Kontakt
Newsletter

Bereit für das neue Datenschutzgesetz?

Im August 2022 hat der Bundesrat entschieden, dass das neue Datenschutzgesetz (revDSG) zusammen mit der neuen Datenschutzverordnung (DSV) per 1. September 2023 in Kraft treten wird. Was heißt das nun für Ihre NPO? Dieser Artikel verschafft Ihnen einen Überblick über die wichtigsten Punkte, welche umgesetzt werden müssen. Zudem vermitteln wir Ihnen in unserem Webinar „Umsetzung des neuen Datenschutzgesetz“ anhand von Praxisbeispielen  Umsetzungsmöglichkeiten in Verbände und NPOs. Für weitere Informationen und Anmeldung hier lang.

 

  • Betrifft es meine Organisation?

Das neue Datenschutzgesetz gilt für alle NPOs in der Schweiz, die Personendaten – digital oder manuell – bearbeiten[i].

Personendaten[ii] sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören z. B. Namen, Emailadressen von Mitgliedern, Daten von Mitarbeitenden, Fotos mit Personen oder personenbezogenen Daten aber auch Metadaten, die u. a. bei der Nutzung von Emails, Webseiten oder Videokonferenzen anfallen. 

  • Wieso ist es für meine NPO wichtig?

Bei Verletzung des revDSG kann die verantwortliche natürliche Person neu mit einer Busse bis zu CHF 250‘000 bestraft werden. Das bedeutet, dass die Mitarbeitenden, die die Datenschutzverletzung begangen haben, haftbar sind und das Bussgeld bezahlen müssen und nicht die Organisation, bei der sie angestellt sind.

Weiter können Datenschutzverletzungen – wie bisher – zivilrechtliche Forderungen, Reputationsschäden sowie unternehmerische Nachteile (z. B. Streichung von Fördergeldern, Mitgliederrückgang etc.) nach sich ziehen.

  • Was ist zu tun?

Das revidierte Datenschutzgesetz verfolgt einen risikobasierten Ansatz. Das heisst konkret, dass die Massnahmen, die ein Verband oder eine Stiftung umsetzen muss, von der Sensibilität der bearbeiteten Personendaten sowie von der Größe der Organisation abhängen. Für Vereine, Genossenschaften und Stiftungen, die keine besonders schützenswerten Daten[iii] bearbeiten[i], soll dadurch der Verwaltungsaufwand in einem überschaubaren Rahmen bleiben.

Wichtig ist es, in einem ersten Schritt zu prüfen, welche der Massnahmen in Ihrer NPO zwingend umgesetzt werden müssen oder sinnvoll sind. Nachfolgend finden Sie eine Übersicht der Anforderungen und Risiken mit weiteren Ausführungen im Nachgang:  

Bild: Anforderungen und Risiken des revDSG

1. Notwendige Datenschutz-Governance sicherstellen

– Schulung aller Mitarbeitenden, Ehrenamtlichen und freiwillig Engagierten: Die Datenschutzvorschriften, die in Ihrer NPO geltenden Datenschutzprozesse, Sicherheitsmassnahmen und die für den Datenschutz zuständigen Ansprechpersonen müssen allen bekannt sein.

– Meldung von Verletzungen der Datensicherheit: Jede Organisation muss einen Prozess einführen um sicherzustellen, dass Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen können, der Aufsichtsstelle für Datenschutz (EDÖB [iv]) gemeldet werden.

– Kann eine Personendatenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen, muss eine Datenschutz-Folgeabschätzung durchgeführt werden. Die Datenschutz-Folgeabschätzung ist eine Dokumentation der geplanten Bearbeitung und eine Selbstbewertung der mit der Datenbearbeitung verbundenen Risiken sowie der Massnahmen zur Risikominimierung. Jede NPO muss einen Prozess einführen, der die Prüfung der Notwendigkeit und – wo nötig – die Vornahme von Datenschutz-Folgeabschätzungen sicherstellt. Ein hohes Risiko kann beispielsweise vorliegen, wenn Zahlungsverbindungsdaten, die einen Missbrauch ermöglichen, oder besonders schützenswerte Personendaten[iii] bearbeitet werden.

Liegt ein hohes Risiko vor, ist die Aufsichtsstelle für Datenschutz (EDÖB[iv]) zu konsultieren, sofern die NPO keine/n Datenschutzberater/in ernannt und konsultiert hat.

Für grosse NPOs oder NPOs mit heiklen Datenbearbeitungen:

– Werden im Rahmen von automatisierten Bearbeitungen besonders schützenswerte Personendaten[iii] in grossem Umfang bearbeitet1 oder Profiling[v] mit hohem Risiko[vi] durchgeführt, ist ein Bearbeitungsreglement zu erstellen. Beispiele dafür: Ein Verein definiert das Persönlichkeitsprofil der idealen Geschäftsführerin oder des idealen Geschäftsführers und lässt dann computerbasiert beurteilen, welche Bewerber:innen diesem am besten entsprechen. Eine Organisation sammelt automatisiert öffentliche Social-Media-Daten zur Erstellung von Profilen potentieller Spender:innen.

– Die Ernennung und Meldung eines Datenschutzberaters/einer Datenschutzberaterin ist freiwillig. Sie ist sinnvoll, wenn Datenbearbeitungen vorgenommen werden, die ein hohes Risiko darstellen, da die Organisation bei Einbezug des Datenschutzberatenden von der sonst vorgeschriebenen Konsultationspflicht der Aufsichtsstelle für Datenschutz (EDÖB[iv]) entbunden wird. Unabhängig davon, ob die Organisation eine Person meldet, macht es häufig auch bei kleineren und mittelgroßen NPOs Sinn, jemanden zu bestimmen, der sich mit der Umsetzung der Datenschutzvorschriften vertieft befasst und für Schulung und Beratung der Ehrenamtlichen, Freiwilligen und angestellten Mitarbeitenden zuständig ist. Dies kann natürlich auch durch externe Unterstützung erfolgen. 

– Wenn Ihre NPO 250 oder mehr Mitarbeitende beschäftigt oder besonders schützenswerte Personendaten[iii]  in grossem Umfang bearbeitet[i] oder Profiling[vi] mit hohem Risiko[vii] durchführt, sind Sie verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Bearbeitungstätigkeiten sind z. B. Mitgliederverwaltung, Rechnungswesen, Organisation von Veranstaltungen etc.. Das Verzeichnis beinhaltet u. a. Bearbeitungszweck, Kategorie der bearbeiteten Daten, an wen und wohin die Daten gegebenenfalls weitergegeben werden. Die Erstellung eines solchen Verzeichnisses kann auch ohne gesetzliche Verpflichtung hilfreich sein, um sich einen Überblick zu verschaffen, wo welche Daten bearbeitet werden. Jede NPO muss wissen, wo sie welche Personendaten[ii] wie bearbeitet, um beispielsweise ein Auskunftsbegehren einer betroffenen Person rechtzeitig und vollständig beantworten zu können.

2. Grundsätze der Datenbearbeitung einhalten

Die Bearbeitung von Personendaten[ii] ist nach Schweizer Recht zulässig, soweit sie nach den Grundsätzen des Gesetzes, wie Verhältnismässigkeit, Zweckgebundenheit etc. vorgenommen wird (siehe im Bild Box «Grundsätze der Datenbearbeitung»).

3. Wo nötig Rechtfertigungsgrundlage und Einwilligungsmanagement sicherstellen

Eine Rechtfertigung, wie z. B. eine gesetzliche oder vertragliche Grundlage oder eine Einwilligung, ist nur dort notwendig, wo:

– die Grundsätze der Datenbearbeitung nicht eingehalten werden

– die betroffene Person der Bearbeitung ausdrücklich widerspricht oder

– besonders schützenswerte Personendaten[iii] wie u. a. Gesundheitsdaten, Daten über religiöse, politische oder gewerkschaftliche Ansichten etc. an Dritte bekannt gegeben werden.

Ist eine Einwilligung erforderlich, muss sie informiert und freiwillig erfolgen. Bei besonders schützenswerten Daten[iii] und Profiling[v] mit hohem Risiko[viI] hat die Einwilligung zudem ausdrücklich zu erfolgen. Ausdrücklich bedeutet durch ein aktives zustimmendes Verhalten, wie zum Beispiel durch Unterschreiben oder durch Anklicken eines Buttons auf einem online Formular.

4. Informationspflichten wahrnehmen

Personen, von denen Daten bearbeitet werden, sind über Identität und Kontaktdaten der verantwortlichen NPO, den Bearbeitungszweck sowie Dritte, an die Daten bekannt gegeben werden, zu informieren.

Vereine, Genossenschaften und Stiftungen müssen sicherstellen, dass überall dort, wo Personendaten[ii] erhoben werden, z. B. auf Webseiten, auf Social-Media-Kanälen, bei Veranstaltungen und Webinaren, in Bewerbungsprozessen etc. Datenschutzinformationen – oder ein Verweis darauf – vorhanden sind.

Bei bestehenden Datenschutzerklärungen ist zu überprüfen, ob alle gesetzlich vorgeschriebenen Angaben darin enthalten sind.

5. Angemessene Datensicherheit gewährleisten und Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sicherstellen

NPOs müssen angemessene technische und organisatorische Massnahmen vornehmen, um Personendaten[ii] dem Risiko entsprechend zu schützen.

Massnahmen zur Sicherheit sind beispielsweise die Einrichtung von Berechtigungskonzepten, dass nur Mitarbeitende, Ehrenamtliche und Freiwillige auf die Daten, die sie zur Erfüllung ihrer Aufgaben benötigen, zugreifen können (Need to Know Prinzip), Passwortschutz mit angemessener Passwortstärke, Firewalls oder regelmässige Softwareupdates. Auch organisatorische Massnahmen wie Vorgaben zum Umgang mit Personendaten im Home Office oder auf Reisen oder Vorschriften zum ordnungsgemässen Vernichten von Datenträgern können sinnvoll und geboten sein, um die Personendatenbearbeitung datenschutzkonform vornehmen zu können.

6.Vertragsverhältnisse datenschutzkonform gestalten

Werden externe Dienstleister, z. B. IT-Provider, ausgelagerte Personal- oder Mitgliederverwaltung oder (online) Übersetzungsdienste etc. genutzt, an die Personendaten[ii] weitergegeben werden, muss eine Vereinbarung über die Auftragsbearbeitung abgeschlossen werden. Diese Vereinbarung muss regeln, dass

– Daten nur so bearbeitet werden, wie die NPO selbst dies tun dürfte

– die Datensicherheit gewährleistet ist und

– Unterbeauftragte nur mit Genehmigung der NPO vom Dienstleister eingesetzt werden.

Werden Personendaten in ein Land ohne angemessenen Datenschutz bekannt gegeben, sind darüber hinaus zusätzliche Massnahmen erforderlich, z. B. der Abschluss von Vertragsbedingungen, die von den Datenschutzaufsichtsbehörden geprüft wurden (sog. Standartvertragsklauseln). Länder mit angemessenem Datenschutz sind u. a. die Länder des EWR und UK. Als Land ohne gleichwertiges Datenschutzniveau gilt z. B. die USA.

Alle Vertragsverhältnisse – auch mündlich oder online abgeschlossene – sind entsprechend zu überprüfen. Zu denken ist insbesondere auch an Vertragsbedingungen von Onlinetools und Apps, z.B. für die Mitgliederverwaltung oder Terminkoordination oder von Cloud-Speichern, wie Google Drive, Dropbox etc., in welche Personendaten eingegeben werden.

7. Prozesse zur Gewährung der Betroffenenrechte sicherstellen

Jede NPO, die Personendaten bearbeitet, muss sicherstellen, dass sie den betroffenen Personen Auskunft darüber erteilen kann, welche Daten bearbeitet werden. Die Auskunft hat in der Regel schriftlich, kostenlos und innert 30 Tagen zu erfolgen. Weiter muss der Datenbearbeitung widersprochen werden können. Daten müssen auf Verlangen berichtigt, gelöscht oder zur Weiterbearbeitung herausgegeben werden können.

Um die Betroffenenrechte gewähren zu können, ist es notwendig, dass die Organisation sich eine Übersicht verschafft, wo welche Personendaten[ii] in der NPO vorhanden sind. Es müssen Prozesse definiert und kommuniziert werden, damit Auskunfts- und andere Ersuche an die intern richtige Stelle gelangen, wo sie beantwortet und umgesetzt werden können.

 

Wer bisher DSG-konform war, kann vieles beibehalten. Entsprechend wichtig ist es, sich zuerst einen Überblick zu verschaffen und zu analysieren, ob und wo Handlungsbedarf besteht. Dazu kann die Vornahme einer Gap-Analyse hilfreich sein. Je nach Stand Ihrer Organisation kann die Umsetzung der Anforderungen des neuen Datenschutzes einiges an Zeit und Ressourcen beanspruchen. Um per 1. September 2023 bereit zu sein, sollten Sie zeitnahe mit Ihrer Gap-Analyse und gegebenenfalls nötigen Umsetzungsmaßnahmen beginnen. Gerne stehen wir Ihnen dabei zur Seite. Sie können uns dafür jederzeit kontaktieren. 

Annette Vogt Widmer, lic. iur., Rechtsanwältin (Schweiz)

 

 

[i] bearbeiten, Art. 5 lit. d revDSG

[ii] Personendaten, Art. 5 lit. a revDSG

[iii] besonders schützenswerte Personendaten, Art. 5 lit. c revDSG

[iv] Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

[v] Profiling, Art. 5 lit. f revDSG

[vi] Profiling mit hohem Risiko, Art. 5 lit. g revDSG

Holen Sie sich Expertenwissen!

7 praxiserprobte Kooperationsformen
für Ihre Organisation

Jetzt PDF herunterladen:
Über neue Zusammenarbeitsformen erfahren
und von fundierten Erkenntnissen profitieren.

Weitere Beiträge

Menschen in einer online Besprechung
Das digitale «Wir-Gefühl» – Bindung und Förderung in der digitalen Freiwilligenarbeit

Organisationen, die das Potenzial von online Freiwilligenarbeit erschliessen wollen, müssen Identifikation und Wertschätzung fördern und ein Wir-Gefühl schaffen. Wie entsteht ein Zugehörigkeitsgefühl auf Distanz und wie wird es gepflegt? Barbara Iseli Sczepanski ist dieser Frage nachgegangen.

Tastatur mit Kompass
KI für Verbände – Wo finden Verbände Orientierung und grundlegende Leitplanken?

Verbände diskutierten im Rahmen des B´VM KI Lean Coffee Meetings über ihre aktuellen Fragestellungen zum Thema KI – lesen Sie hier die Zusammenfassung.

Geschäftsprüfungskommission
Geschäftsprüfungskommissionen in NPO

Welche Kriterien sind von einer Geschäftsprüfungskommission (GPK) einzuhalten und was soll bei der Berichterstattung beachtet werden? Lesen Sie hier konkrete Empfehlungen von Dr. Karin Stuhlmann und profitieren von einem Muster-Bericht zum Herunterladen.

Sylke Bauerschmidt und Nicole Freimüller
Neue Gesichter bei der B’VM

Wir haben das Vergnügen, neue Teammitglieder bei der B'VM zu begrüssen. Wer Sie sind und was Sie tun - hier stellen wir Ihnen unsere Kolleginnen gerne vor.

Mann jongliert konzentriert Bälle vor einem Bürogebäude
Vom Umgang mit Spannungsfeldern in Wirtschafts-, Branchen- und Berufsverbänden

Die Welt dreht sich immer schneller. Wer das Tempo nicht mitgeht, droht abgehängt zu werden. Das trifft vor allem auch auf die Wirtschaft zu – und fordert deren Verbände heraus.

Menschen erarbeiten gemeinsam eine Lösung
Weiterbildung für Delegierte eines Berufsverbands

Eine Statutenänderung? Die Genehmigung des Budgets? Die Wahl der Präsidentin?Diese und andere wiederkehrende Geschäfte stellen die Verbandsführung und die Delegiertenversammlung – als oberstes Verbandsorgan – oft vor die Frage: Welches Gremium ist für was verantwortlich?

Holzklötze mit schwarz aufgedrucktem Profil von Personen
Das Verbandsprofil strategisch am Mehrwert für Mitglieder ausrichten

In Zeiten des Umbruchs sind Mitgliederbefragungen ein sehr nützliches Instrument, das Verbandsprofil zu schärfen und am größtmöglichen Mehrwert für Mitglieder auszurichten. Ein Praxisbeispiel.

Bild mit zwei einander gegenüber sitzenden Personen. Eine davon ist am Schreiben.
Mentoring – Schlüssel zum beruflichen Gedeihen (1/2). Von Gastautor Kuno Roth

Unser Gastautor Kuno Roth über Mentoring und die feine Abgrenzung zu Beratung und Coaching. Was kann Mentoring, Was sind seine Ziele und wie wirkt es?

Regula Kaufmann
Neues Gesicht bei der B’VM

Wir haben das Vergnügen, ein neues Teammitglied bei der B'VM zu begrüssen. Wer Sie ist und was Sie tut - hier stellen wir Ihnen unsere Kollegin gerne vor.

Menschen sitzen in einem Saal. Sie nehmen teil am Netzwerkanlass von B'VM und VMI
Unternehmerische Führung und Kultur in NPO

Neue Ideen und Verbesserungsvorschläge werden bei uns gleich aufgegriffen und nach Möglichkeit umgesetzt! Oder doch nicht? Am Netzwerkanlass von VMI und B'VM haben die Teilnehmenden ihre Organisation zum Thema "Unternehmerische Führung und Kultur" gleich selbst eingeschätzt. Was dabei herauskam, erfahren Sie in diesem Artikel.

Wir sind gerne für Sie da

Nutzen Sie das Kontaktformular, schreiben Sie uns eine E-Mail oder rufen Sie einfach kurz an.

Schweiz

Deutschland

Österreich

Kontaktformular

Newsletter