Am 1. September 2023 tritt das revidierte Schweizer Datenschutzgesetz (revDSG) in Kraft. Spätestens jetzt müssen sich Verbände und Vereine mit dem Thema auseinandersetzen. Folgend die wichtigsten Informationen sowie Verweise auf nützliche Vorlagen und Antworten auf häufig gestellte Fragen.
Ausgangslage
Das revidierte Schweizer Datenschutzgesetz (revDSG) verpflichtet dazu, notwendige Massnahmen zu ergreifen, um die Sicherheit von Personendaten zu gewährleisten und einen Datenmissbrauch möglichst zu verhindern. Bei Nichtbeachtung drohen empfindliche Strafen.
Was ist Datenschutz?
Bereits heute gibt es Datenschutzbestimmungen, die auch für Verbände und Vereine gelten. Der Datenschutz bezweckt in erster Linie den Schutz der Persönlichkeit und der Grundrechte von Personen. Das Gesetz regelt, was beachtet werden muss, wenn Personendaten bearbeitet werden.
Was sind Personendaten?
Als Personendaten gelten alle Angaben, welche einer Person zugeordnet werden können wie Kontaktangaben, Aufenthaltsorte aber auch Video- und Bildaufnahmen.
Was wird geschützt?
Der Datenschutz schützt Personen vor dem ungerechtfertigten Beschaffen, Speichern, Bearbeiten und Verwenden von Daten. Das heisst, es dürfen nur Daten bearbeitet werden, die für den Zweck der Bearbeitung geeignet und erforderlich sind. Zentral ist dabei die transparente Information, welche Daten wofür gesammelt werden, sowie eine Einwilligung der betroffenen Personen insbesondere bei der Weitergabe von Daten.
Wann dürfen Daten weitergegeben werden?
Daten dürfen weitergegeben werden, wenn die Zustimmung durch die Person selbst vorliegt, wenn die Daten öffentlich zugänglich sind oder wenn ein Gesetz die Weitergabe einräumt.
Datensicherheit
Darüber hinaus ist die Datensicherheit ein Grundsatz beim Datenschutz. Die Daten müssen sorgfältig und sicher verwaltet werden.
Personenbezogene Daten müssen zudem vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind. Dies gilt auch für Mitarbeitende und ehemalige Mitarbeitende. Alle Personen haben das Recht, bei jedem Verband oder Verein anzufragen, ob und welche Daten über ihre Person gehalten werden.
Nichtpersonenbezogene Daten wie Finanzzahlen oder Produktedaten unterliegen nicht dem Datenschutz. Auch anonymisierte Mitgliederdaten, welche für Statistikzwecke ausgewertet werden, fallen nicht darunter.
Was ändert sich mit dem neuen Datenschutzgesetz?
Wenig! Am Kerngehalt des Datenschutzes ändert sich nicht viel. Die Prinzipien bleiben dieselben. Die Transparenz wird aber höher gewichtet. Darum müssen Datenschutzbestimmungen auf der Webseite aufgeführt und es muss erläutert werden, was mit den Daten gemacht wird. Neu ist die Verpflichtung, Datenmissbrauchsvorfälle dem Eidgenössischen Daten-schutzbeauftragten zu melden. Auch die Datenweitergabe an Lieferanten und Partner muss neu vertraglich geregelt werden.
Datenschutzerklärung auf der Webseite
Die Datenschutzerklärung auf der Webseite gewinnt mit dem neuen Gesetz an Bedeutung. Diese ist neu für alle verpflichtend. Darin muss informiert werden, welche Daten gesammelt und gespeichert werden, welche Programme allenfalls genutzt werden und an wen man sich wenden muss, wenn man eine Auskunft möchte. Neu ist zudem, dass die Grundeinstellungen bei Formularen, Apps und Webseiten überall auf das Minimum eingestellt werden müssen, so dass nur die nötigen Daten gesammelt bzw. mitgeteilt werden müssen.
Auskunftspflicht
Ebenfalls wurde die Auskunftspflicht verschärft. Verlangt eine Person eine Auskunft darüber, ob und welche Daten über sie bearbeitet werden, so muss diese Auskunft nach gesetzlichen Vorschriften erfolgen, sofern keine Ausnahmen bestehen.
Hier sind diese Vorschriften ausführlich nachzulesen.
Auskunftsbegehren
Auf derselben Seite gibt es auch eine Vorlage zum Auskunftsbegehren. Dabei muss auch informiert werden, unter welchen Bedingungen Daten an Dritte weitergegeben wurden.
Die wichtigsten Prinzipien beim Datenschutz
Verhältnismässigkeit
Das Wichtigste ist das Prinzip der Verhältnismässigkeit: Daten, die man zur Erledigung eines Auftrags benötigt, darf man erfassen.
Zweckmässigkeit
Gleichzeitig gilt das Prinzip der Zweckmässigkeit: Die Daten dürfen nur für Zwecke verwendet werden, für die man sie erhalten hat. Wenn man zum Beispiel einer Autogarage seine Daten bekannt gibt, ist es klar, dass man Name, Vorname, Adresse, Kontrollschild, Fahrzeug und Kilometerstand der Garage mitteilt. Die Frage ist, ob der Garagist diese Daten an seinen Verband weitergeben darf, damit dieser ein Mailing machen kann. Dies muss wohl verneint werden. Der Garagist muss den Kunden fragen, ob er das darf.
Transparenz
Wesentlich ist ebenso die Transparenz. Jeder Kunde darf bei einer Unternehmung anfragen, welche Daten über ihn bearbeitet werden. Er besitzt von Gesetzes wegen ein Auskunftsrecht über seine Daten.
Treu und Glauben
Das Gesetz verlangt zudem die Behandlung der Daten nach Treu und Glauben. Das heisst, dass nur dort und nur die Daten erfasst und bearbeitet werden dürfen, die für eine konkrete Tätigkeit notwendig sind. Dazu gehören bei einem Musikverein namentlich die Kontaktdaten eines Mitglieds (Name, Vorname, Postadresse, Mailadresse, Telefonnummer), das Instrument, die Dauer der Mitgliedschaft oder bekleidete Chargen.
Was muss geprüft oder geändert werden, um DSG-konform zu sein?
Allgemeine Mitgliederdaten
- Vorstand und Mitarbeiter schulen >> siehe Empfehlung Nr. 1
- Datenschutzerklärung erstellen >> siehe Empfehlung Nr. 2
- Freiwillig ein Bearbeitungsverzeichnis erstellen >> siehe Empfehlung Nr. 3
- Aufbewahrungsfristen prüfen >> siehe Empfehlung Nr. 4
Website
- Datenschutzerklärung erstellen >> siehe Empfehlung Nr. 2
- Prüfen, welche Tools eingesetzt werden >> siehe Empfehlung Nr. 5
- Ausrichtung des Angebots innerhalb der Schweiz >> siehe Empfehlung Nr. 6
- Auslanddatentransfer prüfen >> siehe Empfehlung Nr. 7
Social-Media-Kanäle
- In Datenschutzerklärung darauf hinweisen >> siehe Empfehlung Nr. 2
- Ggf. Einwilligung für Veröffentlichungen einholen >> siehe «Was ist Datenschutz?»
- Auslanddatentransfer prüfen >> siehe Empfehlung Nr. 7
Hitobito
- Datenschutzerklärung erstellen >> siehe Empfehlung Nr. 2
- Aufbewahrungsfristen prüfen >> siehe Empfehlung Nr. 4
Bis wann muss man DSG-konform sein?
Das Datenschutzgesetzt (DSG) gilt ohne Übergangsfrist ab dem 1. September 2023. Wichtigstes To-do dürfte sein, eine Datenschutzerklärung zu erstellen und zu publizieren, um der Informationspflicht zu entsprechen.
Empfehlungen
1 Schulungen
- Vorstände und Personen, die mit Mitgliederdaten arbeiten, für das Thema Datenschutz sensibilisieren.
- Umsetzung: Teilnahme an Schulungen oder Informationen aus dem Internet holen.
2 Datenschutzerklärung
- Jeder Verein, der Personendaten verarbeitet, braucht eine Datenschutzerklärung. Diese sollte die Datenverarbeitung über die Webseite sowie über die Vereinsarbeit behandeln.
- Umsetzung: Datenschutzerklärung verwenden, Muster z. B. unter datenschutzmuster.ch
3 Bearbeitungsverzeichnis
- Ein Verzeichnis der Datenverarbeitungsvorgänge muss der Verein (bei weniger als 250 Mitgliedern) nicht verpflichtend erstellen. Es ist aber gut zu wissen, welche Daten wie erhoben, gespeichert und gelöscht werden, damit der Vorstand sich datenschutzgerecht verhalten kann.
- Umsetzung: Ein einfaches Verzeichnis erstellen.
4 Löschungen
- Der Vorstand sollte überprüfen, welche Mitgliederdaten verarbeitet werden und welche Daten nicht mehr benötigt werden oder für die keine Aufbewahrungspflicht besteht, zum Beispiel weil die Mitglieder ausgetreten sind. Diese Daten sind zu löschen.
- Umsetzung: Aus Bearbeitungsverzeichnissen ergibt sich, welche Daten erhoben werden. Dies bildet die Grundlage, um Datenlöschroutinen einzuführen.
5 Cookie-Banner
- Mit dem neuen DSG ist keine Pflicht für einen Cookie-Banner geschaffen worden. Im Einzelfall kann dies aber erforderlich sein, z. B. bei Datenübertragung ins Ausland. Beim Einsatz von Analysetools (z. B. Google-Analytics) oder Social-Media-Plugins ist zu informieren und bei Auslandstransfer in die USA eine Einwilligung einzuholen.
- Umsetzung: Prüfen, welche Analysetools eingesetzt werden und darüber in der Datenschutzerklärung informieren. Cookie-Banner sind meist nicht erforderlich.
6 DSGVO vermeiden
- Die Ausrichtung des Vereins (z. B. durch Darstellung auf der Webseite) sollte erkennbar nur innerhalb der Schweiz sein. Damit kann die Unterstellung unter die strengere DSGVO vermieden werden, selbst wenn einzelne Mitglieder EU-Bürger sind.
- Umsetzung: Auf der Webseite mitteilen, dass der Verein sein Angebot auf die Schweiz ausrichtet.
7 Auslanddatentransfer
- Der Transfer von Daten in die USA (z. B. bei Nutzung von MS365) oder über die Webseite gilt solange als unsicher, bis der Bundesrat einen Beschluss zur Angemessenheit des Datentransfers in die USA gefasst hat.
- Umsetzung: Bei MS365 kann ein Serverstandort in der Schweiz oder in der EU eingestellt werden. Bei Datenübertragungen in die USA bleibt zu hoffen, dass der Bundesrat im September oder Oktober den notwendigen Angemessenheitsbeschluss fasst. Ab dann wird der Datentransfer ohne vorherige Einwilligung zulässig sein.
Datenschutz beim SBV
Der Schweizer Blasmusikverband (SBV) erfasst und bearbeitet lediglich Daten, die mit dem Verbandszweck im Zusammenhang stehen. So erfasst und verarbeitet der SBV insbesondere keine besonders schützenswerten Personendaten wie Konfession, politische Ausrichtung oder dergleichen. Für die Erfassung oder Verarbeitung solcher Daten bestünden höhere Anforderungen.
Ohne Einwilligung gibt der SBV auch keine bei ihm oder in von ihm benutzten Systemen (z. B. Hitobito) gespeicherten Personendaten, z. B. zu Werbezwecken, an Dritte heraus.
Wir treffen geeignete technische und organisatorische Massnahmen, um eine dem jeweiligen Risiko angemessene Datensicherheit zu gewährleisten. Der Zugriff auf unsere Website erfolgt mittels Transportverschlüsselung (insbesondere mit dem Hypertext Transfer Protocol Secure, abgekürzt HTTPS). Die meisten Browser kennzeichnen Transportverschlüsselung mit einem Vorhängeschloss in der Adressleiste.
FAQ-Sheet und Mustervorlagen
Die Antworten auf diverse zum Datenschutz eingegangene Fragen sind in einem FAQ-Sheet erfasst. Ebenfalls besteht die Möglichkeit, unter der Webadresse der Rechtsanwälte Wicki Partners AG weiterführende Informationen sowie Links zu Mustern, Vorlagen und einer Standard-Datenschutzerklärung zu beziehen: datenschutzmuster.ch
Datenschutzgesetz in Vereinen
Das neue Datenschutzgesetz enthält keine vereinsspezifischen Bestimmungen. Es verlangt auch nicht, dass Vereinsmitglieder proaktiv auf den 1. September 2023 informiert werden. Jeder Verein erfasst, bearbeitet und/oder verfügt jedoch über Personendaten, mit denen der Verein gesetzesgemäss umgehen muss.
Der Vereinsvorstand trägt die Verantwortung für den datenschutzkonformen Umgang mit diesen Daten und die Einhaltung des DSG. Der Verein darf nur Personendaten erheben und bearbeiten, die mit dem Vereinszweck in direktem Zusammenhang stehen. Will der Verein weitere Daten erheben oder für andere als Vereinszwecke verwenden, muss er darüber vorgängig informieren und auch mitteilen, dass die Angabe der weitergehenden Daten verweigert werden kann.
Datenschutzerklärung
Um der Informationspflicht zu entsprechen, wird üblicherweise eine Datenschutzerklärung (DSE) verwendet. Diese bedarf keiner Einwilligung, es muss jedoch die Möglichkeit der Kenntnisnahme bestehen. Am einfachsten geht dies mit der Platzierung der DSE auf der Website eines Vereins. Vielfach erfolgt dies in der Fusszeile der Website (Footer).
Pflichtangaben DSE
Die Pflichtangaben einer DSE ergeben sich aus Art. 19 DSG. Der Umfang ist z. B. abhängig von den bearbeiteten Personendaten, von Auslandstransfer und Social-Media-Einbindung. Der Entwurf einer einfachen DSE findet sich auf datenschutzmuster.ch.
Zu den Angaben einer Datenschutzerklärung zählen:
- Identität und Kontaktdaten des Vereins und des Vorstandes
- Aufzählung, welche Daten erhoben und bearbeitet werden
- Beschreibung, zu welchen Zwecken die Daten bearbeitet werden
- Nennung von Empfängern oder Kategorien von Empfängern, an die Daten weitergegeben werden (z. B. Tracking, Social-Media-Plugins und anderen Technologien im Zusammenhang mit der Nutzung der Website oder aber auch z. B. Treuhänder, Lieferanten und sonstige Dritte im Zusammenhang mit der Vereinstätigkeit)
- gegebenenfalls Datenübermittlung ins Ausland
- Interne Ansprechperson
- Änderung der DSE (jederzeit und einseitig möglich)
Mit dem neuen Datenschutzgesetz ist keine Pflicht für ein Cookie-Banner geschaffen worden. Im Einzelfall kann dies aber erforderlich sein, z. B. bei Datenübertragung ins Ausland. Beim Einsatz von Analyse-Tools (z. B. Google-Analytics) oder Social-Media-Plugins ist zu informieren und bei Auslandstransfer in die USA eine Einwilligung einzuholen.
Weitergabe von Personendaten
Auf der Webseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB1) wird darauf hingewiesen, dass die Veröffentlichung von Personendaten in einem Magazin oder auf der Webseite nur zulässig ist, wenn diese zweckmässig ist, was der Vorstand vorgängig zu prüfen hat. Der Zugang zu Mitgliederdaten muss in einem geschützten Bereich erfolgen und ist auf einen definierten Personenkreis zu beschränken.
Die Bekanntgabe von Mitgliederdaten (z. B. Abgabe der Mitgliederliste mit Adressen) an andere Mitglieder ist grundsätzlich nur zulässig, wenn zuvor die Einwilligung jedes einzelnen Mitglieds eingeholt wurde und klar definiert ist, zu welchem Zweck die bekanntgegebenen Daten verwendet werden (z. B. um miteinander Kontakt aufzunehmen; für Vereinsaktivitäten, aber nicht für Kundenwerbung). Bei elektronischer Versendung an Mitglieder ist die BCC «Blindkopie»-Funktion zu verwenden, um zu verhindern, dass Daten ohne Einwilligung an Mitglieder weitergegeben werden.
Die Bekanntgabe von Mitgliederdaten an Dritte ist nur zulässig, wenn die Mitglieder über den Zweck der Bekanntgabe informiert wurden und ausdrücklich zugestimmt haben oder die Möglichkeit hatten, im Vorfeld der Bekanntgabe zu widersprechen. Aus der Information muss hervorgehen, welche Daten (Adresse, Geburtsdatum, Telefonnummer usw.) weitergegeben werden, zu welchem Zweck (z. B. Werbung, Lizenzvergabe) und an welche Dritten (Sponsoren, Verband usw.). Wenn nötig kann die erwähnte Bekanntgabe in den Statuten oder in einer besonderen Vorschrift vorgesehen sein. Die Bekanntgabe von Daten an Dritte ist auch denkbar, wenn dies gesetzlich vorgesehen oder vorgeschrieben ist (z. B. die Bekanntgabe von Daten in einem Strafverfahren).
1 Quelle für diesen Absatz: https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/freizeit_sport/datenbearbeitung_vereine.html
Fazit
«Die Erfüllung und Einhaltung des revDSG ist nicht nur geboten, um die geltenden Gesetze einzuhalten, sondern auch, um der eigenen Reputation nicht zu schaden und gesetzestreu die Daten der Mitglieder zu bearbeiten. Die Umsetzung und Anpassung an die neue Rechtslage erfordert möglicherweise einen ‹kurzen Kraftakt›, sodann ist der Verband bzw. sind die Mitgliedsverbände gut aufgestellt», bestätigt Rechtsanwalt und Datenschutzexperte Sven Kohlmeier gegenüber dem SBV.
Angesichts der erhöhten Bussen-Androhung, bei Verstössen zu verantworten durch die Privatperson, empfehlen wir, die Kardinalpflichten des neuen revDSG zwingend einzuhalten, insbesondere die Erfüllung der Informationspflichten sowie die Einhaltung der Anforderungen bei Auslandsdatentransfer in Staaten ohne angemessenes Datenschutzniveau; derzeit auch noch die USA – siehe Beitrag: https://www.wickipartners.ch/news/eu-erlsst-angemessenheitsbeschluss-fr-us-datentransfer
Quellen:
https://www.kmu.admin.ch; https://www.windband.ch; RA und Fachanwalt für IT-Recht (DE) Sven Kohlmeier
(Wicki Partners AG, Zürich); RA Dr. Roman Baumann Lorant (ALTENBACH BAUMANN BLOCH, Dornach SO)