Fragen und Antworten zum revidierten Datenschutzgesetz (revDSG), das per 1. September 2023 in Kraft tritt.
1. Wie ist der Datenschutz im Fairgate-Newsletter, auf Hitobito und der Konzertmeister-App geregelt?
Der SBV steht in keiner direkten Verbindung mit dem Fairgate-Newsletter oder der Konzertmeister-App. Bei Interesse müssten Sie die Herausgeber direkt kontaktieren. Antworten auf die Frage zu Hitobito erhalten Sie bei den Antworten zu den Fragen Nr. 3, 4, 11, 16, 18, 19 und 20.
2. Gibt es eine Vorlage zur Datenschutzerklärung des SBV, die an die Kantonalverbände sowie sämtliche Vereine abgegeben werden kann?
Unter der Webadresse datenschutzmuster.ch der Rechtsanwälte Wicki Partners AG sind weiterführende Informationen sowie Links zu Mustern, Vorlagen und einer Standard-Datenschutzerklärung zu finden.
3. Wo werden die Daten von Hitobito gespeichert? (Ort, Betreiber)
Die Hitobito AG mit Sitz in Bern wirbt auf ihrer Webseite mit «swiss made software + swiss hosting». Dieses Label darf nur verwendet werden, wenn die Software in der Schweiz entwickelt und gehostet wird: swissmadesoftware.org.
4. Wie werden die Daten in Hitobito vor Angriffen geschützt/gespeichert?
Gemäss Auskunft der Hitobito AG geht es hier um Massnahmen der Datensicherheit und zur Gewährleistung eines angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei werden der Stand der Technik, die Kosten und die Art, der Umfang und die Zwecke der Bearbeitung berücksichtigt. Die Massnahmen gewährleisten insbesondere die zeitnahe Feststellung von Datensicherheits- und Datenschutzverletzungen.
Der Auftragnehmer stellt insbesondere sicher, dass die im Rahmen dieses Auftrages bearbeiteten Daten streng von anderen Datenbanken getrennt sind. Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten werden.
5. In welcher Form werden die GDPR-Regulationen eingehalten und Anfragen zur Löschung der Personendaten behandelt?
Sofern die DSGVO gilt, ist die Anfrage schriftlich oder elektronisch zu beantworten. Bei einem Auskunftsverlangen nach DSG ist die Auskunft schriftlich zu erteilen oder in der Form, in der die Daten vorliegen (Art. 16 Abs. 2 DSV). Eine Vorlage für Auskunftsbegehren ist hier zu finden.
6. Das Verhältnismässigkeitsprinzip erlaubt nur die Bearbeitung jener Mitgliederdaten, die tatsächlich nötig sind, um den angestrebten Zweck zu erreichen: Was fällt darunter?
Der Verein kann alle Daten speichern, die für die Umsetzung des Vereinszweckes erforderlich sind. Dies können nebst den Kontaktdaten (z. B. Name, Telefonnummer, Postadresse, E-Mail, Ein- und Austrittsdatum sowie das Geburtsdatum) auch weitere Daten sein. Der Zweck ergibt sich aus der Satzung.
7. Welche Mitgliederdaten sind besonders schützenswert?
Das revDSG enthält in Art. 5 eine gute Erläuterung von Begrifflichkeiten:
«Besonders schützenswerte Personendaten» sind z. B. Personendaten über religiöse, weltanschauliche, politische oder gewerkschaftliche Tätigkeiten, Daten über die Gesundheit, Intimsphäre, Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten, biometrische Daten, Daten über verwaltungs- und strafrechtliche Verfolgung oder Massnahmen der sozialen Hilfe.
Während es auch schon bisher besonders schützenswerte Daten gab, sind z. B. die genetischen und biometrischen Daten neu in die Kategorie aufgenommen worden. Für die Bearbeitung dieser Kategorie von Daten bedarf es wegen dem hohen Schutzgut der Einhaltung höherer Anforderung, z. B. einer vorherigen ausdrücklichen Einwilligung.
Vermerk: Der SBV sammelt ausschliesslich Daten, die «nicht besonders schützenswert» sind.
Tipp
In den meisten Vereinen ist für eine ordentliche Vereinsarbeit und Vereinsorganisation die Verarbeitung von «besonders schützenswerten Personendaten» nicht erforderlich. Wegen der erhöhten gesetzlichen Anforderung empfiehlt der SBV, auf die Verarbeitung dieser Kategorie möglichst zu verzichten.
8. Müssen neue Aktivmitglieder und Mitbläser entsprechende Datenschutzmerkblätter unterzeichnen, damit wir z. B. Bilder von ihnen auf unserer Website und auf Social-Media-Kanälen laden dürfen oder wir sie als Mitglieder auf der Website aufführen dürfen?
Es kommt darauf an: Sofern «normale» Personendaten (und keine besonders schützenswerten Personendaten) von Mitgliedern auf einer Webseite veröffentlicht werden, muss darüber angemessen informiert werden, z. B. in einer Datenschutzerklärung auf der Webseite oder im Mitgliederhandbuch. Personendaten sind alle Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen, z. B. Name, Anschrift, Kontonummer, AHV-Nummer, KfZ-Kennzeichen, IP-Adresse, aber auch Personen auf Fotos.
Bei der Verwendung von Bildern mit Personen ist zudem das Persönlichkeitsrecht dieser Personen zu beachten, das sogenannte «Recht am eigenen Bild». Um ganz sicherzugehen: Farbige Punkte der Besucher am Revers (grün für Einwilligung, rot für keine Einwilligung) können aufzeigen, ob einer Veröffentlichung des eigenen Bildes zugestimmt wird.
9. Wäre es sinnvoll, in den Statuten zu erwähnen, dass der Verein alle Mitgliederdaten bearbeiten darf, die «tatsächlich nötig sind, um den angestrebten Zweck zu erreichen»? Würde dies dazu führen, dass wir von den Mitgliedern keine Datenschutzvereinbarungen unterzeichnen lassen müssten (als Mitglied akzeptierst du ja die Statuten)?
Rechtlich erforderlich ist eine Erwähnung nicht, da das Datenschutzgesetz ohnedies gilt. Aus Transparenzgründen kann dies aber in die Statuten aufgenommen werden, ebenso Regelungen zum Versand unverschlüsselter E-Mails.
Tipp
Die Vereinsstatuten sollten digital up-to-date sein. Daher bieten sich, neben einer Transparenzklausel zum Datenschutz, Regelungen für den unverschlüsselten E-Mail-Versand und die Kommunikation oder von digitalen Versammlungen und Abstimmungen in den Statuten durchaus an.
10. Die Mitgliederdaten von nicht mehr aktiven Veteranen bleiben in unseren Systemen. Ist das ein Problem?
Sofern keine Zustimmung der Veteranen vorliegt, ja. Für die Speicherung dieser «Veteranen-Daten» muss ein Zweck vorliegen. Das reine «Daten-aufheben-Wollen» ist kein zulässiger Zweck, da dies nicht erforderlich ist. Nach den Datenschutzgrundsätzen in Art. 6 Abs. 3 revDSG dürfen Personendaten nur zu einem bestimmten und für die Person erkennbaren Zweck beschafft und verarbeitet werden. Diese «Zweckbindung» gab es auch schon nach dem bisherigen Recht.
Eine Weiterbearbeitung oder Speicherung ist nicht zulässig, wenn dies für die Person unerwartet, unangebracht oder beanstandbar sein kann. Werden Personendaten entgegen den Grundsätzen nach Art. 6 oder 8 DSG (Datensicherheit) bearbeitet, liegt eine Persönlichkeitsverletzung vor.
Tipp
«Datenfriedhöfe» sind nicht nur datenschutzrechtlich bedenklich, sondern auch kaum notwendig. Wenn Daten nicht mehr benötigt werden, z. B. für Abrechnungen, sollten sie endgültig gelöscht werden. Wenn für den Nachweis der (früheren) Mitgliedschaft die Daten gespeichert bleiben sollen, (i) ist zu prüfen, ob alle Daten oder nur ein Teil der Daten gespeichert wird und (ii) sollte die Einwilligung des ausscheidenden Mitglieds eingeholt werden.
11. Stellt das Hochladen von Mitgliederdaten auf Hitobito oder auf der Verbandswebsite (z. B. Musikverband der Stadt Winterthur auf zhbv.ch) für uns ein Datenschutz-Risiko dar?
Theoretisch stellt heutzutage wohl jede Datenverarbeitung ein «Risiko» dar. Die Nutzung einer Vereinsverwaltungssoftware oder Verbandswebseite ist jedoch bei Einhaltung der Datenschutzgrundsätze (Art. 6 revDSG) wie auch Gewährleistung der Datensicherheit (Art. 8 revDSG) unproblematisch.
Tipp
Die Anbieter von Vereinssoftware oder der Provider stellen auf ihrer Webseite oftmals dar, wie die Datensicherheit gewährleistet wird. Sofern eine sog. Auftragsbearbeitung vorliegt, ist ein Vertrag für die Datenbearbeitung abzuschliessen. E – es spricht grundsätzlich für einen Anbieter, wenn auch dieser über die Webseite, das Nutzerportal oder Kundenportal abschliessbar ist.
12. Sollten wir für unsere Onlinedaten statt der amerikanischen Dropbox lieber einen Schweizer Cloudanbieter wählen?
Die USA gewährleisten derzeit kein Schweizer Normen genügendes Datenschutzniveau, sodass der Datentransfer in die USA derzeit ohnedies nur unter bestimmten Voraussetzungen zulässig ist. Es gibt gute Cloud-Speicherdienste in der Schweiz wie auch in der europäischen Union, die die Einhaltung des Datenschutzes garantieren und auch damit werben.
Tipp
Für den Datenschutz von Personendaten lohnt es sich, ein paar Franken mehr auszugeben. Diese würden sonst an der falschen Stelle gespart. Lieber sich eine Busse nach revDSG ersparen, als später rechtfertigen müssen, warum man den billigsten Onlineanbieter gewählt hat.
13. Müsste auf der Anmeldekarte für neue Passivmitglieder ein Vermerk zum Datenschutz stehen? Wenn ja, habt ihr einen Mustertext?
Nach Art. 19 Abs. 1 DSG ist die betroffene Person angemessen über die Beschaffung von Personendaten zu informieren, auch wenn die Daten nicht direkt von der betroffenen Person erhoben werden. Zudem ist der Verantwortliche verpflichtet, der betroffenen Person bestimmte Mindestangaben (z. B. über die Identität des Verantwortlichen) mitzuteilen, Art. 19 Abs. 2 DSG.
Das Datenschutzgesetz legt nicht fest, auf welche Weise die Information erfolgen muss. Der Verantwortliche muss sicherstellen, dass die betroffene Person die Information tatsächlich zur Kenntnis nehmen und sich in einfach zugänglicher Weise informieren kann. Die Botschaft zum DSG benennt in ihrer Begründung exemplarisch eine Datenschutzerklärung auf der Website, aber auch Symbole und Piktogramme, soweit diese die notwendigen Informationen wiedergeben.
Tipp
Aus Transparenzgründen auf dem Eintrittsformular einen Hinweis aufnehmen: «Unsere Datenschutzerklärung finden Sie unter www.verein-xy.ch.» Das ist zugleich gute Werbung für die eigene Vereinswebsite.
14. Wenn wir Aktiv- und/oder Passivmitglieder mit Wohnsitz in Europa haben, fallen wir dann auch unter die Bestimmungen des europäischen DSGVO? Müssten wir dann einen Datenschutzbeauftragten bestimmen?
Für den Geltungsbereich der DSGVO ist gem. Art. 3 Abs. 2 a) entscheidend, ob Personendaten von Personen in der EU verarbeitet werden und dies im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen steht. Entscheidend ist hier das Wort «anbieten». Wenn der Verein/Verband sein Angebot erkennbar nur auf das Gebiet der Schweiz ausrichtet und zufällig auch EU-Bürger die Webseite aufsuchen oder Mitglied werden, ist das nicht vom räumlichen Anwendungsbereich von Art. 3 DSGVO erfasst.
Sofern die DSGVO nicht bereits gilt (siehe zuvor), braucht auch kein Datenschutzbeauftragter bestellt zu werden. Für Vereine müsste in der Regel zudem kein Datenschutzbeauftragter bestellt werden, wenn die Tätigkeit nicht dem Katalog von Art. 37 Abs. 1 DSGVO entspricht oder weniger als 20 Mitarbeitende für die Datenbearbeitung erfasst sind.
Tipp
Um nur dem deutlich weniger restriktiven Schweizer Datenschutzrecht zu unterliegen, sollte das Angebot erkennbar auf die Schweiz ausgerichtet sein.
15. Wie müssen wir vorgehen, wenn wir von Konzerten, Instrumentenvorstellungen etc. Fotos machen, auf denen auch Besuchende zu sehen sind, und wir die Fotos anschliessend auf unserer Website, in der Zeitung etc. publizieren möchten?
Siehe Ausführungen zu Frage Nr. 8.
Tipp
Der EDÖB hat ebenfalls sehr gute Informationen bereitgestellt:
Umgang mit Fotos – das Recht am eigenen Bild
16. Wie geht der SBV vor, wenn Hitobito gehackt werden sollte?
Das für die Datenbearbeitung verantwortliche öffentliche Organ muss den Datenschutzvorfall der Datenschutzbeauftragten melden.
Ist ein Auftragnehmer respektive Outsourcing-Partner involviert, muss er das verantwortliche öffentliche Organ sofort über die Verletzung informieren. Dieses meldet den Vorfall der Datenschutzbeauftragten.
Ein Datenschutzvorfall ist der Datenschutzbeauftragten des Kantons Aargau zu melden. Bei der Meldung ist zu vermerken, wenn Auswirkungen in mehreren Kantonen möglich sind.
17. Welches sind die Sicherheitsmassnahmen des SBV?
Aus Sicherheitsgründen werden diese hier nicht im Detail genannt, aber der SBV trifft geeignete technische und organisatorische Massnahmen, um eine dem jeweiligen Risiko angemessene Datensicherheit zu gewährleisten. Der Zugriff auf unsere Website erfolgt mittels Transportverschlüsselung (insbesondere mit dem Hypertext Transfer Protocol Secure, abgekürzt HTTPS). Die meisten Browser kennzeichnen die Transportverschlüsselung mit einem Vorhängeschloss in der Adressleiste.
18. Was geschieht mit den Daten von ausgetretenen und verstorbenen Mitgliedern?
Daten von verstorbenen Mitgliedern werden durch die Vereine aus ihrer Namenskartei in Hitobito gelöscht und müssen dem SBV gemeldet werden, damit dieser die Daten vollständig löschen kann.
19. Kann jedes Vereinsmitglied seine Daten selbständig verwalten (erhält jede Person Zugriff auf Hitobito)?
Auf Wunsch kann jedes Vereinsmitglied Zugriff auf seine Daten in Hitobito erhalten. Die betroffene Person sieht dann jeweils nur ihre eigenen Daten und keine der anderen Vereinsmitglieder.
20. Ist es sinnvoll, dass pro Verein nur eine begrenzte Anzahl Personen Zugang zu den Daten hat?
Es ist ratsam, nur einer Handvoll Personen den vollen Zugang zu Hitobito zu gewähren (Administratoren). Dazu gehören Vereinspräsidien, SUISA-Verantwortliche, MuKo-Präsidien, Geschäftsstellen, Sekretariate und gegebenenfalls Dirigenten und Dirigentinnen.
Tipp
Es ist dringend zu empfehlen, dass diese Personen die Hitobito-Schulungen der Kantonalverbände besuchen, um bestmöglich auf diese Verantwortlichkeiten vorbereitet zu sein.
Quellen: RA und Fachanwalt für IT-Recht (DE) Sven Kohlmeier; RA Dr. Roman Baumann Lorant; Datenschutzerklärung SBV; Datenschutzvereinbarung mit der Hitobito AG.