Das Schweizer Datenschutzgesetz (DSG) unterscheidet zwischen Personendaten und besonders schützenswerten Personendaten. Wir erklären, warum diese Unterscheidung von zentraler Bedeutung ist, wie Sie die Datenkategorie richtig erkennen und Datenschutzverstösse vermeiden.
Begriff der Personendaten
Der Begriff der Personendaten ist in Art. 5 lit. a DSG definiert. Demnach sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Eine Person gilt als bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann, beispielsweise durch Namen, Identifikationsnummern oder Online-Kennungen.
Zu den Personendaten zählen unter anderem Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Kunden- oder Personalnummern sowie IP-Adressen. Auch Kombinationen einzelner Informationen können dazu führen, dass eine Person bestimmbar wird.
Personendaten sind somit weit gefasst und umfassen einen grossen Teil der Informationen, die im geschäftlichen Alltag verarbeitet werden.
Besonders schützenswerte Personendaten
Besonders schützenswerte Personendaten sind in Art. 5 lit. c DSG abschliessend aufgelistet. Es handelt sich um Daten, deren Bearbeitung ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt. Dazu zählen insbesondere Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheitsdaten, genetische Daten, biometrische Daten, die eine natürliche Person eindeutig identifizieren, Daten über die sexuelle Orientierung sowie Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen. Ebenfalls als besonders schützenswert gelten Daten über Massnahmen der sozialen Hilfe.
Aufgrund ihrer Sensibilität unterliegen diese Daten strengeren gesetzlichen Schutzvorgaben.
Zentrale Unterschiede zwischen den Datenkategorien
Der wesentliche Unterschied zwischen Personendaten und besonders schützenswerten Personendaten liegt im Schutzniveau. Während Personendaten grundsätzlich bearbeitet werden dürfen, sofern die allgemeinen Bearbeitungsgrundsätze eingehalten werden, erfordert die Bearbeitung besonders schützenswerter Personendaten erhöhte Sorgfalt.
Insbesondere steigt das Risiko einer Persönlichkeitsverletzung bei unzulässiger Bearbeitung oder ungenügender Datensicherheit. Entsprechend höher sind die Anforderungen an Transparenz, Datensicherheit und interne Kontrollmechanismen.
Rechtliche Folgen für die Datenbearbeitung
Die Bearbeitung besonders schützenswerter Personendaten hat konkrete rechtliche Konsequenzen. Gemäss Art. 22 DSG kann eine Datenschutz-Folgenabschätzung erforderlich sein, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Dies ist bei der Bearbeitung besonders schützenswerter Personendaten häufig der Fall, da bereits deren Offenlegung oder Verlust erhebliche Auswirkungen auf die Persönlichkeit oder die Grundrechte der betroffenen Personen haben kann.
Zudem gelten erhöhte Anforderungen an die Datensicherheit nach Art. 8 DSG in Verbindung mit der Datenschutzverordnung (DSV). Verantwortliche müssen geeignete technische und organisatorische Massnahmen treffen, um diese Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.
Unserer Erfahrung nach wird in der Praxis häufig unterschätzt, dass sich das erforderliche Schutzniveau nicht abstrakt, sondern risikobasiert nach Art, Umfang, Umständen und Zweck der Bearbeitung bestimmt. Gerade bei besonders schützenswerten Personendaten sind die Anforderungen regelmässig erhöht, da bereits einzelne Sicherheitslücken, etwa unzureichend beschränkte Zugriffsrechte oder fehlende Verschlüsselung, ein erhebliches Schadenspotenzial begründen können.
Auch im Rahmen der Informationspflichten nach Art. 19 DSG ist transparent darzulegen, wenn besonders schützenswerte Personendaten bearbeitet werden.
Bedeutung für Unternehmen und Organisationen
Für Unternehmen ist die korrekte Einordnung der bearbeiteten Daten essenziell. Eine falsche Qualifikation kann dazu führen, dass notwendige Schutzmassnahmen unterlassen werden oder gesetzliche Pflichten nicht erfüllt sind. Besonders bei HR-Daten, Gesundheitsdaten, Kundendaten im Gesundheitswesen sowie bei biometrischen Systemen ist erhöhte Aufmerksamkeit geboten.
Unternehmen sollten deshalb ihre Datenbearbeitungen überprüfen, Datenkategorien klar definieren und Mitarbeiter entsprechend schulen. Erfahrungsgemäss verstehen Mitarbeiter die gesetzlichen Anforderungen deutlich besser, wenn diese nicht nur abstrakt bleiben, sondern anhand konkreter Beispiele aus der Praxis nachvollziehbar gemacht werden. So können sie erkennen, wo besondere Risiken bestehen und welche Schutzmassnahmen in der jeweiligen Situation zu beachten sind.
Unterstützt durch regelmässige, funktionsspezifische Schulungen entwickelt sich dadurch ein gemeinsames Verständnis für den sicheren Umgang mit besonders schützenswerten Personendaten, und das Risiko von Datenschutzverletzungen lässt sich nachhaltig reduzieren.
Fazit
Die Unterscheidung zwischen Personendaten und besonders schützenswerten Personendaten ist ein zentraler Bestandteil des Datenschutzrechts nach dem DSG. Während Personendaten den Regelfall darstellen, unterliegt die Bearbeitung besonders schützenswerter Personendaten strengeren Anforderungen und erhöhten Schutzpflichten.
Unternehmen und Organisationen sind gut beraten, ihre Datenbearbeitungen sorgfältig zu analysieren und geeignete Massnahmen zu implementieren, um den gesetzlichen Vorgaben gerecht zu werden und Datenschutzrisiken zu minimieren.