Kontakt
Newsletter

Bereit für das neue Datenschutzgesetz?

Im August 2022 hat der Bundesrat entschieden, dass das neue Datenschutzgesetz (revDSG) zusammen mit der neuen Datenschutzverordnung (DSV) per 1. September 2023 in Kraft treten wird. Was heißt das nun für Ihre NPO? Dieser Artikel verschafft Ihnen einen Überblick über die wichtigsten Punkte, welche umgesetzt werden müssen. Zudem vermitteln wir Ihnen in unserem Webinar „Umsetzung des neuen Datenschutzgesetz“ anhand von Praxisbeispielen  Umsetzungsmöglichkeiten in Verbände und NPOs. Für weitere Informationen und Anmeldung hier lang.

 

  • Betrifft es meine Organisation?

Das neue Datenschutzgesetz gilt für alle NPOs in der Schweiz, die Personendaten – digital oder manuell – bearbeiten[i].

Personendaten[ii] sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören z. B. Namen, Emailadressen von Mitgliedern, Daten von Mitarbeitenden, Fotos mit Personen oder personenbezogenen Daten aber auch Metadaten, die u. a. bei der Nutzung von Emails, Webseiten oder Videokonferenzen anfallen. 

  • Wieso ist es für meine NPO wichtig?

Bei Verletzung des revDSG kann die verantwortliche natürliche Person neu mit einer Busse bis zu CHF 250‘000 bestraft werden. Das bedeutet, dass die Mitarbeitenden, die die Datenschutzverletzung begangen haben, haftbar sind und das Bussgeld bezahlen müssen und nicht die Organisation, bei der sie angestellt sind.

Weiter können Datenschutzverletzungen – wie bisher – zivilrechtliche Forderungen, Reputationsschäden sowie unternehmerische Nachteile (z. B. Streichung von Fördergeldern, Mitgliederrückgang etc.) nach sich ziehen.

  • Was ist zu tun?

Das revidierte Datenschutzgesetz verfolgt einen risikobasierten Ansatz. Das heisst konkret, dass die Massnahmen, die ein Verband oder eine Stiftung umsetzen muss, von der Sensibilität der bearbeiteten Personendaten sowie von der Größe der Organisation abhängen. Für Vereine, Genossenschaften und Stiftungen, die keine besonders schützenswerten Daten[iii] bearbeiten[i], soll dadurch der Verwaltungsaufwand in einem überschaubaren Rahmen bleiben.

Wichtig ist es, in einem ersten Schritt zu prüfen, welche der Massnahmen in Ihrer NPO zwingend umgesetzt werden müssen oder sinnvoll sind. Nachfolgend finden Sie eine Übersicht der Anforderungen und Risiken mit weiteren Ausführungen im Nachgang:  

Bild: Anforderungen und Risiken des revDSG

1. Notwendige Datenschutz-Governance sicherstellen

– Schulung aller Mitarbeitenden, Ehrenamtlichen und freiwillig Engagierten: Die Datenschutzvorschriften, die in Ihrer NPO geltenden Datenschutzprozesse, Sicherheitsmassnahmen und die für den Datenschutz zuständigen Ansprechpersonen müssen allen bekannt sein.

– Meldung von Verletzungen der Datensicherheit: Jede Organisation muss einen Prozess einführen um sicherzustellen, dass Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen können, der Aufsichtsstelle für Datenschutz (EDÖB [iv]) gemeldet werden.

– Kann eine Personendatenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen, muss eine Datenschutz-Folgeabschätzung durchgeführt werden. Die Datenschutz-Folgeabschätzung ist eine Dokumentation der geplanten Bearbeitung und eine Selbstbewertung der mit der Datenbearbeitung verbundenen Risiken sowie der Massnahmen zur Risikominimierung. Jede NPO muss einen Prozess einführen, der die Prüfung der Notwendigkeit und – wo nötig – die Vornahme von Datenschutz-Folgeabschätzungen sicherstellt. Ein hohes Risiko kann beispielsweise vorliegen, wenn Zahlungsverbindungsdaten, die einen Missbrauch ermöglichen, oder besonders schützenswerte Personendaten[iii] bearbeitet werden.

Liegt ein hohes Risiko vor, ist die Aufsichtsstelle für Datenschutz (EDÖB[iv]) zu konsultieren, sofern die NPO keine/n Datenschutzberater/in ernannt und konsultiert hat.

Für grosse NPOs oder NPOs mit heiklen Datenbearbeitungen:

– Werden im Rahmen von automatisierten Bearbeitungen besonders schützenswerte Personendaten[iii] in grossem Umfang bearbeitet1 oder Profiling[v] mit hohem Risiko[vi] durchgeführt, ist ein Bearbeitungsreglement zu erstellen. Beispiele dafür: Ein Verein definiert das Persönlichkeitsprofil der idealen Geschäftsführerin oder des idealen Geschäftsführers und lässt dann computerbasiert beurteilen, welche Bewerber:innen diesem am besten entsprechen. Eine Organisation sammelt automatisiert öffentliche Social-Media-Daten zur Erstellung von Profilen potentieller Spender:innen.

– Die Ernennung und Meldung eines Datenschutzberaters/einer Datenschutzberaterin ist freiwillig. Sie ist sinnvoll, wenn Datenbearbeitungen vorgenommen werden, die ein hohes Risiko darstellen, da die Organisation bei Einbezug des Datenschutzberatenden von der sonst vorgeschriebenen Konsultationspflicht der Aufsichtsstelle für Datenschutz (EDÖB[iv]) entbunden wird. Unabhängig davon, ob die Organisation eine Person meldet, macht es häufig auch bei kleineren und mittelgroßen NPOs Sinn, jemanden zu bestimmen, der sich mit der Umsetzung der Datenschutzvorschriften vertieft befasst und für Schulung und Beratung der Ehrenamtlichen, Freiwilligen und angestellten Mitarbeitenden zuständig ist. Dies kann natürlich auch durch externe Unterstützung erfolgen. 

– Wenn Ihre NPO 250 oder mehr Mitarbeitende beschäftigt oder besonders schützenswerte Personendaten[iii]  in grossem Umfang bearbeitet[i] oder Profiling[vi] mit hohem Risiko[vii] durchführt, sind Sie verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Bearbeitungstätigkeiten sind z. B. Mitgliederverwaltung, Rechnungswesen, Organisation von Veranstaltungen etc.. Das Verzeichnis beinhaltet u. a. Bearbeitungszweck, Kategorie der bearbeiteten Daten, an wen und wohin die Daten gegebenenfalls weitergegeben werden. Die Erstellung eines solchen Verzeichnisses kann auch ohne gesetzliche Verpflichtung hilfreich sein, um sich einen Überblick zu verschaffen, wo welche Daten bearbeitet werden. Jede NPO muss wissen, wo sie welche Personendaten[ii] wie bearbeitet, um beispielsweise ein Auskunftsbegehren einer betroffenen Person rechtzeitig und vollständig beantworten zu können.

2. Grundsätze der Datenbearbeitung einhalten

Die Bearbeitung von Personendaten[ii] ist nach Schweizer Recht zulässig, soweit sie nach den Grundsätzen des Gesetzes, wie Verhältnismässigkeit, Zweckgebundenheit etc. vorgenommen wird (siehe im Bild Box «Grundsätze der Datenbearbeitung»).

3. Wo nötig Rechtfertigungsgrundlage und Einwilligungsmanagement sicherstellen

Eine Rechtfertigung, wie z. B. eine gesetzliche oder vertragliche Grundlage oder eine Einwilligung, ist nur dort notwendig, wo:

– die Grundsätze der Datenbearbeitung nicht eingehalten werden

– die betroffene Person der Bearbeitung ausdrücklich widerspricht oder

– besonders schützenswerte Personendaten[iii] wie u. a. Gesundheitsdaten, Daten über religiöse, politische oder gewerkschaftliche Ansichten etc. an Dritte bekannt gegeben werden.

Ist eine Einwilligung erforderlich, muss sie informiert und freiwillig erfolgen. Bei besonders schützenswerten Daten[iii] und Profiling[v] mit hohem Risiko[viI] hat die Einwilligung zudem ausdrücklich zu erfolgen. Ausdrücklich bedeutet durch ein aktives zustimmendes Verhalten, wie zum Beispiel durch Unterschreiben oder durch Anklicken eines Buttons auf einem online Formular.

4. Informationspflichten wahrnehmen

Personen, von denen Daten bearbeitet werden, sind über Identität und Kontaktdaten der verantwortlichen NPO, den Bearbeitungszweck sowie Dritte, an die Daten bekannt gegeben werden, zu informieren.

Vereine, Genossenschaften und Stiftungen müssen sicherstellen, dass überall dort, wo Personendaten[ii] erhoben werden, z. B. auf Webseiten, auf Social-Media-Kanälen, bei Veranstaltungen und Webinaren, in Bewerbungsprozessen etc. Datenschutzinformationen – oder ein Verweis darauf – vorhanden sind.

Bei bestehenden Datenschutzerklärungen ist zu überprüfen, ob alle gesetzlich vorgeschriebenen Angaben darin enthalten sind.

5. Angemessene Datensicherheit gewährleisten und Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sicherstellen

NPOs müssen angemessene technische und organisatorische Massnahmen vornehmen, um Personendaten[ii] dem Risiko entsprechend zu schützen.

Massnahmen zur Sicherheit sind beispielsweise die Einrichtung von Berechtigungskonzepten, dass nur Mitarbeitende, Ehrenamtliche und Freiwillige auf die Daten, die sie zur Erfüllung ihrer Aufgaben benötigen, zugreifen können (Need to Know Prinzip), Passwortschutz mit angemessener Passwortstärke, Firewalls oder regelmässige Softwareupdates. Auch organisatorische Massnahmen wie Vorgaben zum Umgang mit Personendaten im Home Office oder auf Reisen oder Vorschriften zum ordnungsgemässen Vernichten von Datenträgern können sinnvoll und geboten sein, um die Personendatenbearbeitung datenschutzkonform vornehmen zu können.

6.Vertragsverhältnisse datenschutzkonform gestalten

Werden externe Dienstleister, z. B. IT-Provider, ausgelagerte Personal- oder Mitgliederverwaltung oder (online) Übersetzungsdienste etc. genutzt, an die Personendaten[ii] weitergegeben werden, muss eine Vereinbarung über die Auftragsbearbeitung abgeschlossen werden. Diese Vereinbarung muss regeln, dass

– Daten nur so bearbeitet werden, wie die NPO selbst dies tun dürfte

– die Datensicherheit gewährleistet ist und

– Unterbeauftragte nur mit Genehmigung der NPO vom Dienstleister eingesetzt werden.

Werden Personendaten in ein Land ohne angemessenen Datenschutz bekannt gegeben, sind darüber hinaus zusätzliche Massnahmen erforderlich, z. B. der Abschluss von Vertragsbedingungen, die von den Datenschutzaufsichtsbehörden geprüft wurden (sog. Standartvertragsklauseln). Länder mit angemessenem Datenschutz sind u. a. die Länder des EWR und UK. Als Land ohne gleichwertiges Datenschutzniveau gilt z. B. die USA.

Alle Vertragsverhältnisse – auch mündlich oder online abgeschlossene – sind entsprechend zu überprüfen. Zu denken ist insbesondere auch an Vertragsbedingungen von Onlinetools und Apps, z.B. für die Mitgliederverwaltung oder Terminkoordination oder von Cloud-Speichern, wie Google Drive, Dropbox etc., in welche Personendaten eingegeben werden.

7. Prozesse zur Gewährung der Betroffenenrechte sicherstellen

Jede NPO, die Personendaten bearbeitet, muss sicherstellen, dass sie den betroffenen Personen Auskunft darüber erteilen kann, welche Daten bearbeitet werden. Die Auskunft hat in der Regel schriftlich, kostenlos und innert 30 Tagen zu erfolgen. Weiter muss der Datenbearbeitung widersprochen werden können. Daten müssen auf Verlangen berichtigt, gelöscht oder zur Weiterbearbeitung herausgegeben werden können.

Um die Betroffenenrechte gewähren zu können, ist es notwendig, dass die Organisation sich eine Übersicht verschafft, wo welche Personendaten[ii] in der NPO vorhanden sind. Es müssen Prozesse definiert und kommuniziert werden, damit Auskunfts- und andere Ersuche an die intern richtige Stelle gelangen, wo sie beantwortet und umgesetzt werden können.

 

Wer bisher DSG-konform war, kann vieles beibehalten. Entsprechend wichtig ist es, sich zuerst einen Überblick zu verschaffen und zu analysieren, ob und wo Handlungsbedarf besteht. Dazu kann die Vornahme einer Gap-Analyse hilfreich sein. Je nach Stand Ihrer Organisation kann die Umsetzung der Anforderungen des neuen Datenschutzes einiges an Zeit und Ressourcen beanspruchen. Um per 1. September 2023 bereit zu sein, sollten Sie zeitnahe mit Ihrer Gap-Analyse und gegebenenfalls nötigen Umsetzungsmaßnahmen beginnen. Gerne stehen wir Ihnen dabei zur Seite. Sie können uns dafür jederzeit kontaktieren. 

Annette Vogt Widmer, lic. iur., Rechtsanwältin (Schweiz)

 

 

[i] bearbeiten, Art. 5 lit. d revDSG

[ii] Personendaten, Art. 5 lit. a revDSG

[iii] besonders schützenswerte Personendaten, Art. 5 lit. c revDSG

[iv] Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

[v] Profiling, Art. 5 lit. f revDSG

[vi] Profiling mit hohem Risiko, Art. 5 lit. g revDSG

Holen Sie sich Expertenwissen!

7 praxiserprobte Kooperationsformen
für Ihre Organisation

Jetzt PDF herunterladen:
Über neue Zusammenarbeitsformen erfahren
und von fundierten Erkenntnissen profitieren.

Weitere Beiträge

Der Mitgliederstrukturbericht: Ein Schlüssel in der Analyse von Mitgliederdaten

In der heutigen dynamischen und sich ständig verändernden Welt stehen viele Organisationen vor der Herausforderung, ihre Mitgliederbasis kontinuierlich zu analysieren und zu verstehen.

5 Tipps für die Praxis, damit die Mobilisierung für das Ehrenamt besser gelingt 

Vor einigen Wochen haben wir Teilnehmende eines Workshops zu ihren Herausforderungen mit dem „Ehrenamt“ befragt. Die Antworten waren insgesamt nicht überraschend, denn in wissenschaftlichen Untersuchen werden ähnliche Aussagen getroffen. Spannend ist es aber dann doch zu sehen, wie unterschiedlich die Gegebenheiten in den verschiedenen Verbänden sind.

Damit mit der Kollegin nicht auch ihr Knowhow geht – Knowhow-Transfer 1/2

Es ist für eine Organisation ein Gewinn, ihr Knowhow systematisch zu pflegen. Er ist noch grösser, ist sie sich dabei bewusst, dass es nicht nur um Wissen, sondern auch um personengebundenes Knowhow geht, sowie um dessen Transfer, wenn jemand geht.

Nachfolgeplanung in Vorständen und Stiftungsräten – eine strategische Frage

Planen wir die Erneuerung der strategischen Führungsorgane strategisch und systematisch oder überlassen wir dies dem Zufall bzw. persönlichen Entscheidungen Einzelner? Darf eine NPO diese Frage überhaupt aufwerfen oder vergrault sie damit die verbleibenden Ehrenamtlichen?

Wirkungsmessung – Herausforderungen in der Praxis 

Rückblick auf einen Austausch anlässlich einer Schulung von 35 Organisationen aus dem Gesundheits- und Sozialwesen.

visuelle Zusammenfassung B'VM Fachgespräch 2024
Wie weiter nach der Krise? 

Am diesjährigen B’VM Fachgespräch vom 29. August 2024 in Bern, trafen sich Führungskräfte von verschiedensten NPO, um gemeinsam über praktische Lösungsansätze in Krisenzeiten zu diskutieren.

Diversität und Inklusion

Jenseits von Diversitywashing und Mission Strategiearbeit in Vereinen – neun Grundfähigkeiten als Gelingensvoraussetzung. Keine NGO, die sich nicht auf die Fahne geschrieben hätte - oder ins Personalreglement -, dass ihr Arbeitsumfeld inklusiv und die Diversität darin hoch sein soll.

Wir bauen Brücken zwischen der Wissenschaft und der Praxis  

Die B’VM im Interview mit Philipp Erpf, Direktor und Verantwortlicher für die Weiterbildung beim VMI

Job
Team Hände
Präsidium im Ehrenamt

Der Verein ALS Schweiz ist eine schweizweit agierende gemeinnützige Organisation für Menschen mit Amyotropher Lateralsklerose (ALS). Infolge des Ablaufes der Amtszeit unseres Präsidenten suchen wir per Mai 2025 ein Präsidium im Ehrenamt (ca. 200 Std. / Jahr) Fühlen Sie sich angesprochen?

Mitgliederbefragungen als strategisches Element

Die Bedürfnisse der Mitglieder zu kennen ist wichtig, denn sie bilden das Fundament für das Profil bzw. die Positionierung Ihrer Organisation. Mitgliederbefragungen machen diese Bedürfnisse sichtbar, wenn die richtigen Fragen richtig gestellt werden.

Wir sind gerne für Sie da

Nutzen Sie das Kontaktformular, schreiben Sie uns eine E-Mail oder rufen Sie einfach kurz an.

Schweiz

Deutschland

Österreich

Kontaktformular

Newsletter