vollständige terminologische Angleichung an die DSGVO erfolgte aus «Praktikabilitätsgründen» nicht.

So spricht das DSG vom Bearbeiten bzw. der Bearbeitung, die DSGVO hingegen von der Verarbeitung / dem Verarbeiten. Zudem weichen die Beispiele des Art. 5 lit. d DSG von den in Art. 4 Nr. 2 DSGVO genannten deutlich ab. Bearbeiten im Sinne des DSG und Verarbeiten im Sinne der DSGVO sind jedoch trotz der redaktionellen Unterschiede deckungsgleich zu verstehen. Bei der Auslegung des Bearbeitungsbegriffs gemäss Art. 5 lit. d DSG kann daher Rechtsprechung zu Art. 4 Nr. 2 DSGVO jedenfalls orientierungshalber herangezogen werden.

3 Ein zentrales Prinzip des DSG ist der technologieneutrale Charakter.

Deswegen ist es für die Frage, ob eine Bearbeitung vorliegt, unerheblich, welche Mittel und Verfahren angewandt werden. Bearbeitungen im Sinne des DSG können also sowohl manuelle als auch automatisierte Verfahren sein. Aus dem technologieneutralen Charakter folgt weiter, dass das DSG auch zukünftige, heute noch nicht bekannte Bearbeitungsformen erfasst bzw. erfassen wird.

II. Bearbeiten als Anwendungsvoraussetzung des DSG

4 Der Bearbeitungsbegriff ist von zentraler Bedeutung, da das DSG nur anwendbar ist, wenn – durch irgendeine Stelle, die am Umgang mit Personendaten beteiligt ist – Personendaten bearbeitet werden. Welche Pflichten sich dann ergeben, hängt davon ab, ob die jeweilige Stelle (gemeinsam) Verantwortliche oder Auftragsbearbeiterin ist. Die Bearbeitung setzt eine Handlung voraus, die bezweckt und zur Folge hat, dass etwas mit den Daten geschieht,

bzw. eine Handlung, die sich objektiv auf die Daten bezieht. Handlungen, die Daten lediglich mitbetreffen, sind demgegenüber keine Bearbeitungen, wie etwa die Beförderung von Fahrgästen mittels Bus oder Bahn, wenn diese Fahrgäste beispielsweise auf Datenträger gespeicherte Personendaten mit sich führen. Unerheblich ist, ob die betreffenden Personendaten von einem Menschen tatsächlich zur Kenntnis genommen werden oder nicht, weshalb auch die Bearbeitung mittels Computerprogrammen erfasst ist. Kein Bearbeiten i.S.v. Art. 5 lit. d ist der rein gedankliche Umgang mit Personendaten. Entsprechend sind Informationen, die nur im Gedächtnis einer Person vorhanden sind, auch nicht vom datenschutzrechtlichen Auskunftsrecht umfasst.

5 Mitunter bereitet die Konturierung des Bearbeitungsbegriffs bzw. die Zuordnung von Datenbearbeitungen zu bestimmten Personen Schwierigkeiten, wie der von einem deutschen Gericht entschiedene Fall zur Lagerung von Akten zeigt: Eine Grundstücksgesellschaft wurde im Anschluss an ein Insolvenzverfahren Eigentümerin einer stillgelegten Krankenhausimmobilie, in welcher sich Patientenakten befanden. Die Eigentümerin wandte sich gegen die behördliche Anweisung, die Akten an einem besonders geschützten Ort einzulagern. Das Gericht urteilte schliesslich, es liege keine Bearbeitung durch die Eigentümerin vor, weil diese die Akten nicht selbst eingelagert habe und auch nicht anderweitig mit den Akten umgehe.

Damit wurde freilich nicht entschieden, ob nicht eine andere Stelle als Auftragsbearbeiterin oder Verantwortliche die Daten bearbeitete bzw. bearbeiten liess.

6 Fragen zur Reichweite des Bearbeitungsbegriffs stellen sich neuerdings auch im Zusammenhang mit KI-Systemen. Dass der Umgang mit Informationen – soweit diese personenbezogen sind

– mittels KI-Systemen eine Bearbeitung darstellt, ist eine Konsequenz des weiten Bearbeitungsbegriffs und der technologieneutralen Ausgestaltung des DSG. Weniger eindeutig kann hingegen im Einzelfall die Abgrenzung unterschiedlicher Bearbeitungsvorgänge sein, wie sie beim arbeitsteiligen Einsatz von KI-Systemen vorkommen. Diese Abgrenzung ist deswegen relevant, weil sie sich darauf auswirkt, wer für die Einhaltung des Datenschutzrechts (insbesondere die Wahrung der Betroffenenrechte) und allfällige Verstösse bei der Bearbeitung verantwortlich ist. Die EU KI-VO differenziert zur Festlegung der Pflichten zwischen unterschiedlichen Rollen der Akteure, unter anderen zwischen Anbietern und Betreibern von KI-Systemen. Im Datenschutzrecht sind derartige Abgrenzungen noch nicht etabliert. Es wäre jedoch naheliegend, auch hier jedenfalls zwischen der Erstellung eines KI-Systems (das heisst, dem damit einhergehenden Training, soweit Personendaten involviert sind) und dessen Verwendung zu trennen.

III. Benannte Bearbeitungsformen

7 Die Aufzählung der benannten Bearbeitungsformen ist beispielhaft und die Begriffe überschneiden sich zum Teil. Nur an manche der benannten Bearbeitungsformen sind spezifische Handlungsanweisungen geknüpft, so etwa an das Beschaffen, die Bekanntgabe und das Vernichten der Daten. Im Übrigen sind bei jeglicher Bearbeitung die datenschutzrechtlichen Bearbeitungsgrundsätze zu berücksichtigen. Wenn eine Tätigkeit keiner benannten Bearbeitungsform zugeordnet werden kann, ist es immer noch möglich, dass eine unbenannte Bearbeitungsform (s.o. Kapitel I) vorliegt. Die benannten Bearbeitungsformen sind daher weniger zentral für die Anwendung des DSG.

A. Beschaffen

8 Ein Beschaffen von Daten liegt vor, wenn die beschaffende Stelle gewollt Kenntnis von den Daten erhält oder die Verfügung darüber begründet.

Keine Beschaffung ist es, wenn die Daten von dem Betroffenen selbst oder von Dritten ohne Aufforderung geliefert werden und der Datenempfänger sie nicht bearbeiten will (so z.B. beim Empfang einer fehlgeleiteten E-Mail, beim Mithören eines Gesprächs etc., gleichwohl kann in einem derartigen Fall unter Umständen eine Bearbeitung vorliegen). Demgegenüber liegt eine Beschaffung von Personendaten vor, wenn die entsprechende Stelle allgemein Daten im Allgemeinen beschaffen will und in Kauf nimmt, dass dabei auch Personendaten anfallen. Die Beschaffung von Daten darf gemäss Art. 6 Abs. 3 DSG nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck erfolgen und zieht die Informationspflicht gemäss Art. 19 DSG nach sich. Beispiele typischer Beschaffungshandlungen sind etwa das Zusammentragen von Daten aus anderen Quellen, das Aufzeichnen oder Protokollieren von Informationen. Ob Daten geschützt oder frei verfügbar sind, ist unerheblich. Daher kann beispielsweise auch eine gezielte Websuche im Internet eine Beschaffung von Personendaten darstellen und zur Anwendbarkeit des DSG führen. Dabei ist eine tatsächliche Kenntnisnahme vom Inhalt der Daten nicht erforderlich, sondern es genügt, dass die Daten erstmals in den Verfügungsbereich eines Verantwortlichen gelangen. Somit qualifizieren auch automatisierte Formen der Datenerhebung wie etwa das sog. Data Scraping als Beschaffung im Sinne des DSG. Die vorstehenden Grundsätze gelten auch im Zusammenhang mit generativen KI-Systemen: Wenn Personendaten unbeabsichtigt anfallen, liegt in der Regel keine Beschaffung vor, und auch nicht, wenn bestehende Personendaten lediglich verändert werden (z.B. durch die Generierung oder Bearbeitung eines Textes). Wenn generative KI-Systeme hingegen verwendet werden, um an zusätzliche Informationen zu einer Person zu gelangen oder solche zu erfinden, wird regelmässig aus datenschutzrechtlicher Sicht eine Datenbeschaffung vorliegen.

B. Speichern

9 Der Begriff des Speicherns wurde eingeführt, um sich dem Wortlaut der einschlägigen europäischen Rechtsquellen anzunähern, darunter insbesondere

Art. 4 Nr. 2 DSGVO. Nach Art. 4 Nr. 2 DSGVO wird als Speicherung die Aufbewahrung von Daten in verkörperter Form auf einem Datenträger (Festplatte, Server, USB-Stick etc.) verstanden mit dem Ziel, die Daten zu einem späteren Zeitpunkt weiterberarbeiten zu können. Je nach Zwecksetzung kann auch die Aufbewahrung von Informationen in KI-Systemen als Speichern gelten (s.o. N. 6).

10 Die DSV nimmt im Zusammenhang mit den Anforderungen an die Datensicherheit (Art. 3 Abs. 2 lit. b und e DSV) sowie bei der Protokollierungspflicht (Art. 4 Abs. 2 und 3 DSV) auf den Begriff der Speicherung Bezug.

C. Aufbewahren

11 Aufbewahren kann beschrieben werden als die Aktivität, wodurch Daten im Bearbeitungszusammenhang verfügbar gehalten werden.

Im Gegensatz zur Archivierung (s.u. N. 15) können aufbewahrte Daten also nach wie vor verwendet werden. Die Aufbewahrung ist als Bearbeitungsform ausdrücklich dem DSG unterstellt, da auch in diesem Bearbeitungsstadium noch Persönlichkeitsverletzungen möglich sind, beispielsweise durch Mängel bei der Datensicherung. Die Aufbewahrung wird aufgegriffen in Art. 12 Abs. 2 lit. e DSG, wonach die Aufbewahrungsdauer im Bearbeitungsverzeichnis anzugeben ist, sowie im Rahmen des Auskunftsrechts gemäss Art. 25 Abs. 2 lit. d DSG.

D. Verwenden

12 Datenverwendung meint jede Aktivität mit dem Ziel, den Informationsgehalt der Daten zu nutzen (inkl. Kenntnisnahme der Daten).

Die Verwendung der Daten ist genannt in Art. 5 lit. f DSG (Profiling), Art. 21 DSV (Technische Anforderungen an die Umsetzung der Datenherausgabe) sowie in Art. 4 Abs. 5 DSV (Protokollierung). Spezifische Handlungsanweisungen für das Verwenden von Daten sehen das DSG oder die DSV jedoch nicht vor.

E. Verändern

13 Das Verändern von Daten kann beschrieben werden als eine «Aktivität, wodurch der Informationsgehalt von Personendaten verändert (inhaltlich umgestaltet) wird.»

Besondere Handlungsanweisungen – abgesehen von der Einhaltung der Bearbeitungsgrundsätze – oder Rechtsfolgen sieht das DSG nicht vor; genannt wird das Verändern der Daten in Art. 3 Abs. 3 lit. a DSV (Eingabekontrolle), sowie Art. 4 Abs. 2 und 3 DSV (Protokollierung).

F. Bekanntgeben

14 Das Bekanntgeben von Daten ist, da es sich um eine besonders heikle Bearbeitungsform handelt,

Gegenstand der gesonderten Regelung in OK-NN, Art. 5 lit. e DSG. [Kommentierung im Erscheinen]

G. Archivieren

15 Archivieren meint das Verfügbarhalten von Daten losgelöst vom Bearbeitungskontext.

Im Gegensatz zur Aufbewahrung (s.o. N. 11) werden Daten durch eine Archivierung dem bisherigen Bearbeitungskontext entnommen. Daraus folgt, dass die Intensität der Persönlichkeitsbeeinträchtigung betroffener Personen typischerweise verringert ist. Das kommt in Art. 32 Abs. 1 lit. b und Art. 41 Abs. 5 DSG zum Ausdruck, welche die Betroffenenrechte bei Bearbeitungen zu Archivzwecken einschränken. Im Übrigen nimmt Art. 38 DSG (Spezialregelung für Bundesorgane zum Angebot bestimmter Personendaten für das Bundesarchiv) auf Archivzwecke bzw. die Archivierung Bezug.

H. Löschen oder Vernichten

16 Der Begriff des Vernichtens impliziert, dass Daten unwiederbringlich zerstört werden. Bei einer physischen Speicherung der Daten auf Papier wäre das Papier zu verbrennen oder zu schreddern. Bei elektronisch gespeicherten Daten müsste der entsprechende Datenträger unbrauchbar gemacht und alle Kopien so behandelt werden, dass die Daten nicht mehr lesbar sind.

17 Der Begriff des Löschens wird typischerweise für elektronische Datenbearbeitungen verwendet und geht demgegenüber weniger weit: Für eine Löschung reicht es grundsätzlich aus, die Löschbefehle des jeweiligen Programms zu verwenden, so dass die Daten im Rahmen der üblichen Programmabläufe nicht mehr erkennbar sind und sich nur noch mit unverhältnismässigen Mitteln wiederherstellen lassen.

Personendaten sind mit anderen Worten dann gelöscht, wenn sich kein Personenbezug mehr herstellen lässt. Eine wirksame Anonymisierung ist deswegen einer Löschung gleichzusetzen bzw. stellt eine Methode der Löschung von Personendaten dar. Dabei muss – parallel zum Begriff der Personendaten – der sog. relative Ansatz gelten, was bedeutet, dass die Sichtweise derjenigen Personen oder Stellen massgeblich ist, welche Zugang zu den Daten haben. Daraus folgt aber auch, dass es im Einzelfall schwierig sein kann zu beurteilen, ob Personendaten wirksam gelöscht wurden, weil nach Ausführung von Löschbefehlen Daten in Systemen verbleiben und unter Umständen wiederhergestellt werden können. In diesen Fällen stellt sich die Frage, ob die Wiederherstellung der Daten bzw. der Zugriff auf die Daten einen unverhältnismässigen Aufwand erfordert. Dies kann nur im Einzelfall beurteilt werden, abhängig von den technischen Gegebenheiten, aber auch abhängig von dem Interesse, welches Dritte an einer Wiederherstellung des Personenbezugs haben könnten.

18 Die in den Gesetzesmaterialien deutlich angelegte Unterscheidung zwischen den Begriffen des Löschens und des Vernichtens ist im DSG nicht konsequent umgesetzt. So verlangt Art. 6 Abs. 4 DSG, dass die Daten «vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind» – richtigerweise wäre hier auch die Löschung zu nennen.

Auch wenn das Gesetz die Begrifflichkeiten nicht konsistent verwendet, ist der Klarheit halber bei der Vertragsgestaltung, etwa im Rahmen von Auftragsbearbeitungsverträgen, darauf zu achten, dass die Begriffe der Löschung und der Vernichtung nicht versehentlich vertauscht werden. Insbesondere ist zu vermeiden, dass anstelle einer Löschpflicht versehentlich die Vernichtung von Daten vereinbart wird, weil die Vernichtung im Fall einer elektronischen Datenbearbeitung möglicherweise nur schwer zu erfüllen bzw. unerwünscht wäre (s.o. N. 16).

Literaturverzeichnis

Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK DSG, Bearbeiter/-in).

Blechta Gabor/Vasella David, Basler Kommentar Datenschutzgesetz Öffentlichkeitsgesetz, 4. Aufl, Basel 2024 (zit. BSK DSG, Bearbeiter-in).

Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988, abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/en, besucht am 30.6.2023 (zit. Botschaft 1988).

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 694, abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 30.6.2023 (zit. Botschaft 2017).

Freund Bernhard, Anmerkung zu OVG Hamburg: Datenlagerung ist keine Datenverarbeitung, Zeitschrift für Datenschutz 2021, S. 283-284 (zit. Freund, ZD 2021).

Griesinger Marcel, Schweizerisches Datenschutzgesetz: Datenschutz-Compliance für Unternehmen beim Einsatz von KI-Anwendungen, CB 2024, S. 485 f. (zit. Griesinger, CB 2004, S. 485).

Kühling Jürgen/Buchner Benedikt, Kommentar Datenschutz-Grundverordnung/BDSG, 4. Aufl, München 2024 (zit. Kühling/Buchner, Bearbeiter-in).

Rosenthal David, Löschen und doch nicht löschen, Zeitschrift für Datenrecht und Informationssicherheit 2019, S. 190-197 (zit. Rosenthal, digma 2019).

Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter vom 16.11.2020 (zit. Rosenthal, Jusletter 2020).

Rosenthal David, Datenschutz beim Einsatz generativer künstlicher Intelligenz, in: Jusletter vom 6.11.2023 (zit. Rosenthal, Jusletter 6.11.2023).

Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri).

Taeger Jürgen/Gabel Detlev, DSGVO – BDSG – TTDSG, 4. Aufl., Bremen 2022 (zit. Taeger/Gabel, Bearbeiter-in).

Wolff Heinrich Amadeus/Brink Stefan/v. Ungern-Sternberg Antje, BeckOK Datenschutzrecht, 44. Edition, Stand: 1.11.2024 (zit. BeckOK Datenschutzrecht, Bearbeiter-in).