iusNet Digitales Recht und Datenrecht

Schulthess Logo

Personendaten

Anonymisierung und Pseudonymisierung unter der DSGVO

Fachbeitrag

Anonymisierung und Pseudonymisierung unter der DSGVO

Sind Empfänger von pseudonymisierten Personendaten nach dem Entscheid der Vorinstanz des EuGH Bearbeiter von Personendaten oder von anonymisierten Daten, wenn sie keine realistische oder legale Möglichkeit haben, an den Re-Identifizierungsschlüssel zu gelangen? Nach konstanter europäischer Rechtsprechung sind vom Verantwortlichen pseudonmysierte Daten für den Datenempfänger keine personenbezogene Daten, vorausgesetzt der Empfänger kann eine betroffene Person nicht Re-Identifizieren. Wenn der Datenempfänger nicht über zusätzliche Informationen verfügt, die eine Re-Identifizierung der betroffenen Personen ermöglichte und ihm keine rechtlichen Mittel zur Verfügung stehen, um auf solche Informationen zuzugreifen, können die übermittelten Daten als anonymisiert und somit als nicht Personendaten betrachtet werden.
Denis F. Berger
iusNet DigR 25.05.2023

Was sind Personendaten nach der DSGVO?

Fachbeitrag
DSGVO

Was sind Personendaten nach der DSGVO?

Der Europäische Gerichtshof (EuGH) befasste sich mit der Frage, ob die Fahrzeug-Identifizierungsnummer (FIN) als personenbezogenes Datum gilt. Im Fokus stand, ob Fahrzeughersteller gemäss EU-Recht die FIN unabhängigen Wirtschaftsakteuren zugänglich machen müssen. Der EuGH bestätigte, dass die FIN selbst kein personenbezogenes Datum ist, aber unter bestimmten Bedingungen, wie in der Zulassungsbescheinigung, zu einer solchen werden kann. Die Entscheidung betont, dass die Identifizierungsmöglichkeiten im Einzelfall bewertet werden müssen, und unterstützt eine differenzierte Herangehensweise zum Datenschutz. Weiterhin stellte der EuGH fest, dass die Bereitstellung der FIN an unabhängige Wirtschaftsakteure durch unionsrechtliche Bestimmungen als "rechtliche Verpflichtung" gilt, die im öffentlichen Interesse und daher legitim ist.
Denis F. Berger
iusNet DigR 30.11.2023

Anonymisierung / Pseudonymisierung – was sind die Risiken?

Fachbeitrag
DSGVO
Data Governance und Compliance

Anonymisierung / Pseudonymisierung – was sind die Risiken?

Im Zusammenhang mit Möglichkeiten der Datenbearbeitung spricht man häufig von "Pseudonymisierung". Es gibt hier aber viele Missverständnisse: Pseudonymisierung ist eine grundlegende Methode zum Mindern von Datenschutzrisiken. Die Europäische Datenschutz-Grundverordnung (DSGVO; Englisch: General Data Protection Regulation, GDPR) definiert sie sinngemäss als die Verarbeitung personenbezogener Daten in einer Weise, dass diese Daten ohne Hinzuziehen zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Der Unterschied zur "Anonymisierung" besteht darin, dass bei der Anonymisierung persönliche Identifikatoren entfernt werden, Daten aggregiert werden oder diese Daten so bearbeitet (im "DSGVO-Jargon": "verarbeitet") werden, dass sie nicht mehr einer bestimmten oder bestimmbaren Person zugeordnet werden können. Im Gegensatz zu anonymisierten Daten gelten pseudonymisierte Daten nach DSGVO als personenbezogene Daten. Darum ist zwischen diesen beiden Konzepten stets klar zu unterscheiden.
Alesch Staehelin
iusNet DigR 28.09.2023

Rechtsgrundlage für die Offenlegung von Daten zur Rechnungslegung im Bereich der beruflichen Vorsorge

Fachbeitrag
DSG

Rechtsgrundlage für die Offenlegung von Daten zur Rechnungslegung im Bereich der beruflichen Vorsorge

Art. 86a Abs. 5 lit. a und Abs. 6 BVG als Rechtsgrundlage für den Datenaustausch zwischen Pensionskassen und Dritten

Im Rahmen der Revision des DSG sind Pensionskassen gehalten, ihre Datenbearbeitungsprozesse und insbesondere auch die Rechtsgrundlage für Datenübermittlungen neu zu überprüfen. Die Pensionskassen unterstehen im Bereich der obligatorischen beruflichen Vorsorge den Datenbearbeitungsvorschriften der Bundesorgane und benötigen daher für jede Übermittlung von Personendaten eine Rechtsgrundlage, soweit sie die obligatorische berufliche Vorsorge durchführen (Art. 19 DSG und Art. 36 nDSG). Im überobligatorischen Bereich braucht es keine spezifische Rechtsgrundlage. Pensionskassen können Dritten gestützt auf Art. 86a Abs. 5 lit. a und Abs. 6 BVG sämtliche Daten als "nicht personenbezogene Daten" übermitteln, die nicht klar auf einen bestimmten Arbeitnehmer schliessen lassen und die notwendig sind, damit der Dritte im Auftrag des Arbeitgebers die zur korrekten Bilanzierung der Pensionsverpflichtungen erforderlichen aktuariellen Bewertungen vornehmen kann.
Johanna A. Moesch
Evelyn Schilter
iusNet DigR 28.02.2022

Rechte an Daten – zum Stand der Diskussion

Fachbeitrag

Rechte an Daten – zum Stand der Diskussion

In Zeiten von fortschreitender Digitalisierung, Big Data und «Internet of Things» werden Daten zunehmend als handelbares Gut verstanden. Deshalb werden mögliche Rechte an Daten und ihre Ausgestaltungsmöglichkeiten in der Wissenschaft und Politik vermehrt diskutiert. Der vorliegende Beitrag gibt einen Überblick über den Stand der Diskussion in der Schweiz.
sic! 11/2018

Blockchain: Eine Technologie für effektiven Datenschutz?

Fachbeitrag

Blockchain: Eine Technologie für effektiven Datenschutz?

Die Autoren zeigen auf, dass Blockchain-Technologie und Datenschutz sich nicht gegenseitig ausschliessen, ja sogar, dass Blockchains so gebaut werden können, dass sie effektiven Datenschutz ermöglichen. Dazu werden die zentralen Elemente der Blockchain-Technologie und die Prinzipien des Datenschutzes zusammen dargestellt und Lösungsansätze aufgezeigt, die sich aus den Datenschutzgesetzen selbst oder aus technologischen Entwicklungen ergeben.
sic! 9/2018

Personendaten ohne Identifizierbarkeit?

Fachbeitrag

Personendaten ohne Identifizierbarkeit?

Das Zauberwort «Singularisierung» ist seit der DSGVO in aller Munde. Ändert sich nun der Begriff des Personendatums?

Am Begriff des Personendatums hat sich auch mit der DSGVO nichts geändert. Es gilt nach wie vor der «relative» Ansatz, der darauf abstellt, ob derjenige, der Zugang zu bestimmten Daten hat, die davon betroffenen Personen identifizieren kann oder nicht. Das gilt auch in der EU, wo dies der EuGH mit seinem Entscheid betreffend IP-Adressen jüngst bestätigt hat. Daran ändert auch der Begriff der «Singularisierung» nichts. Ein Datensatz singularisiert eine Person, wenn er wie ein Fingerabdruck so speziell ist, dass er sich nur auf sie beziehen kann, auch wenn nicht bekannt ist, um wen es geht. Wie etwa bei genetischen Daten. Die DSGVO erwähnt die Singularisierung zwar als Indiz für eine Identifizierbarkeit, aber sie alleine genügt eben nicht. Hierzu stellt der Beitrag den «Referenzdaten-Test» vor: Demnach liegen Personendaten vor, wenn zwischen den fraglichen Daten und dem Bearbeiter bereits vorliegenden oder zugänglichen Datensätzen einer einzelnen, realen Person eine Übereinstimmung hergestellt werden kann. Genetische Daten und IP-Adressen sind daher nie per se Personendaten.
digma 4/2017

Der Begriff der Personendaten

Fachbeitrag

Der Begriff der Personendaten

Herausforderungen an die Rechtsetzung und Rechtsprechung im kommunikationstechnologischen Kontext

Körperscanner, Data Mining, Google Street View usw. sind Schlagworte, die nicht nur das öffentliche Interesse wecken, sondern auch das Datenschutzrecht herausfordern. Kann der herkömmliche Begriff der Personendaten mit den rasanten kommunikationstechnologischen Entwicklungen noch Schritt halten? Die Autoren kommen zum Schluss, dass die Offenheit und Dynamik des Begriffs keinen Raum für grundsätzliche Zweifel am Konzept der Personendaten lassen. Datenschutzrechtliche Fragen stellen sich dennoch, etwa wenn Personendaten im grossen Stil, systematisch und grenzüberschreitend gesammelt, gespeichert und veröffentlicht werden oder wenn unkontrolliert und unbemerkt bei unzähligen Handlungen des täglichen Lebens Datenspuren hinterlassen werden. Die grosse Herausforderung für das Datenschutzrecht der Zukunft wird deshalb sein, das grund- und menschenrechtliche informationelle Selbstbestimmungsrecht jedes einzelnen Menschen zu stärken und zu wahren.
digma 4/2011