Bereit für das neue Datenschutzgesetz?

Im August 2022 hat der Bundesrat entschieden, dass das neue Datenschutzgesetz (revDSG) zusammen mit der neuen Datenschutzverordnung (DSV) per 1. September 2023 in Kraft treten wird. Was heißt das nun für Ihre NPO? Dieser Artikel verschafft Ihnen einen Überblick über die wichtigsten Punkte, welche umgesetzt werden müssen.

  • Betrifft es meine Organisation?

Das neue Datenschutzgesetz gilt für alle NPOs in der Schweiz, die Personendaten – digital oder manuell – bearbeiten[i].

Personendaten[ii] sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören z. B. Namen, Emailadressen von Mitgliedern, Daten von Mitarbeitenden, Fotos mit Personen oder personenbezogenen Daten aber auch Metadaten, die u. a. bei der Nutzung von Emails, Webseiten oder Videokonferenzen anfallen. 

  • Wieso ist es für meine NPO wichtig?

Bei Verletzung des revDSG kann die verantwortliche natürliche Person neu mit einer Busse bis zu CHF 250‘000 bestraft werden. Das bedeutet, dass die Mitarbeitenden, die die Datenschutzverletzung begangen haben, haftbar sind und das Bussgeld bezahlen müssen und nicht die Organisation, bei der sie angestellt sind.

Weiter können Datenschutzverletzungen – wie bisher – zivilrechtliche Forderungen, Reputationsschäden sowie unternehmerische Nachteile (z. B. Streichung von Fördergeldern, Mitgliederrückgang etc.) nach sich ziehen.

  • Was ist zu tun?

Das revidierte Datenschutzgesetz verfolgt einen risikobasierten Ansatz. Das heisst konkret, dass die Massnahmen, die ein Verband oder eine Stiftung umsetzen muss, von der Sensibilität der bearbeiteten Personendaten sowie von der Größe der Organisation abhängen. Für Vereine, Genossenschaften und Stiftungen, die keine besonders schützenswerten Daten[iii] bearbeiten[i], soll dadurch der Verwaltungsaufwand in einem überschaubaren Rahmen bleiben.

Wichtig ist es, in einem ersten Schritt zu prüfen, welche der Massnahmen in Ihrer NPO zwingend umgesetzt werden müssen oder sinnvoll sind. Nachfolgend finden Sie eine Übersicht der Anforderungen und Risiken mit weiteren Ausführungen im Nachgang:  

Bild: Anforderungen und Risiken des revDSG

1. Notwendige Datenschutz-Governance sicherstellen

– Schulung aller Mitarbeitenden, Ehrenamtlichen und freiwillig Engagierten: Die Datenschutzvorschriften, die in Ihrer NPO geltenden Datenschutzprozesse, Sicherheitsmassnahmen und die für den Datenschutz zuständigen Ansprechpersonen müssen allen bekannt sein.

– Meldung von Verletzungen der Datensicherheit: Jede Organisation muss einen Prozess einführen um sicherzustellen, dass Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen können, der Aufsichtsstelle für Datenschutz (EDÖB [iv]) gemeldet werden.

– Kann eine Personendatenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen, muss eine Datenschutz-Folgeabschätzung durchgeführt werden. Die Datenschutz-Folgeabschätzung ist eine Dokumentation der geplanten Bearbeitung und eine Selbstbewertung der mit der Datenbearbeitung verbundenen Risiken sowie der Massnahmen zur Risikominimierung. Jede NPO muss einen Prozess einführen, der die Prüfung der Notwendigkeit und – wo nötig – die Vornahme von Datenschutz-Folgeabschätzungen sicherstellt. Ein hohes Risiko kann beispielsweise vorliegen, wenn Zahlungsverbindungsdaten, die einen Missbrauch ermöglichen, oder besonders schützenswerte Personendaten[iii] bearbeitet werden.

Liegt ein hohes Risiko vor, ist die Aufsichtsstelle für Datenschutz (EDÖB[iv]) zu konsultieren, sofern die NPO keine/n Datenschutzberater/in ernannt und konsultiert hat.

Für grosse NPOs oder NPOs mit heiklen Datenbearbeitungen:

– Werden im Rahmen von automatisierten Bearbeitungen besonders schützenswerte Personendaten[iii] in grossem Umfang bearbeitet1 oder Profiling[v] mit hohem Risiko[vi] durchgeführt, ist ein Bearbeitungsreglement zu erstellen. Beispiele dafür: Ein Verein definiert das Persönlichkeitsprofil der idealen Geschäftsführerin oder des idealen Geschäftsführers und lässt dann computerbasiert beurteilen, welche Bewerber:innen diesem am besten entsprechen. Eine Organisation sammelt automatisiert öffentliche Social-Media-Daten zur Erstellung von Profilen potentieller Spender:innen.

– Die Ernennung und Meldung eines Datenschutzberaters/einer Datenschutzberaterin ist freiwillig. Sie ist sinnvoll, wenn Datenbearbeitungen vorgenommen werden, die ein hohes Risiko darstellen, da die Organisation bei Einbezug des Datenschutzberatenden von der sonst vorgeschriebenen Konsultationspflicht der Aufsichtsstelle für Datenschutz (EDÖB[iv]) entbunden wird. Unabhängig davon, ob die Organisation eine Person meldet, macht es häufig auch bei kleineren und mittelgroßen NPOs Sinn, jemanden zu bestimmen, der sich mit der Umsetzung der Datenschutzvorschriften vertieft befasst und für Schulung und Beratung der Ehrenamtlichen, Freiwilligen und angestellten Mitarbeitenden zuständig ist. Dies kann natürlich auch durch externe Unterstützung erfolgen. 

– Wenn Ihre NPO 250 oder mehr Mitarbeitende beschäftigt oder besonders schützenswerte Personendaten[iii]  in grossem Umfang bearbeitet[i] oder Profiling[vi] mit hohem Risiko[vii] durchführt, sind Sie verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Bearbeitungstätigkeiten sind z. B. Mitgliederverwaltung, Rechnungswesen, Organisation von Veranstaltungen etc.. Das Verzeichnis beinhaltet u. a. Bearbeitungszweck, Kategorie der bearbeiteten Daten, an wen und wohin die Daten gegebenenfalls weitergegeben werden. Die Erstellung eines solchen Verzeichnisses kann auch ohne gesetzliche Verpflichtung hilfreich sein, um sich einen Überblick zu verschaffen, wo welche Daten bearbeitet werden. Jede NPO muss wissen, wo sie welche Personendaten[ii] wie bearbeitet, um beispielsweise ein Auskunftsbegehren einer betroffenen Person rechtzeitig und vollständig beantworten zu können.

2. Grundsätze der Datenbearbeitung einhalten

Die Bearbeitung von Personendaten[ii] ist nach Schweizer Recht zulässig, soweit sie nach den Grundsätzen des Gesetzes, wie Verhältnismässigkeit, Zweckgebundenheit etc. vorgenommen wird (siehe im Bild Box «Grundsätze der Datenbearbeitung»).

3. Wo nötig Rechtfertigungsgrundlage und Einwilligungsmanagement sicherstellen

Eine Rechtfertigung, wie z. B. eine gesetzliche oder vertragliche Grundlage oder eine Einwilligung, ist nur dort notwendig, wo:

– die Grundsätze der Datenbearbeitung nicht eingehalten werden

– die betroffene Person der Bearbeitung ausdrücklich widerspricht oder

– besonders schützenswerte Personendaten[iii] wie u. a. Gesundheitsdaten, Daten über religiöse, politische oder gewerkschaftliche Ansichten etc. an Dritte bekannt gegeben werden.

Ist eine Einwilligung erforderlich, muss sie informiert und freiwillig erfolgen. Bei besonders schützenswerten Daten[iii] und Profiling[v] mit hohem Risiko[viI] hat die Einwilligung zudem ausdrücklich zu erfolgen. Ausdrücklich bedeutet durch ein aktives zustimmendes Verhalten, wie zum Beispiel durch Unterschreiben oder durch Anklicken eines Buttons auf einem online Formular.

4. Informationspflichten wahrnehmen

Personen, von denen Daten bearbeitet werden, sind über Identität und Kontaktdaten der verantwortlichen NPO, den Bearbeitungszweck sowie Dritte, an die Daten bekannt gegeben werden, zu informieren.

Vereine, Genossenschaften und Stiftungen müssen sicherstellen, dass überall dort, wo Personendaten[ii] erhoben werden, z. B. auf Webseiten, auf Social-Media-Kanälen, bei Veranstaltungen und Webinaren, in Bewerbungsprozessen etc. Datenschutzinformationen – oder ein Verweis darauf – vorhanden sind.

Bei bestehenden Datenschutzerklärungen ist zu überprüfen, ob alle gesetzlich vorgeschriebenen Angaben darin enthalten sind.

5. Angemessene Datensicherheit gewährleisten und Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sicherstellen

NPOs müssen angemessene technische und organisatorische Massnahmen vornehmen, um Personendaten[ii] dem Risiko entsprechend zu schützen.

Massnahmen zur Sicherheit sind beispielsweise die Einrichtung von Berechtigungskonzepten, dass nur Mitarbeitende, Ehrenamtliche und Freiwillige auf die Daten, die sie zur Erfüllung ihrer Aufgaben benötigen, zugreifen können (Need to Know Prinzip), Passwortschutz mit angemessener Passwortstärke, Firewalls oder regelmässige Softwareupdates. Auch organisatorische Massnahmen wie Vorgaben zum Umgang mit Personendaten im Home Office oder auf Reisen oder Vorschriften zum ordnungsgemässen Vernichten von Datenträgern können sinnvoll und geboten sein, um die Personendatenbearbeitung datenschutzkonform vornehmen zu können.

6.Vertragsverhältnisse datenschutzkonform gestalten

Werden externe Dienstleister, z. B. IT-Provider, ausgelagerte Personal- oder Mitgliederverwaltung oder (online) Übersetzungsdienste etc. genutzt, an die Personendaten[ii] weitergegeben werden, muss eine Vereinbarung über die Auftragsbearbeitung abgeschlossen werden. Diese Vereinbarung muss regeln, dass

– Daten nur so bearbeitet werden, wie die NPO selbst dies tun dürfte

– die Datensicherheit gewährleistet ist und

– Unterbeauftragte nur mit Genehmigung der NPO vom Dienstleister eingesetzt werden.

Werden Personendaten in ein Land ohne angemessenen Datenschutz bekannt gegeben, sind darüber hinaus zusätzliche Massnahmen erforderlich, z. B. der Abschluss von Vertragsbedingungen, die von den Datenschutzaufsichtsbehörden geprüft wurden (sog. Standartvertragsklauseln). Länder mit angemessenem Datenschutz sind u. a. die Länder des EWR und UK. Als Land ohne gleichwertiges Datenschutzniveau gilt z. B. die USA.

Alle Vertragsverhältnisse – auch mündlich oder online abgeschlossene – sind entsprechend zu überprüfen. Zu denken ist insbesondere auch an Vertragsbedingungen von Onlinetools und Apps, z.B. für die Mitgliederverwaltung oder Terminkoordination oder von Cloud-Speichern, wie Google Drive, Dropbox etc., in welche Personendaten eingegeben werden.

7. Prozesse zur Gewährung der Betroffenenrechte sicherstellen

Jede NPO, die Personendaten bearbeitet, muss sicherstellen, dass sie den betroffenen Personen Auskunft darüber erteilen kann, welche Daten bearbeitet werden. Die Auskunft hat in der Regel schriftlich, kostenlos und innert 30 Tagen zu erfolgen. Weiter muss der Datenbearbeitung widersprochen werden können. Daten müssen auf Verlangen berichtigt, gelöscht oder zur Weiterbearbeitung herausgegeben werden können.

Um die Betroffenenrechte gewähren zu können, ist es notwendig, dass die Organisation sich eine Übersicht verschafft, wo welche Personendaten[ii] in der NPO vorhanden sind. Es müssen Prozesse definiert und kommuniziert werden, damit Auskunfts- und andere Ersuche an die intern richtige Stelle gelangen, wo sie beantwortet und umgesetzt werden können.

 

 

 

Wer bisher DSG-konform war, kann vieles beibehalten. Entsprechend wichtig ist es, sich zuerst einen Überblick zu verschaffen und zu analysieren, ob und wo Handlungsbedarf besteht. Dazu kann die Vornahme einer Gap-Analyse hilfreich sein. Je nach Stand Ihrer Organisation kann die Umsetzung der Anforderungen des neuen Datenschutzes einiges an Zeit und Ressourcen beanspruchen. Um per 1. September 2023 bereit zu sein, sollten Sie zeitnahe mit Ihrer Gap-Analyse und gegebenenfalls nötigen Umsetzungsmaßnahmen beginnen. Gerne stehen wir Ihnen dabei zur Seite. Sie können uns dafür jederzeit kontaktieren. 

Annette Vogt Widmer, lic. iur., Rechtsanwältin (Schweiz)

Annette Vogt Widmer

[i] bearbeiten, Art. 5 lit. d revDSG

[ii] Personendaten, Art. 5 lit. a revDSG

[iii] besonders schützenswerte Personendaten, Art. 5 lit. c revDSG

[iv] Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

[v] Profiling, Art. 5 lit. f revDSG

[vi] Profiling mit hohem Risiko, Art. 5 lit. g revDSG

Annette Vogt Widmer
Zurück

Weitere Beiträge

Titelseite VM Magazin 1/23
Auf dem Weg zur nachhaltigen NPO

Dr. Michael Zurkinden hat sich für das VM Magazin 1/23 des Verbandsmanagement Institut (VMI) mit dem Thema Nachhaltigkeit und dessen Relevanz für NPO auseinandergesetzt. Welche Chancen diese Thematik für NPO bereit hält und bei welchen Aufgaben die Führungskräfte in der Verantwortung sind, lesen Sie in unserem Blogbeitrag.

Job
Team Hände
Mitarbeiter:in Verbandsadministration (60-80 %)

Die B’VM erbringt Beratungs- und Service-Leistungen für Verbände und andere Nonprofit-Organisationen (NPO). Zur Unterstützung unseres Teams am Standort Bern suchen wir per sofort oder nach Vereinbarung eine:n Mitarbeiter:in Verbandsadministration 60-80 %.

B’VMessage Nr. 80 – Jubiläumsausgabe

Lesen Sie die aktuelle B'VMessage mit Fachartikel unserer Beratenden jetzt. Finden Sie heraus, welche Aktivitäten die B'VM umsetzt und/oder plant und holen sich Informationen zu Events und zu B'VM Mitarbeitenden. Viel Spass bei der Lektüre!

«Die Qualität des Prozesses und die Partizipation der Beteiligten bleibt ein strategisches Erfolgskriterium.»

40 Jahre arbeiten in und leben für die NPO-Welt – Charles Giroud hat 1983 als erster Geschäftsführer der B’VM und heutiger Verwaltungsratspräsident massgeblich dazu beigetragen, die Beratungsfirma zu dem zu machen, was sie heute ist: die erste Adresse für NPOs im deutschen Sprachraum, wenn es um Expertise in Management, Service und Bildung geht. Lesen Sie Rück- und Ausblicke im Interview.

Reto Blum
Eine Einführung in die Verhaltensökonomie

«Keine Minute ist besser investiert als die Minute, die wir unserer Entscheidungskompetenz widmen. Denn unser Erfolg, egal ob geschäftlich oder privat, ist nichts Anderes als die Summe aller guten Entscheidungen, abzüglich aller Schlechten!» Dieses Zitat stammt vom Entscheidungsarchitekt Reto Blum. Er wird uns am B’VM-Fachgespräch vom 24. August 2023 in Bern mit seinem Fachinput und anschliessendem Workshop in die Mechanismen unserer Entscheidungsfindung entführen.

Job
Team Hände
Mitarbeiter:in Verbandsadministration (80 %)

Die B’VM erbringt Beratungs- und Service-Leistungen für Verbände und andere Nonprofit-Organisationen (NPO). Zur Unterstützung unseres Teams am Standort Bern suchen wir per sofort oder nach Vereinbarung eine:n Mitarbeiter:in Verbandsadministration 80 %.

Rubiks Cube
Vereinsmanagement als Dienstleistung – eine gute Alternative zum eigenen Hauptamt ?

Der Beitrag von Stephan Mellinghoff, erschienen im Verbändereport 02 / Mai 2023, gibt eine Übersicht über mögliche Vor- und Nachteile, Gestaltungsmöglichkeiten und Herausforderungen, die mit dem Outsourcing von Vereinsmanagement typischerweise verbunden sind.

Neue Gesichter bei der B’VM

Wir haben das Vergnügen, neue Mitarbeitende bei der B'VM zu begrüssen. Wer sie sind und was sie tun - hier stellen wir Ihnen unsere Kolleginnen und Kollegen gerne vor.

Mathematische Werkzeuge, Messgeräte
„Lernerfolg und -transfer: Wie messen?“ von Gastautor Kuno Roth

Wie messe ich den Lerneffekt und die Wirkung nach einem Kurs? Dieser Frage geht Kuno Roth im folgenden Blog nach. Die B'VM freut sich mit Kuno Roth einen ersten Gastblogger begrüssen zu dürfen, der in Zukunft seine Erfahrungen im Bereich des organisationalen Lernens mit Ihnen teilen wird. Dieser Artikel knüpft an sein letzten Blogpost "Lernen von Seinesgleichen" an.

Strassenschild mit Beschriftung "Turning Point"
„Der VSS hat ein tragfähiges System für die Herausforderungen der Zukunft erarbeitet“

Unser Berater Lars Funk nimmt im Interview mit dem Verband für Strassensicherheit (VSS) Stellung zum Struktur- und Governanceprozess. Er gibt Auskunft, wie er den Verband beriet, wie er die Herausforderungen anging und wie auch interne Widerstände überwunden wurden.

KONTAKT
AUFNEHMEN

Schweiz

B'VM AG
Altenbergstrasse 29
Postfach 686
CH-3000 Bern 8

+41 (0)31 313 88 88

Deutschland

B'VM GmbH
Gertrudenstrasse 9
D-50667 Köln

+49 (0)221 4233 46 21

B'VM GmbH
Rosenstrasse 2
D-10178 Berlin

+49 (0)30 2431 02 511

Österreich

Dr. Andreas Kattnigg
+43 (0)664 100 64 91

Wir sind gerne für Sie da

Nutzen Sie das Kontaktformular, schreiben Sie uns eine E-Mail oder rufen Sie einfach kurz an.

Schweiz

bvm.bern@bvmberatung.net
+41 31 313 88 88

Deutschland

bvm.deutschland@bvmberatung.net
+49 221 423 346 21

Österreich

andreas.kattnigg@bvmberatung.net
+43 664 100 64 91

Kontaktformular