Bereit für das neue Datenschutzgesetz?

Im August 2022 hat der Bundesrat entschieden, dass das neue Datenschutzgesetz (revDSG) zusammen mit der neuen Datenschutzverordnung (DSV) per 1. September 2023 in Kraft treten wird. Was heißt das nun für Ihre NPO? Dieser Artikel verschafft Ihnen einen Überblick über die wichtigsten Punkte, welche umgesetzt werden müssen.

  • Betrifft es meine Organisation?

Das neue Datenschutzgesetz gilt für alle NPOs in der Schweiz, die Personendaten – digital oder manuell – bearbeiten[i].

Personendaten[ii] sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören z. B. Namen, Emailadressen von Mitgliedern, Daten von Mitarbeitenden, Fotos mit Personen oder personenbezogenen Daten aber auch Metadaten, die u. a. bei der Nutzung von Emails, Webseiten oder Videokonferenzen anfallen. 

  • Wieso ist es für meine NPO wichtig?

Bei Verletzung des revDSG kann die verantwortliche natürliche Person neu mit einer Busse bis zu CHF 250‘000 bestraft werden. Das bedeutet, dass die Mitarbeitenden, die die Datenschutzverletzung begangen haben, haftbar sind und das Bussgeld bezahlen müssen und nicht die Organisation, bei der sie angestellt sind.

Weiter können Datenschutzverletzungen – wie bisher – zivilrechtliche Forderungen, Reputationsschäden sowie unternehmerische Nachteile (z. B. Streichung von Fördergeldern, Mitgliederrückgang etc.) nach sich ziehen.

  • Was ist zu tun?

Das revidierte Datenschutzgesetz verfolgt einen risikobasierten Ansatz. Das heisst konkret, dass die Massnahmen, die ein Verband oder eine Stiftung umsetzen muss, von der Sensibilität der bearbeiteten Personendaten sowie von der Größe der Organisation abhängen. Für Vereine, Genossenschaften und Stiftungen, die keine besonders schützenswerten Daten[iii] bearbeiten[i], soll dadurch der Verwaltungsaufwand in einem überschaubaren Rahmen bleiben.

Wichtig ist es, in einem ersten Schritt zu prüfen, welche der Massnahmen in Ihrer NPO zwingend umgesetzt werden müssen oder sinnvoll sind. Nachfolgend finden Sie eine Übersicht der Anforderungen und Risiken mit weiteren Ausführungen im Nachgang:  

Bild: Anforderungen und Risiken des revDSG

1. Notwendige Datenschutz-Governance sicherstellen

– Schulung aller Mitarbeitenden, Ehrenamtlichen und freiwillig Engagierten: Die Datenschutzvorschriften, die in Ihrer NPO geltenden Datenschutzprozesse, Sicherheitsmassnahmen und die für den Datenschutz zuständigen Ansprechpersonen müssen allen bekannt sein.

– Meldung von Verletzungen der Datensicherheit: Jede Organisation muss einen Prozess einführen um sicherzustellen, dass Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen können, der Aufsichtsstelle für Datenschutz (EDÖB [iv]) gemeldet werden.

– Kann eine Personendatenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen, muss eine Datenschutz-Folgeabschätzung durchgeführt werden. Die Datenschutz-Folgeabschätzung ist eine Dokumentation der geplanten Bearbeitung und eine Selbstbewertung der mit der Datenbearbeitung verbundenen Risiken sowie der Massnahmen zur Risikominimierung. Jede NPO muss einen Prozess einführen, der die Prüfung der Notwendigkeit und – wo nötig – die Vornahme von Datenschutz-Folgeabschätzungen sicherstellt. Ein hohes Risiko kann beispielsweise vorliegen, wenn Zahlungsverbindungsdaten, die einen Missbrauch ermöglichen, oder besonders schützenswerte Personendaten[iii] bearbeitet werden.

Liegt ein hohes Risiko vor, ist die Aufsichtsstelle für Datenschutz (EDÖB[iv]) zu konsultieren, sofern die NPO keine/n Datenschutzberater/in ernannt und konsultiert hat.

Für grosse NPOs oder NPOs mit heiklen Datenbearbeitungen:

– Werden im Rahmen von automatisierten Bearbeitungen besonders schützenswerte Personendaten[iii] in grossem Umfang bearbeitet1 oder Profiling[v] mit hohem Risiko[vi] durchgeführt, ist ein Bearbeitungsreglement zu erstellen. Beispiele dafür: Ein Verein definiert das Persönlichkeitsprofil der idealen Geschäftsführerin oder des idealen Geschäftsführers und lässt dann computerbasiert beurteilen, welche Bewerber:innen diesem am besten entsprechen. Eine Organisation sammelt automatisiert öffentliche Social-Media-Daten zur Erstellung von Profilen potentieller Spender:innen.

– Die Ernennung und Meldung eines Datenschutzberaters/einer Datenschutzberaterin ist freiwillig. Sie ist sinnvoll, wenn Datenbearbeitungen vorgenommen werden, die ein hohes Risiko darstellen, da die Organisation bei Einbezug des Datenschutzberatenden von der sonst vorgeschriebenen Konsultationspflicht der Aufsichtsstelle für Datenschutz (EDÖB[iv]) entbunden wird. Unabhängig davon, ob die Organisation eine Person meldet, macht es häufig auch bei kleineren und mittelgroßen NPOs Sinn, jemanden zu bestimmen, der sich mit der Umsetzung der Datenschutzvorschriften vertieft befasst und für Schulung und Beratung der Ehrenamtlichen, Freiwilligen und angestellten Mitarbeitenden zuständig ist. Dies kann natürlich auch durch externe Unterstützung erfolgen. 

– Wenn Ihre NPO 250 oder mehr Mitarbeitende beschäftigt oder besonders schützenswerte Personendaten[iii]  in grossem Umfang bearbeitet[i] oder Profiling[vi] mit hohem Risiko[vii] durchführt, sind Sie verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Bearbeitungstätigkeiten sind z. B. Mitgliederverwaltung, Rechnungswesen, Organisation von Veranstaltungen etc.. Das Verzeichnis beinhaltet u. a. Bearbeitungszweck, Kategorie der bearbeiteten Daten, an wen und wohin die Daten gegebenenfalls weitergegeben werden. Die Erstellung eines solchen Verzeichnisses kann auch ohne gesetzliche Verpflichtung hilfreich sein, um sich einen Überblick zu verschaffen, wo welche Daten bearbeitet werden. Jede NPO muss wissen, wo sie welche Personendaten[ii] wie bearbeitet, um beispielsweise ein Auskunftsbegehren einer betroffenen Person rechtzeitig und vollständig beantworten zu können.

2. Grundsätze der Datenbearbeitung einhalten

Die Bearbeitung von Personendaten[ii] ist nach Schweizer Recht zulässig, soweit sie nach den Grundsätzen des Gesetzes, wie Verhältnismässigkeit, Zweckgebundenheit etc. vorgenommen wird (siehe im Bild Box «Grundsätze der Datenbearbeitung»).

3. Wo nötig Rechtfertigungsgrundlage und Einwilligungsmanagement sicherstellen

Eine Rechtfertigung, wie z. B. eine gesetzliche oder vertragliche Grundlage oder eine Einwilligung, ist nur dort notwendig, wo:

– die Grundsätze der Datenbearbeitung nicht eingehalten werden

– die betroffene Person der Bearbeitung ausdrücklich widerspricht oder

– besonders schützenswerte Personendaten[iii] wie u. a. Gesundheitsdaten, Daten über religiöse, politische oder gewerkschaftliche Ansichten etc. an Dritte bekannt gegeben werden.

Ist eine Einwilligung erforderlich, muss sie informiert und freiwillig erfolgen. Bei besonders schützenswerten Daten[iii] und Profiling[v] mit hohem Risiko[viI] hat die Einwilligung zudem ausdrücklich zu erfolgen. Ausdrücklich bedeutet durch ein aktives zustimmendes Verhalten, wie zum Beispiel durch Unterschreiben oder durch Anklicken eines Buttons auf einem online Formular.

4. Informationspflichten wahrnehmen

Personen, von denen Daten bearbeitet werden, sind über Identität und Kontaktdaten der verantwortlichen NPO, den Bearbeitungszweck sowie Dritte, an die Daten bekannt gegeben werden, zu informieren.

Vereine, Genossenschaften und Stiftungen müssen sicherstellen, dass überall dort, wo Personendaten[ii] erhoben werden, z. B. auf Webseiten, auf Social-Media-Kanälen, bei Veranstaltungen und Webinaren, in Bewerbungsprozessen etc. Datenschutzinformationen – oder ein Verweis darauf – vorhanden sind.

Bei bestehenden Datenschutzerklärungen ist zu überprüfen, ob alle gesetzlich vorgeschriebenen Angaben darin enthalten sind.

5. Angemessene Datensicherheit gewährleisten und Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sicherstellen

NPOs müssen angemessene technische und organisatorische Massnahmen vornehmen, um Personendaten[ii] dem Risiko entsprechend zu schützen.

Massnahmen zur Sicherheit sind beispielsweise die Einrichtung von Berechtigungskonzepten, dass nur Mitarbeitende, Ehrenamtliche und Freiwillige auf die Daten, die sie zur Erfüllung ihrer Aufgaben benötigen, zugreifen können (Need to Know Prinzip), Passwortschutz mit angemessener Passwortstärke, Firewalls oder regelmässige Softwareupdates. Auch organisatorische Massnahmen wie Vorgaben zum Umgang mit Personendaten im Home Office oder auf Reisen oder Vorschriften zum ordnungsgemässen Vernichten von Datenträgern können sinnvoll und geboten sein, um die Personendatenbearbeitung datenschutzkonform vornehmen zu können.

6.Vertragsverhältnisse datenschutzkonform gestalten

Werden externe Dienstleister, z. B. IT-Provider, ausgelagerte Personal- oder Mitgliederverwaltung oder (online) Übersetzungsdienste etc. genutzt, an die Personendaten[ii] weitergegeben werden, muss eine Vereinbarung über die Auftragsbearbeitung abgeschlossen werden. Diese Vereinbarung muss regeln, dass

– Daten nur so bearbeitet werden, wie die NPO selbst dies tun dürfte

– die Datensicherheit gewährleistet ist und

– Unterbeauftragte nur mit Genehmigung der NPO vom Dienstleister eingesetzt werden.

Werden Personendaten in ein Land ohne angemessenen Datenschutz bekannt gegeben, sind darüber hinaus zusätzliche Massnahmen erforderlich, z. B. der Abschluss von Vertragsbedingungen, die von den Datenschutzaufsichtsbehörden geprüft wurden (sog. Standartvertragsklauseln). Länder mit angemessenem Datenschutz sind u. a. die Länder des EWR und UK. Als Land ohne gleichwertiges Datenschutzniveau gilt z. B. die USA.

Alle Vertragsverhältnisse – auch mündlich oder online abgeschlossene – sind entsprechend zu überprüfen. Zu denken ist insbesondere auch an Vertragsbedingungen von Onlinetools und Apps, z.B. für die Mitgliederverwaltung oder Terminkoordination oder von Cloud-Speichern, wie Google Drive, Dropbox etc., in welche Personendaten eingegeben werden.

7. Prozesse zur Gewährung der Betroffenenrechte sicherstellen

Jede NPO, die Personendaten bearbeitet, muss sicherstellen, dass sie den betroffenen Personen Auskunft darüber erteilen kann, welche Daten bearbeitet werden. Die Auskunft hat in der Regel schriftlich, kostenlos und innert 30 Tagen zu erfolgen. Weiter muss der Datenbearbeitung widersprochen werden können. Daten müssen auf Verlangen berichtigt, gelöscht oder zur Weiterbearbeitung herausgegeben werden können.

Um die Betroffenenrechte gewähren zu können, ist es notwendig, dass die Organisation sich eine Übersicht verschafft, wo welche Personendaten[ii] in der NPO vorhanden sind. Es müssen Prozesse definiert und kommuniziert werden, damit Auskunfts- und andere Ersuche an die intern richtige Stelle gelangen, wo sie beantwortet und umgesetzt werden können.

 

 

 

Wer bisher DSG-konform war, kann vieles beibehalten. Entsprechend wichtig ist es, sich zuerst einen Überblick zu verschaffen und zu analysieren, ob und wo Handlungsbedarf besteht. Dazu kann die Vornahme einer Gap-Analyse hilfreich sein. Je nach Stand Ihrer Organisation kann die Umsetzung der Anforderungen des neuen Datenschutzes einiges an Zeit und Ressourcen beanspruchen. Um per 1. September 2023 bereit zu sein, sollten Sie zeitnahe mit Ihrer Gap-Analyse und gegebenenfalls nötigen Umsetzungsmaßnahmen beginnen. Gerne stehen wir Ihnen dabei zur Seite. Sie können uns dafür jederzeit kontaktieren. 

Annette Vogt Widmer, lic. iur., Rechtsanwältin (Schweiz)

[i] bearbeiten, Art. 5 lit. d revDSG

[ii] Personendaten, Art. 5 lit. a revDSG

[iii] besonders schützenswerte Personendaten, Art. 5 lit. c revDSG

[iv] Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

[v] Profiling, Art. 5 lit. f revDSG

[vi] Profiling mit hohem Risiko, Art. 5 lit. g revDSG

Weitere Beiträge

„Lernen von Seinesgleichen“ von Gastautor Kuno Roth

Die B'VM freut sich mit Kuno Roth einen ersten Gastblogger begrüssen zu dürfen, der in Zukunft seine Erfahrungen im Bereich des organisationalen Lernens mit Ihnen teilen wird. Warum zwei Drittel aller beruflichen Weiterbildungen nicht ihren Zweck erfüllen und was man besser machen könnte, lernen wir von Kuno Roth.

Job
Geschäftsleiterin oder Geschäftsleiter (60-80%)

Die Stiftung für preisgünstigen Wohnraum Basel-Stadt bezweckt preisgünstigen Mietwohnraum und preisgünstige Räumlichkeiten für Kleinbetriebe zu erhalten bzw. zu schaffen und bereitzustellen. Die im 2021 ins Leben gerufene Stiftung befindet sich im Aufbau. Per sofort oder nach Vereinbarung sucht die Stiftung für preisgünstigen Wohnraum Basel-Stadt eine/n Geschäftsleiterin oder Geschäftsleiter.

Job
Projektleiter/in Bauherr (80-100%)

Die Familienheim-Genossenschaft Zürich (FGZ) ist eine gemeinnützige Wohnbaugenossen-schaft, die bezahlbaren und attraktiven Wohnraum für alle Generationen erstellt und vermietet. Als grosse Siedlungsgenossenschaft prägt sie mit nahezu 2300 Wohn- und einigen Gewerbeobjekten im Zürcher Stadtkreis 3 das Leben im Quartier Friesenberg positiv.

Job
Betriebsinformatiker:in EFZ oder Informatiker:in EFZ 50-60%

Die B’VM erbringt Beratungs- und Service-Leistungen für Verbände und andere Nonprofit-Organisationen. Zur Unterstützung unseres Teams am Standort Bern suchen wir ab März 2023 oder nach Vereinbarung eine:n Betriebsinformatiker:in EFZ oder Informatiker:in EFZ oder eine Person mit gleichwertiger Ausbildung bzw. Berufserfahrung in vergleichbarer Funktion.

Netzwerkanlass von VMI und B’VM, 11. Januar 2023

Mit Freude schauen wir auf den Netzwerkanlass von VMI und B’VM zurück. Unsere 100 Gäste haben den Austausch rund ums Thema Wandel in Nonprofitorganisationen und die Vernetzung genossen.

Danke Gerlinde Stöbich für 30 Jahre Pionierarbeit

1992 ist Gerlinde Stöbich zum damals in der Schweiz bereits bestehenden B’VM-Team gestossen. Zusammen mit ihrem Kollegen Andreas Kattnigg und der Aktiengesellschaft in der Schweiz, hat sie die B’VM GmbH in Linz mitgegründet und wurde Partnerin.

B’VMessage Nr. 79 – Wissensarbeit, Sponsoring und Strategie

Lesen Sie die aktuelle B'VMessage mit Fachartikel unserer Beratenden jetzt. Finden Sie heraus, welche Aktivitäten die B'VM umsetzt und/oder plant und holen sich Informationen zu Events und zu B'VM Mitarbeitenden. Viel Spass bei der Lektüre!

Agilität – etwas für Ihre Organisation?

Gärtchendenken, Innovationsstau, zu lange Entscheidungsprozesse, Bürokratie etc. Kein Wunder interessieren sich immer mehr Organisationen für Agilität und Formen der Selbstorganisation. Unser neues Angebot bringt Klarheit für Sie und Ihre Organisation.

Job
Membres du conseil de fondation (Benevol)

Pour élargir le conseil de fondation existant, Accès B recherche des membres bénévoles du conseil de fondation qui, par leur attitude et leur engagement, sont liés à l'objectif de la fondation. Ils apportent une expérience confirmée dans les domaines de la santé, de l'éducation, de la protection de l'enfance ou de la migration, ainsi que des compétences dans les relations avec les autorités, la politique, les médias et la société civile.

Job
Assistent:in der Geschäftsführung

Zur Ergänzung des Betreuungsteams sucht die Stiftung Sonnenhalde Sie als Assistent:in der Geschäftsführung in einem Pensum von 50-70%. Sie übernehmen u. a. verschiedene Projekte und die Verantwortung für betriebliche Themen wie z.B. Qualitätsmanagement, Datenschutz, Arbeitssicherheit, Gesundheitsschutz und IT.

Nous sommes à votre disposition

Utilisez le formulaire de contact, écrivez-nous un e-mail ou appelez-nous tout simplement.

Suisse

Allemagne

Autriche

Formulaire de contact