Datenschutz-Glossar & FAQ

Personendaten sind sämtliche Informationen die sich auf eine bestimmte oder mittels der Informationen bestimmbare Person beziehen (vgl. §3 Abs. 3 IDG-BS).
Darunter fallen z.B. Name, Geburtsdatum, Mail-Adresse, Telefon- und Mobilnummer, AHV-Nr., Matrikelnummer, Bankdaten, IP-Adresse (mit Ausnahmen), Geschlecht, Fotografie oder auch besonders charakterisierende Merkmale (z.B. einzige Frau im Team XY).

Von den „gewöhnlichen“ Personendaten sind die „besonderen“ Personendaten zu unterscheiden (vgl. §3 Abs. 4 IDG-BS). Diese weisen aufgrund ihrer Aussagekraft, der Art ihrer Bearbeitung und/oder weil mit ihnen ein Profil der betroffenen Person erstellt werden kann, ein erhöhtes Risiko für eine Verletzung der Grundrechte der betroffenen Personen auf. Darunter fallen z.B. Daten von Kindern und anderen vulnerablen Personen (z.B. ethnische Minderheiten) oder auch Angaben über die Gesundheit einer Person.

Sachdaten sind sämtliche Informationen, die keinen Personenbezug aufweisen (z.B. Geldbeträge, Temperaturen). Aufgrund dieser Tatsache unterliegen sie nicht den datenschutzrechtlichen Bestimmungen.

Es gilt jedoch zu beachten, dass die Abgrenzung zwischen Personen- und Sachdaten fliessend ist: Durch zusätzliche Informationen oder technische Bearbeitung können Sachdaten (und auch anonymisierte Daten) wieder zu Personendaten werden – womit die datenschutzrechtlichen Bestimmungen wieder Anwendung finden würden.

Von „anonym erhobenen“ Daten spricht man, wenn Daten so erhoben werden, dass zu keinem Zeitpunkt ein Bezug zwischen dem Datensubjekt, also der Person über die irgendwelche Informationen erhoben werden, und den Daten bestehen. Von einer vollkommen anonymen Datenerhebung kann allerdings nur mit Vorsicht ausgegangen werden, da gerade bei digitalen Umfragen in der Regel dennoch die Kontaktdaten oder mindestens die IP-Nummer angegeben wird. Anonyme Daten sind reine Sachdaten und unterstehen nicht dem Datenschutzgesetz. Unter dem Begriff der Anonymisierung wird dagegen der Vorgang der irreversiblen Entfernung des Personenbezugs von Personendaten verstanden.

„Anonymisierte“-Daten unterliegen ab dem Zeitpunkt des irreversiblen Entfernens des Personenbezugs nicht mehr den datenschutzrechtlichen Bestimmungen.

Im Unterschied zur Anonymisierung, findet bei der Pseudonymisierung keine irreversible Entfernung statt, sondern lediglich ein Ersetzen des Personenbezugs durch einen bestimmten Schlüssel bzw. Code.  Eine Re-Personifizierung der Informationen bleibt durch den Schlüssel bzw. Code möglich. Aufgrund dieser Tatsache, gelten die datenschutzrechtlichen Bestimmungen unverändert. Des Weiteren gilt es auch die Bedingungen zu regeln, unter denen eine Person wieder identifiziert werden darf und wie der Schlüssel bzw. Code aufbewahrt wird (Schlüsselmanagement).

Die Abgrenzung zwischen den Begriffspaaren Personendaten und Sachdaten sowie anonymisierten und pseudonymisierten Daten ist fliessend: Durch zusätzliche Informationen oder technische Bearbeitung können Sachdaten bzw. anonymisierte Daten (wieder) zu Personendaten werden.

Der Begriff der „Datenbearbeitung“ ist sehr weit gefasst und erfasst demnach alles, was mit Personendaten gemacht werden kann – unabhängig von der Person, Technik, Dauer oder dem Medium (z.B. das Erheben, Umarbeiten, Speichern, Bekannt- bzw. Weitergeben; Archivieren und/oder Vernichten).

Studierende, Forschende und/oder Mitarbeitende der Universität Basel dürfen Personendaten grundsätzlich nur dann bearbeiten, wenn dafür eine gesetzliche Grundlage (d.h. ein Gesetz oder eine Verordnung) besteht.

Für die Bearbeitung von „besonderen“ Personendaten (z.B. Daten über die Gesundheit einer Person) reicht eine Verordnung nicht als gesetzliche Grundlage, hier ist stets eine eine direkte Ermächtigung oder Verpflichtung in einem Fach- bzw. Spezialgesetz notwendig (z.B. im Humanforschungsgesetz, HFG oder Krankenversicherungsgesetz, KVG).  

Von besonderer Bedeutung sind bei der Bearbeitung von Personendaten die datenschutzrechtlichen Grundsätze: Rechtmässigkeit, Transparenz, Zweckbindung, Verhältnismässigkeit und Richtigkeit der Daten. Ausführungwn dazu finden sich im Datenschutz-Glossar zur Webseite der Datenschutzbeauftragten.

Die Universität Basel ist für die Bearbeitung von personenbezogenen Daten in Lehre, Forschung und Verwaltung verantwortlich (sog. „Verantwortliche“ oder „Controller“). Universitätsexterne Dritte dürfen dazu grundsätzlich beigezogen werden (sog. „Auftragsdatenbearbeiter“ oder „Processor“); die Universität bleibt aber für die Datenbearbeitung verantwortlich. Der Umgang mit den Daten sollte deshalb grundsätzlich per Vertrag abgesichert werden (sog. Auftragsdatenverarbeitungsvertrag, AVV). Dessen Kernelement ist die Weisungsgebundenheit des Auftragsdatenbearbeiters; Darüber hinaus dürfen die Daten nur so bearbeitet werden, wie dies auch dem Verantwortlichen erlaubt ist.

Eine Auftragsdatenbearbeitung kann z.B. angenommen werden, wenn ein externer IT-Dienstleister eine Webseite hostet, Daten in einer Cloud gespeichert werden oder ein Umfrage- oder Transkriptions-Tool verwendet wird oder externe Dritte Zugriffsrechte auf einen Datensatz erhalten.

Auftragsdatenbearbeiter können demnach sowohl natürliche Personen als auch Unternehmen oder Behörden sein, die im Auftrag des Verantwortlichen (z.B. Student*in, Forschende*r, Mitarbeiter*in der Universität Basel) Personendaten bearbeitet.

In einigen Fällen binden diese Auftragsdatenbearbeiter wiederum sog. Unterauftragsdatenbearbeiter ein – ob und inwiefern dies erlaubt ist, hängt vom Vertrag zwischen dem Verantwortlichen und dem Auftragsdatenbearbeiter ab.

Wenn Personendaten im Kontext der Universität bearbeitet werden (z.B. durch Mitarbeitende, Forschende, Studierende), obliegt die datenschutzrechtliche Verantwortung grundsätzlich immer der Universität als öffentlich-rechtliche Anstalt des Kantons. Sie hat deshalb sicherzustellen, dass die Bearbeitung sowohl organisatorisch als auch technisch datenschutzkonform gestaltet ist. Mitarbeitende, Forschende und Studierende tragen dabei eine Mitverantwortung und haben sich insbesondere an die Vorgaben der Universität zu halten (z.B. bei der Nutzung der IT-Infrastruktur).

Der Grundsatz der Gesetzmässigkeit (Legalitätsprinzip) besagt, dass sämtliches Verwaltungshandeln an Gesetz und Recht gebunden sein muss. Demnach hat grundsätzlich jede Bearbeitung von Personendaten durch die Universität Basel auf einer gesetzlichen Grundlage zu beruhen, welche dazu ermächtigt oder verpflichtet (vgl. § 9 IDG-BS).

Zu Beginn jeder Bearbeitung von Personendaten ist ein konkreter Zweck zu definieren. Dieser muss gegenüber den betroffenen Personen transparent kommuniziert werden (vgl. Grundsatz der Transparenz). Die bearbeiteten Daten dürfen anschliessend nur zu diesem definierten Zweck bearbeitet werden (vgl. § 12 IDG-BS).

Im Falle einer anderweitigen, nicht zu Beginn kommunizierten Verwendung (z.B. Nachnutzung für ein neues Projekt) muss dafür erneut die Einwilligung der betroffenen Personen eingeholt werden.

Nach dem Grundsatz der Transparenz muss jede Datenbearbeitung für die betroffenen Personen erkennbar sein – d.h. die Person ist über die „W-Fragen“ transparent zu informieren (Wer? Wie? Wofür? Wie lange? Etc.). Zudem hat das öffentliche Organ den Umgang mit Daten so zu gestalten, dass es rasch, umfassend und sachlich informieren kann (vgl. § 4 Abs. 1 IDG-BS).

Der Grundsatz der Verhältnismässigkeit sieht vor, dass nur geeignete und nur so viele Personendaten wie erforderlich bearbeitet werden, um den vorab definierten Zweck zu erreichen (vgl. § 9 Abs. 3 IDG-BS). Dabei müssen sowohl das verfolgte Ziel als auch die verwendeten Mittel in einem vernünftigen Verhältnis zueinanderstehen und die Rechte der betroffenen Personen gewahrt werden.

Personendaten müssen richtig und soweit es der Verwendungszweck erfordert, vollständig sein (vgl. § 11 IDG-BS); darüber hat sich die verantwortliche Person aktiv zu vergewissern. Unrichtige Daten sind zu korrigieren oder andernfalls zu löschen.

Wer eine Webseite betreibt, sammelt und bearbeitet Personendaten der Webseitenbesucher/innen. Daher braucht eine Webseite immer eine Datenschutzerklärung, die u.a. darüber Auskunft gibt, welche Personendaten, zu welchem Zweck, wie lange und von wem bearbeitet (z.B. Hosting-Provider, Webanalyse-Tools) werden; welche Massnahmen die Organisation ergreift, um die Privatsphäre der Nutzenden zu wahren; welche Rechte den betroffenen Personen zustehen.

Je komplexer die Datenerhebung, desto ausführlicher sollte auch die Datenschutzerklärung ausfallen. In jedem Fall muss sie individuell für die jeweilige Webseite erstellt werden.

Beachten Sie hierzu, dass für die jeweilige Webseite u.U. auch spezifische Nutzungsbestimmungen zu erstellen sind.

Die Universität Basel ist eine öffentlich-rechtliche Anstalt des Kantons. Für Studierende, Forschende und/oder Mitarbeitende der Universität gelten deshalb die Bestimmungen des Informations- und Datenschutzgesetz des Kantons Basel-Stadt, kurz IDG. Dieses gilt auch für andere kantonale bzw. kommunale Behörden und Institutionen sowie für Private, die im Auftrag des Kantons Daten bearbeiten.

Je nach Fall müssen aber auch anderweitige Regelungen aus anderen Datenschutzgesetzen berücksichtigt werden – z.B. aus dem Datenschutzgesetz des Bundes (DSG) oder bei einem Auslandbezug jene der Europäischen Datenschutzgrundverordnung (EU-DSGVO).

Des Weiteren gilt es universitätsinterne Weisungen und Reglemente sowie andere Erlasse zu beachten (z.B. über die Nutzung von Informatikmittel oder den Umgang mit (Forschungs-)daten).

Bei privater Forschung kommt das Datenschutzgesetz des Bundes (DSG) zur Anwendung und die Verantwortung trägt die private, datenverarbeitende Person.

In Bezug auf den Datenschutz spricht das Gesetz den betroffenen Personen verschiedenste Rechte zu. Vom Zugangsrecht zu (eigenen) Informationen und (Personen-)Daten (vgl. § 25 f. IDG-BS), über den Schutz der eigenen Personendaten (vgl. § 27 IDG-BS) bis hin zur Sperrung der Bekanntgabe (§ 28 IDG-BS).

Neu hinzu kommt die Möglichkeit einer aufsichtsrechtlichen Anzeige an die/den Datenschutzbeauftragte/n (§ 28a nIDG-BS).