Contact
Newsletter

Bereit für das neue Datenschutzgesetz?

Im August 2022 hat der Bundesrat entschieden, dass das neue Datenschutzgesetz (revDSG) zusammen mit der neuen Datenschutzverordnung (DSV) per 1. September 2023 in Kraft treten wird. Was heißt das nun für Ihre NPO? Dieser Artikel verschafft Ihnen einen Überblick über die wichtigsten Punkte, welche umgesetzt werden müssen. Zudem vermitteln wir Ihnen in unserem Webinar „Umsetzung des neuen Datenschutzgesetz“ anhand von Praxisbeispielen  Umsetzungsmöglichkeiten in Verbände und NPOs. Für weitere Informationen und Anmeldung hier lang.

 

  • Betrifft es meine Organisation?

Das neue Datenschutzgesetz gilt für alle NPOs in der Schweiz, die Personendaten – digital oder manuell – bearbeiten[i].

Personendaten[ii] sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören z. B. Namen, Emailadressen von Mitgliedern, Daten von Mitarbeitenden, Fotos mit Personen oder personenbezogenen Daten aber auch Metadaten, die u. a. bei der Nutzung von Emails, Webseiten oder Videokonferenzen anfallen. 

  • Wieso ist es für meine NPO wichtig?

Bei Verletzung des revDSG kann die verantwortliche natürliche Person neu mit einer Busse bis zu CHF 250‘000 bestraft werden. Das bedeutet, dass die Mitarbeitenden, die die Datenschutzverletzung begangen haben, haftbar sind und das Bussgeld bezahlen müssen und nicht die Organisation, bei der sie angestellt sind.

Weiter können Datenschutzverletzungen – wie bisher – zivilrechtliche Forderungen, Reputationsschäden sowie unternehmerische Nachteile (z. B. Streichung von Fördergeldern, Mitgliederrückgang etc.) nach sich ziehen.

  • Was ist zu tun?

Das revidierte Datenschutzgesetz verfolgt einen risikobasierten Ansatz. Das heisst konkret, dass die Massnahmen, die ein Verband oder eine Stiftung umsetzen muss, von der Sensibilität der bearbeiteten Personendaten sowie von der Größe der Organisation abhängen. Für Vereine, Genossenschaften und Stiftungen, die keine besonders schützenswerten Daten[iii] bearbeiten[i], soll dadurch der Verwaltungsaufwand in einem überschaubaren Rahmen bleiben.

Wichtig ist es, in einem ersten Schritt zu prüfen, welche der Massnahmen in Ihrer NPO zwingend umgesetzt werden müssen oder sinnvoll sind. Nachfolgend finden Sie eine Übersicht der Anforderungen und Risiken mit weiteren Ausführungen im Nachgang:  

Bild: Anforderungen und Risiken des revDSG

1. Notwendige Datenschutz-Governance sicherstellen

– Schulung aller Mitarbeitenden, Ehrenamtlichen und freiwillig Engagierten: Die Datenschutzvorschriften, die in Ihrer NPO geltenden Datenschutzprozesse, Sicherheitsmassnahmen und die für den Datenschutz zuständigen Ansprechpersonen müssen allen bekannt sein.

– Meldung von Verletzungen der Datensicherheit: Jede Organisation muss einen Prozess einführen um sicherzustellen, dass Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen können, der Aufsichtsstelle für Datenschutz (EDÖB [iv]) gemeldet werden.

– Kann eine Personendatenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen, muss eine Datenschutz-Folgeabschätzung durchgeführt werden. Die Datenschutz-Folgeabschätzung ist eine Dokumentation der geplanten Bearbeitung und eine Selbstbewertung der mit der Datenbearbeitung verbundenen Risiken sowie der Massnahmen zur Risikominimierung. Jede NPO muss einen Prozess einführen, der die Prüfung der Notwendigkeit und – wo nötig – die Vornahme von Datenschutz-Folgeabschätzungen sicherstellt. Ein hohes Risiko kann beispielsweise vorliegen, wenn Zahlungsverbindungsdaten, die einen Missbrauch ermöglichen, oder besonders schützenswerte Personendaten[iii] bearbeitet werden.

Liegt ein hohes Risiko vor, ist die Aufsichtsstelle für Datenschutz (EDÖB[iv]) zu konsultieren, sofern die NPO keine/n Datenschutzberater/in ernannt und konsultiert hat.

Für grosse NPOs oder NPOs mit heiklen Datenbearbeitungen:

– Werden im Rahmen von automatisierten Bearbeitungen besonders schützenswerte Personendaten[iii] in grossem Umfang bearbeitet1 oder Profiling[v] mit hohem Risiko[vi] durchgeführt, ist ein Bearbeitungsreglement zu erstellen. Beispiele dafür: Ein Verein definiert das Persönlichkeitsprofil der idealen Geschäftsführerin oder des idealen Geschäftsführers und lässt dann computerbasiert beurteilen, welche Bewerber:innen diesem am besten entsprechen. Eine Organisation sammelt automatisiert öffentliche Social-Media-Daten zur Erstellung von Profilen potentieller Spender:innen.

– Die Ernennung und Meldung eines Datenschutzberaters/einer Datenschutzberaterin ist freiwillig. Sie ist sinnvoll, wenn Datenbearbeitungen vorgenommen werden, die ein hohes Risiko darstellen, da die Organisation bei Einbezug des Datenschutzberatenden von der sonst vorgeschriebenen Konsultationspflicht der Aufsichtsstelle für Datenschutz (EDÖB[iv]) entbunden wird. Unabhängig davon, ob die Organisation eine Person meldet, macht es häufig auch bei kleineren und mittelgroßen NPOs Sinn, jemanden zu bestimmen, der sich mit der Umsetzung der Datenschutzvorschriften vertieft befasst und für Schulung und Beratung der Ehrenamtlichen, Freiwilligen und angestellten Mitarbeitenden zuständig ist. Dies kann natürlich auch durch externe Unterstützung erfolgen. 

– Wenn Ihre NPO 250 oder mehr Mitarbeitende beschäftigt oder besonders schützenswerte Personendaten[iii]  in grossem Umfang bearbeitet[i] oder Profiling[vi] mit hohem Risiko[vii] durchführt, sind Sie verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Bearbeitungstätigkeiten sind z. B. Mitgliederverwaltung, Rechnungswesen, Organisation von Veranstaltungen etc.. Das Verzeichnis beinhaltet u. a. Bearbeitungszweck, Kategorie der bearbeiteten Daten, an wen und wohin die Daten gegebenenfalls weitergegeben werden. Die Erstellung eines solchen Verzeichnisses kann auch ohne gesetzliche Verpflichtung hilfreich sein, um sich einen Überblick zu verschaffen, wo welche Daten bearbeitet werden. Jede NPO muss wissen, wo sie welche Personendaten[ii] wie bearbeitet, um beispielsweise ein Auskunftsbegehren einer betroffenen Person rechtzeitig und vollständig beantworten zu können.

2. Grundsätze der Datenbearbeitung einhalten

Die Bearbeitung von Personendaten[ii] ist nach Schweizer Recht zulässig, soweit sie nach den Grundsätzen des Gesetzes, wie Verhältnismässigkeit, Zweckgebundenheit etc. vorgenommen wird (siehe im Bild Box «Grundsätze der Datenbearbeitung»).

3. Wo nötig Rechtfertigungsgrundlage und Einwilligungsmanagement sicherstellen

Eine Rechtfertigung, wie z. B. eine gesetzliche oder vertragliche Grundlage oder eine Einwilligung, ist nur dort notwendig, wo:

– die Grundsätze der Datenbearbeitung nicht eingehalten werden

– die betroffene Person der Bearbeitung ausdrücklich widerspricht oder

– besonders schützenswerte Personendaten[iii] wie u. a. Gesundheitsdaten, Daten über religiöse, politische oder gewerkschaftliche Ansichten etc. an Dritte bekannt gegeben werden.

Ist eine Einwilligung erforderlich, muss sie informiert und freiwillig erfolgen. Bei besonders schützenswerten Daten[iii] und Profiling[v] mit hohem Risiko[viI] hat die Einwilligung zudem ausdrücklich zu erfolgen. Ausdrücklich bedeutet durch ein aktives zustimmendes Verhalten, wie zum Beispiel durch Unterschreiben oder durch Anklicken eines Buttons auf einem online Formular.

4. Informationspflichten wahrnehmen

Personen, von denen Daten bearbeitet werden, sind über Identität und Kontaktdaten der verantwortlichen NPO, den Bearbeitungszweck sowie Dritte, an die Daten bekannt gegeben werden, zu informieren.

Vereine, Genossenschaften und Stiftungen müssen sicherstellen, dass überall dort, wo Personendaten[ii] erhoben werden, z. B. auf Webseiten, auf Social-Media-Kanälen, bei Veranstaltungen und Webinaren, in Bewerbungsprozessen etc. Datenschutzinformationen – oder ein Verweis darauf – vorhanden sind.

Bei bestehenden Datenschutzerklärungen ist zu überprüfen, ob alle gesetzlich vorgeschriebenen Angaben darin enthalten sind.

5. Angemessene Datensicherheit gewährleisten und Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sicherstellen

NPOs müssen angemessene technische und organisatorische Massnahmen vornehmen, um Personendaten[ii] dem Risiko entsprechend zu schützen.

Massnahmen zur Sicherheit sind beispielsweise die Einrichtung von Berechtigungskonzepten, dass nur Mitarbeitende, Ehrenamtliche und Freiwillige auf die Daten, die sie zur Erfüllung ihrer Aufgaben benötigen, zugreifen können (Need to Know Prinzip), Passwortschutz mit angemessener Passwortstärke, Firewalls oder regelmässige Softwareupdates. Auch organisatorische Massnahmen wie Vorgaben zum Umgang mit Personendaten im Home Office oder auf Reisen oder Vorschriften zum ordnungsgemässen Vernichten von Datenträgern können sinnvoll und geboten sein, um die Personendatenbearbeitung datenschutzkonform vornehmen zu können.

6.Vertragsverhältnisse datenschutzkonform gestalten

Werden externe Dienstleister, z. B. IT-Provider, ausgelagerte Personal- oder Mitgliederverwaltung oder (online) Übersetzungsdienste etc. genutzt, an die Personendaten[ii] weitergegeben werden, muss eine Vereinbarung über die Auftragsbearbeitung abgeschlossen werden. Diese Vereinbarung muss regeln, dass

– Daten nur so bearbeitet werden, wie die NPO selbst dies tun dürfte

– die Datensicherheit gewährleistet ist und

– Unterbeauftragte nur mit Genehmigung der NPO vom Dienstleister eingesetzt werden.

Werden Personendaten in ein Land ohne angemessenen Datenschutz bekannt gegeben, sind darüber hinaus zusätzliche Massnahmen erforderlich, z. B. der Abschluss von Vertragsbedingungen, die von den Datenschutzaufsichtsbehörden geprüft wurden (sog. Standartvertragsklauseln). Länder mit angemessenem Datenschutz sind u. a. die Länder des EWR und UK. Als Land ohne gleichwertiges Datenschutzniveau gilt z. B. die USA.

Alle Vertragsverhältnisse – auch mündlich oder online abgeschlossene – sind entsprechend zu überprüfen. Zu denken ist insbesondere auch an Vertragsbedingungen von Onlinetools und Apps, z.B. für die Mitgliederverwaltung oder Terminkoordination oder von Cloud-Speichern, wie Google Drive, Dropbox etc., in welche Personendaten eingegeben werden.

7. Prozesse zur Gewährung der Betroffenenrechte sicherstellen

Jede NPO, die Personendaten bearbeitet, muss sicherstellen, dass sie den betroffenen Personen Auskunft darüber erteilen kann, welche Daten bearbeitet werden. Die Auskunft hat in der Regel schriftlich, kostenlos und innert 30 Tagen zu erfolgen. Weiter muss der Datenbearbeitung widersprochen werden können. Daten müssen auf Verlangen berichtigt, gelöscht oder zur Weiterbearbeitung herausgegeben werden können.

Um die Betroffenenrechte gewähren zu können, ist es notwendig, dass die Organisation sich eine Übersicht verschafft, wo welche Personendaten[ii] in der NPO vorhanden sind. Es müssen Prozesse definiert und kommuniziert werden, damit Auskunfts- und andere Ersuche an die intern richtige Stelle gelangen, wo sie beantwortet und umgesetzt werden können.

 

Wer bisher DSG-konform war, kann vieles beibehalten. Entsprechend wichtig ist es, sich zuerst einen Überblick zu verschaffen und zu analysieren, ob und wo Handlungsbedarf besteht. Dazu kann die Vornahme einer Gap-Analyse hilfreich sein. Je nach Stand Ihrer Organisation kann die Umsetzung der Anforderungen des neuen Datenschutzes einiges an Zeit und Ressourcen beanspruchen. Um per 1. September 2023 bereit zu sein, sollten Sie zeitnahe mit Ihrer Gap-Analyse und gegebenenfalls nötigen Umsetzungsmaßnahmen beginnen. Gerne stehen wir Ihnen dabei zur Seite. Sie können uns dafür jederzeit kontaktieren. 

Annette Vogt Widmer, lic. iur., Rechtsanwältin (Schweiz)

 

 

[i] bearbeiten, Art. 5 lit. d revDSG

[ii] Personendaten, Art. 5 lit. a revDSG

[iii] besonders schützenswerte Personendaten, Art. 5 lit. c revDSG

[iv] Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

[v] Profiling, Art. 5 lit. f revDSG

[vi] Profiling mit hohem Risiko, Art. 5 lit. g revDSG

Holen Sie sich Expertenwissen!

7 praxiserprobte Kooperationsformen
für Ihre Organisation

Jetzt PDF herunterladen:
Über neue Zusammenarbeitsformen erfahren
und von fundierten Erkenntnissen profitieren.

Weitere Beiträge

Diversity und Geschlechtergerechtigkeit – Welche Rolle spielen Frauennetzwerke und was können sie bewirken?

Frauennetzwerke sind ein wichtiger und nicht zu unterschätzender Bestandteil feministischer Gleichstellungsarbeit. Sie bieten ihren Mitgliedern Vorteile wie Erfahrungsaustausch, Unterstützung bei der Karriereentwicklung und Förderung weiblicher Führungskräfte. Sie haben aber auch ihre Grenzen.

Neue Mitglieder gewinnen – Umsetzungsrahmen aus der Praxis

Die Gewinnung neuer Mitglieder kann eine Herausforderung darstellen, aber es gibt zahlreiche effektive Ansätze. Dieser Artikel beleuchtet die Erstellung eines Umsetzungsrahmens, der auf Mitgliederbefragungen und Analysen basiert und zeigt verschiedene (mögliche) Maßnahmen aus der Praxis auf.

Das Freiburger Management-Modell (FMM) auf dem heissen Stuhl

Die B'VM im Interview mit Philipp Erpf, Direktor und Verantwortlicher für die Weiterbildung beim VMI. In diesem Interview setzen wir das FMM auf den heissen Stuhl und hinterfragen es kritisch.

Save the Date: Netzwerkanlass des VMI und der B’VM

K.I. und digitale Tools im Einsatz bei NPO – Chancen und Risiken. Reservieren Sie sich jetzt den Termin für unseren spannenden Netzwerkanlass im Januar 25! 15. Januar 2025 von 17.15 bis 18.45 Uhr im Hotel Bern

Oft ist ein Rad schon erfunden – Knowhow-Transfer 2/2

Der erste Teil dieser Kolumne handelte davon, wie das Wissen und Können einer Person mit Knowhow in der Organisation erhalten bleiben kann, wenn sie die Organisation verlässt (siehe Knowhow-Transfer 1/2).

Dr. Karin Stuhlmann: 15 Jahre Leidenschaft und Expertise bei B’VM

Im Dezember 2009 wechselte die promovierte Psychologin Karin Stuhlmann aus der universitären Lehre und Forschung mit ihrem Wissen und mit ihrer Erfahrung im Verbands- und NPO-Management in die Beratungspraxis zu B’VM. Wir sind ihr sehr dankbar für diesen Schritt und dürfen Karin Stuhlmann zu inzwischen 15 erfolgreichen Berufsjahren in unserem Team gratulieren.

Arbeiten in Verbänden: it’s people’s business!

Persönlichkeitsprofile im Verband: unabhängig davon auf welcher Position Mitarbeitende in Verbänden arbeiten, die Arbeit in Verbänden erfordert besondere Skills - vor allem Soft Skills.

Der Mitgliederstrukturbericht: Ein Schlüssel in der Analyse von Mitgliederdaten

In der heutigen dynamischen und sich ständig verändernden Welt stehen viele Organisationen vor der Herausforderung, ihre Mitgliederbasis kontinuierlich zu analysieren und zu verstehen.

5 Tipps für die Praxis, damit die Mobilisierung für das Ehrenamt besser gelingt 

Vor einigen Wochen haben wir Teilnehmende eines Workshops zu ihren Herausforderungen mit dem „Ehrenamt“ befragt. Die Antworten waren insgesamt nicht überraschend, denn in wissenschaftlichen Untersuchen werden ähnliche Aussagen getroffen. Spannend ist es aber dann doch zu sehen, wie unterschiedlich die Gegebenheiten in den verschiedenen Verbänden sind.

Damit mit der Kollegin nicht auch ihr Knowhow geht – Knowhow-Transfer 1/2

Es ist für eine Organisation ein Gewinn, ihr Knowhow systematisch zu pflegen. Er ist noch grösser, ist sie sich dabei bewusst, dass es nicht nur um Wissen, sondern auch um personengebundenes Knowhow geht, sowie um dessen Transfer, wenn jemand geht.

Nous sommes à votre disposition

Utilisez le formulaire de contact, écrivez-nous un e-mail ou appelez-nous tout simplement.

Suisse

Allemagne

Autriche

Formulaire de contact

Newsletter