Glossar

Datenschutz-Abkürzungen, kompakt erklärt.

Vom Schweizer DSG über die DSGVO bis zu DSFA, AVV und SCC: die wichtigsten Begriffe rund um Datenschutz und IT-Sicherheit auf einer Seite.

Gesetze & Verordnungen

nDSG
Umgangssprachliche Abkürzung für das revidierte Schweizer Datenschutzgesetz, in Kraft seit 1. September 2023. Offiziell heisst das Gesetz DSG.
DSG
Offizielle Abkürzung für das „Bundesgesetz über den Datenschutz" (SR 235.1). Hauptgesetz für den Datenschutz in der Schweiz.
revDSG
Synonym zu nDSG. Betont, dass es das revidierte (neue) Datenschutzgesetz ist, das die Fassung von 1992 abgelöst hat.
DSV
Datenschutzverordnung (SR 235.11). Ausführungsrecht zum DSG mit konkreten Mindestanforderungen für TOM (Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Wiederherstellung) und für die VVZ-Ausnahme von KMUs.
KVG
Bundesgesetz über die Krankenversicherung. Schreibt eine 10-jährige Aufbewahrungspflicht für Patientenakten und Rechnungen vor und ist daher für Praxen direkt datenschutzrelevant.
DSGVO
EU-Datenschutz-Grundverordnung. Gilt für Schweizer Unternehmen, die Personendaten von EU-Bürgerinnen und -Bürgern bearbeiten, parallel zum nDSG.
StGB
Schweizerisches Strafgesetzbuch. Art. 321 StGB regelt das Berufsgeheimnis (Ärzte, Therapeuten, Anwälte, Treuhänder). Verstösse können strafrechtliche Folgen haben, zusätzlich zur nDSG-Busse.
ZGB
Schweizerisches Zivilgesetzbuch. Art. 28 ff. regelt den Persönlichkeitsschutz, auf den sich Betroffene bei Datenschutzverletzungen zivilrechtlich berufen können.

Gesetzes-Notation

Art.
Abkürzung für „Artikel". Grundeinheit eines Gesetzes (z.B. Art. 12 nDSG = Verarbeitungsverzeichnis-Pflicht).
Abs.
Abkürzung für „Absatz". Untereinheit eines Artikels (z.B. Art. 24 Abs. 1 nDSG = Meldepflicht bei Datenpannen).
lit.
Abkürzung für „litera" (lateinisch: Buchstabe). Untereinheit eines Absatzes (z.B. Art. 5 lit. c nDSG = Definition besonders schützenswerter Personendaten).
SR
Systematische Rechtssammlung. Offizielle Nummerierung Schweizer Bundesgesetze. Das DSG hat die Nummer SR 235.1, die DSV ist SR 235.11.

Dokumente & Pflichten

DSE
Datenschutzerklärung. Pflicht-Information an betroffene Personen über die Datenbearbeitung (Identität, Zweck, Empfänger, Auslandstransfer). Pflichtinhalt nach Art. 19 nDSG.
VVZ
Verarbeitungsverzeichnis. Internes Register aller Datenbearbeitungen im Unternehmen mit Zweck, Datenkategorien, Empfängern, Aufbewahrungsdauer und TOM (Art. 12 nDSG).
AVV
Auftragsverarbeitungsvertrag (auch Auftragsbearbeitungsvertrag). Vertraglicher Rahmen mit Cloud-Diensten und externen Dienstleistern, die Personendaten im Auftrag bearbeiten (Art. 9 nDSG).
DSFA
Datenschutz-Folgenabschätzung. Pflicht bei voraussichtlich hohem Risiko, etwa bei KI-Einsatz mit Klientendaten, umfangreicher Bearbeitung sensibler Daten oder systematischer Überwachung (Art. 22 nDSG).

Personen, Rollen & Behörden

EDÖB
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter. Schweizer Aufsichtsbehörde für das Datenschutzgesetz, mit Sitz in Bern.
DSB
Datenschutzberater (intern oder extern). Optionale Funktion zur internen Beratung in Datenschutzfragen. Befreit bei vorhandener Konsultation von der EDÖB-Konsultationspflicht (Art. 10 und 23 Abs. 4 nDSG).
AB
Auftragsbearbeiter. Externer Dienstleister oder Cloud-Anbieter, der Personendaten im Auftrag des Verantwortlichen bearbeitet. Benötigt einen AVV.
NCSC
Nationales Zentrum für Cybersicherheit (heute Bundesamt für Cybersicherheit, BACS). Anlaufstelle für Cybervorfälle. Der EDÖB darf Datenpannen-Meldungen mit Einverständnis an das NCSC weiterleiten.

Konzepte & Sicherheit

TOM
Technische und organisatorische Massnahmen. Sicherheitsvorkehrungen wie Verschlüsselung, Zugriffskontrolle, 2FA, Backups, Patch-Management und Mitarbeiter-Schulung (Art. 8 nDSG, DSV Art. 1-6).
SCC
Standard Contractual Clauses (Standarddatenschutzklauseln). Vertragsklauseln für rechtskonforme Datenübermittlung in Drittstaaten ohne angemessenes Schutzniveau, etwa in die USA (Art. 16 Abs. 2 lit. d nDSG).
BCR
Binding Corporate Rules. Verbindliche unternehmensinterne Datenschutzregeln, anerkannt für Konzern-interne Datentransfers in Drittstaaten als Alternative zu SCC (Art. 16 Abs. 2 lit. e nDSG).
TIA
Transfer Impact Assessment. Risikoanalyse vor einem Datentransfer in einen Drittstaat. Beurteilt, ob die Schutzgarantien (z.B. SCC) im Empfängerland tatsächlich wirksam sind.
AED
Automatisierte Einzelentscheidung. Maschinelle Entscheidung ohne menschliche Prüfung mit Rechtsfolge oder erheblicher Beeinträchtigung, etwa Bonitätsscoring oder automatische Vertragsablehnung (Art. 21 nDSG).
DSAR
Data Subject Access Request. Englische Bezeichnung für eine Auskunftsanfrage einer betroffenen Person nach Art. 25 nDSG. Muss innert 30 Tagen kostenlos beantwortet werden.
2FA
Zwei-Faktor-Authentifizierung. Login mit Passwort plus zweitem Faktor (Smartphone-App, SMS, Hardware-Token). Standardmassnahme der TOM, in der DSV faktisch erwartet.
ISO 27001
Internationaler Standard für Informationssicherheits-Managementsysteme. Eine Zertifizierung gilt als starkes Indiz für angemessene TOM bei der Auswahl von Auftragsbearbeitern.
SOC 2
US-amerikanischer Prüfbericht zu Sicherheits- und Datenschutzkontrollen von Cloud-Anbietern. Häufig bei US-Diensten als Nachweis der TOM verlangt.

Allgemein

KMU
Kleine und mittlere Unternehmen. In der Schweiz Firmen mit weniger als 250 Mitarbeitenden. Bei „geringem Risiko" von der VVZ-Pflicht ausgenommen (Art. 12 Abs. 5 nDSG, DSV Art. 24).
KI
Künstliche Intelligenz. Im Datenschutz-Kontext relevant bei Tools wie ChatGPT, Copilot oder Claude. Triggert oft DSFA-Pflicht und stellt besondere Anforderungen an Auslandstransfer und Berufsgeheimnis (Art. 5, 16, 22 nDSG).
Kostenlosen Schnellcheck starten