Eine Kommentierung von Hannes Meyle
Herausgegeben von Thomas Steiner / Anne-Sophie Morand / Daniel Hürlimann
2. Kapitel: Allgemeine Bestimmungen
1. Abschnitt: Begriffe und Grundsätze
Art. 5 Begriffe
d. Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;
I. Allgemeines
1 Der Begriff des Bearbeitens ist sehr weit zu verstehen und umfasst jeglichen Umgang mit Personendaten – «grob gesprochen: alles, was man mit Personendaten tut».
2 Eine vollständige terminologische Angleichung an die DSGVO erfolgte aus «Praktikabilitätsgründen» nicht.
3 Ein zentrales Prinzip des DSG ist der technologieneutrale Charakter.
II. Bearbeiten als Anwendungsvoraussetzung des DSG
4 Der Bearbeitungsbegriff ist von zentraler Bedeutung, da das DSG nur anwendbar ist, wenn – durch irgendeine Stelle, die am Umgang mit Personendaten beteiligt ist – Personendaten bearbeitet werden. Welche Pflichten sich dann ergeben, hängt davon ab, ob die jeweilige Stelle (gemeinsam) Verantwortliche oder Auftragsbearbeiterin ist. Die Bearbeitung setzt eine Handlung voraus, die bezweckt und zur Folge hat, dass etwas mit den Daten geschieht,
5 Mitunter bereitet die Konturierung des Bearbeitungsbegriffs bzw. die Zuordnung von Datenbearbeitungen zu bestimmten Personen Schwierigkeiten, wie der von einem deutschen Gericht entschiedene Fall zur Lagerung von Akten zeigt: Eine Grundstücksgesellschaft wurde im Anschluss an ein Insolvenzverfahren Eigentümerin einer stillgelegten Krankenhausimmobilie, in welcher sich Patientenakten befanden. Die Eigentümerin wandte sich gegen die behördliche Anweisung, die Akten an einem besonders geschützten Ort einzulagern. Das Gericht urteilte schliesslich, es liege keine Bearbeitung durch die Eigentümerin vor, weil diese die Akten nicht selbst eingelagert habe und auch nicht anderweitig mit den Akten umgehe.
6 Fragen zur Reichweite des Bearbeitungsbegriffs stellen sich neuerdings auch im Zusammenhang mit KI-Systemen. Dass der Umgang mit Informationen – soweit diese personenbezogen sind
III. Benannte Bearbeitungsformen
7 Die Aufzählung der benannten Bearbeitungsformen ist beispielhaft und die Begriffe überschneiden sich zum Teil. Nur an manche der benannten Bearbeitungsformen sind spezifische Handlungsanweisungen geknüpft, so etwa an das Beschaffen, die Bekanntgabe und das Vernichten der Daten. Im Übrigen sind bei jeglicher Bearbeitung die datenschutzrechtlichen Bearbeitungsgrundsätze zu berücksichtigen. Wenn eine Tätigkeit keiner benannten Bearbeitungsform zugeordnet werden kann, ist es immer noch möglich, dass eine unbenannte Bearbeitungsform (s.o. Kapitel I) vorliegt. Die benannten Bearbeitungsformen sind daher weniger zentral für die Anwendung des DSG.
A. Beschaffen
8 Ein Beschaffen von Daten liegt vor, wenn die beschaffende Stelle gewollt Kenntnis von den Daten erhält oder die Verfügung darüber begründet.
B. Speichern
9 Der Begriff des Speicherns wurde eingeführt, um sich dem Wortlaut der einschlägigen europäischen Rechtsquellen anzunähern, darunter insbesondere
10 Die DSV nimmt im Zusammenhang mit den Anforderungen an die Datensicherheit (Art. 3 Abs. 2 lit. b und e DSV) sowie bei der Protokollierungspflicht (Art. 4 Abs. 2 und 3 DSV) auf den Begriff der Speicherung Bezug.
C. Aufbewahren
11 Aufbewahren kann beschrieben werden als die Aktivität, wodurch Daten im Bearbeitungszusammenhang verfügbar gehalten werden.
D. Verwenden
12 Datenverwendung meint jede Aktivität mit dem Ziel, den Informationsgehalt der Daten zu nutzen (inkl. Kenntnisnahme der Daten).
E. Verändern
13 Das Verändern von Daten kann beschrieben werden als eine «Aktivität, wodurch der Informationsgehalt von Personendaten verändert (inhaltlich umgestaltet) wird.»
F. Bekanntgeben
14 Das Bekanntgeben von Daten ist, da es sich um eine besonders heikle Bearbeitungsform handelt,
G. Archivieren
15 Archivieren meint das Verfügbarhalten von Daten losgelöst vom Bearbeitungskontext.
H. Löschen oder Vernichten
16 Der Begriff des Vernichtens impliziert, dass Daten unwiederbringlich zerstört werden. Bei einer physischen Speicherung der Daten auf Papier wäre das Papier zu verbrennen oder zu schreddern. Bei elektronisch gespeicherten Daten müsste der entsprechende Datenträger unbrauchbar gemacht und alle Kopien so behandelt werden, dass die Daten nicht mehr lesbar sind.
17 Der Begriff des Löschens wird typischerweise für elektronische Datenbearbeitungen verwendet und geht demgegenüber weniger weit: Für eine Löschung reicht es grundsätzlich aus, die Löschbefehle des jeweiligen Programms zu verwenden, so dass die Daten im Rahmen der üblichen Programmabläufe nicht mehr erkennbar sind und sich nur noch mit unverhältnismässigen Mitteln wiederherstellen lassen.
18 Die in den Gesetzesmaterialien deutlich angelegte Unterscheidung zwischen den Begriffen des Löschens und des Vernichtens ist im DSG nicht konsequent umgesetzt. So verlangt Art. 6 Abs. 4 DSG, dass die Daten «vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind» – richtigerweise wäre hier auch die Löschung zu nennen.
Literaturverzeichnis
Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK DSG, Bearbeiter/-in).
Blechta Gabor/Vasella David, Basler Kommentar Datenschutzgesetz Öffentlichkeitsgesetz, 4. Aufl, Basel 2024 (zit. BSK DSG, Bearbeiter-in).
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988, abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/en, besucht am 30.6.2023 (zit. Botschaft 1988).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 694, abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 30.6.2023 (zit. Botschaft 2017).
Freund Bernhard, Anmerkung zu OVG Hamburg: Datenlagerung ist keine Datenverarbeitung, Zeitschrift für Datenschutz 2021, S. 283-284 (zit. Freund, ZD 2021).
Griesinger Marcel, Schweizerisches Datenschutzgesetz: Datenschutz-Compliance für Unternehmen beim Einsatz von KI-Anwendungen, CB 2024, S. 485 f. (zit. Griesinger, CB 2004, S. 485).
Kühling Jürgen/Buchner Benedikt, Kommentar Datenschutz-Grundverordnung/BDSG, 4. Aufl, München 2024 (zit. Kühling/Buchner, Bearbeiter-in).
Rosenthal David, Löschen und doch nicht löschen, Zeitschrift für Datenrecht und Informationssicherheit 2019, S. 190-197 (zit. Rosenthal, digma 2019).
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter vom 16.11.2020 (zit. Rosenthal, Jusletter 2020).
Rosenthal David, Datenschutz beim Einsatz generativer künstlicher Intelligenz, in: Jusletter vom 6.11.2023 (zit. Rosenthal, Jusletter 6.11.2023).
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri).
Taeger Jürgen/Gabel Detlev, DSGVO – BDSG – TTDSG, 4. Aufl., Bremen 2022 (zit. Taeger/Gabel, Bearbeiter-in).
Wolff Heinrich Amadeus/Brink Stefan/v. Ungern-Sternberg Antje, BeckOK Datenschutzrecht, 44. Edition, Stand: 1.11.2024 (zit. BeckOK Datenschutzrecht, Bearbeiter-in).
Fussnoten
- SHK DSG, Rudin, Art. 5 N. 34.
- Botschaft 2017, 7021.
- Botschaft 2017, 7021.
- So wurde z.B. in Art. 6 DSV (ex Art. 21 VDSG) der Begriff der Datensammlung bewusst durch den Begriff der Bearbeitungen ersetzt, s. Erläuternder Bericht zur Datenschutzverordnung vom 31.8.2022, S. 29.
- Botschaft 2017, 7021.
- Vgl. zum Ganzen bspw. Taeger/Gabel, Arning/Rothkegel, Art. 4 N. 56 ff.
- Botschaft 2017, 7021.
- Botschaft 2017, 6971.
- S. bereits Rosenthal/Jöhri, Art. 3 N. 66.
- BSK DSG, Blechta/Dal Molin/Wesiak-Schmidt, Art. 5 N. 99; BeckOK Datenschutzrecht, Schild, Art. 4 N. 29.
- So auch SHK DSG, Rudin, Art. 5 N. 34.
- Taeger/Gabel, Arning/Rothkegel, Art. 4 N. 62.
- Rosenthal/Jöhri, Art. 3 N. 71.
- So das Beispiel in Rosenthal/Jöhri, Art. 3 N. 70.
- S. bereits Rosenthal/Jöhri, Art. 3 N. 67.
- Rosenthal/Jöhri, Art. 3 lit. e N. 69: «Die Gedanken sind […] frei – aber nur die blossen Gedanken.» Sobald die Personendaten für die Aussenwelt zugänglich gemacht werden (z.B. Eintippen in einen Computer, Aufschreiben auf ein Blatt Papier, oder Mitteilung an eine andere Person), oder wenn sich entsprechende Gedanken auf das Verhalten gegenüber einer Person auswirken, liegt wiederum eine Bearbeitung vor.
- BGE 147 III 139 (150 f.), E. 3.4.3 ff. mit Verweis auf Rosenthal/Jöhri, ebd. Das Urteil erging zur Auslegung des altrechtlichen Begriffs der Datensammlung, die Erwägungen sind aber auf den Begriff der Bearbeitung (s.o. N. 1) bzw. das Auskunftsrecht nach dem aktuellen DSG übertragbar. Das BGE stellte darauf ab, dass nur über solche Informationen Auskunft zu erteilen sei, die objektiv erschliessbar sind und auf die gezielt zugegriffen werden kann. Dies sei bei Informationen, die «im Gehirn unter den gewöhnlichen Erinnerungen einer Person gespeichert» sind, nicht der Fall. Den «gewöhnlichen Erinnerungen» stellte das BGE den – wohl theoretischen – Fall gegenüber, dass Informationen «auf Geheiss des Inhabers der Datensammlung auswendig gelernt wurden» (E. 3.4.6).
- Oberverwaltungsgericht Hamburg, Beschluss vom 15.10.2020 – 5 Bs 152/20 (BeckRS 2020, 30248) zu Art. 4 Nr. 2 DSGVO. Freund, ZD 2021, 283 ff., stimmt dem Beschluss im Ergebnis zu, kritisiert aber, dass das Gericht eine willensgetragene menschliche Aktivität zur Notwendigkeit einer Datenbearbeitung erhoben hatte. BeckOK Datenschutzrecht, Schild, Art. 4 N. 42a bezeichnet das Urteil als «rechtsirrig» und ist der Ansicht, der Gebäudeeigentümer nehme hier eine Lagerung der Dokumente und damit eine Bearbeitung vor.
- In dem zitierten Fall käme beispielsweise eine datenschutzrechtliche Verantwortlichkeit des Insolvenzverwalters oder der Gesellschafter der Grundstücksgesellschaft in Betracht, vgl. Freund, ZD 2021, 283 f. Davon abgesehen ist es für die Einstufung als Verantwortlicher nicht erforderlich, dass die entsprechende Stelle die Daten selbst bearbeitet, vgl. DSGVO Erw. 74 S. 1: «Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, […]».
- Dabei sollte nicht vorschnell angenommen werden, dass ein KI-System anonym sei. Vgl. dazu etwa die Datenschutzbehörde Hamburg, welche in einem Diskussionspapier die Position vertrat, in einem LLM würden keine Personendaten gespeichert (https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/240715_Diskussionspapier_HmbBfDI_KI_Modelle.pdf). Demgegenüber ist nach Ansicht des European Data Protection Board die anonyme Qualität von KI-Systemen nur unter engen Voraussetzungen anzunehmen (s. Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, abrufbar unter https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en. S. dazu auch den Überblick auf https://datenrecht.ch/mutige-hamburger-thesen-zum-personenbezug-in-large-language-models/.
- Vgl. etwa die Mitteilung des EDÖB vom 9.11.2023 (https://www.edoeb.admin.ch/de/09112023-geltendes-dsg-ist-auf-ki-anwendbar). S.a. zur parallelen Diskussion in Deutschland die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6.5.2024 (https://www.datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf), Rz. 1 ff.; zum Ganzen auch Rosenthal, Jusletter 6.11.2023, Rz. 53.
- Rosenthal, Jusletter 6.11.2023, Rz. 10.
- Art. 3 Nr. 3 und Nr. 4 KI-VO. Wenn eine Stelle mehrere Rollen innehat, gelten die Vorgaben kumulativ (KI-VO Erw. 83).
- S. zum Ganzen Rosenthal, Jusletter 6.11.2023, Rz. 12; ders. unter anderem mit weitergehenden Differenzierungen https://www.vischer.com/know-how/blog/teil-19-sprachmodelle-mit-und-ohne-personenbezogene-daten/.
- SHK DSG, Rudin, Art. 5 N. 36.
- So zu Art. 4 Nr. 2 DSGVO BeckOK Datenschutzrecht, Schild, Art. 4 N. 36.
- So BSK DSG, Blechta/Dal Molin/Wesiak-Schmidt, Art. 5 N. 9 mit Verweis auf die Urteile BVGer, 30.3.2011, A-7040/2009, E. 8.3 (Google Street View) sowie BGE 138 II 346 E. 9.1. In den genannten Urteilen wird die Frage, ob Personendaten beschafft werden, jedoch nicht diskutiert, sondern vorausgesetzt.
- BSK DSG, Blechta/Dal Molin/Wesiak-Schmidt N. 104.
- So zum Erheben i.S.d. Art. 4 Nr. 2 DSGVO Kühling/Buchner, Herbst, Art. 4 N. 21.
- Griesinger, CB 2004, S. 485, 486. S.a. die Gemeinsame Erklärung zu Data Scraping und Datenschutz vom 24.8.2023, welche der EDÖB mit neun weiteren nationalen Datenschutzbehörden verfasst hat (https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2024/11/05/c98bb64a-79e4-4e95-8633-8e952fd8c4f6.pdf).
- Rosenthal, Jusletter 6.11.2023, Rz. 58.
- Rosenthal, Jusletter 6.11.2023, Rz. 58.
- Der Begriff des Speicherns wird ausserdem in Art. 2 Bst. b E-SEV 108 und in Art. 3 Nr. 2 der Richtlinie (EU) 2016/680 vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr genannt.
- Botschaft 2017, 7021.
- Taeger/Gabel, Arning/Rothkegel, Art. 4 N. 76.
- SHK DSG, Rudin, Art. 5 N. 36.
- So bereits Botschaft 1988, 447.
- So SHK DSG, Rudin, Art. 5 N. 39.
- SHK DSG, Rudin, Art. 5 N. 40.
- In Botschaft 1988, 447 wird die Bekanntgabe als «die wohl heikelste Bearbeitungsphase» bezeichnet.
- SHK DSG, Rudin, Art. 5 N. 40.
- BSK DSG, Blechta/Dal Molin/Wesiak-Schmidt, Art. 5 N. 109.
- Botschaft 2017, 7021.
- BSK DSG, Blechta/Dal Molin/Wesiak-Schmidt, Art. 5 N. 110. Vgl. zum Ganzen in der DSGVO bspw. Taeger/Gabel, Arning/Rothkegel, Art. 4 N. 98 ff.
- So auch die Entscheidung der österreichischen Datenschutzbehörde v. 5.12.2018, DSB-D123.270/0009-DSB/2018.
- Rosenthal, digma 2019, S. 192.
- Vgl. zum Ganzen Rosenthal, digma 2019, S. 190 ff.
- Auch Rosenthal, digma 2019, S. 191 ordnet dies als redaktionelles Versehen ein.
Kommentar drucken
DOI (Digital Object Identifier)
Creative Commons Lizenz
Onlinekommentar.ch, Kommentierung zu Art. 5 lit. d DSG ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.