Glossar und häufige Fragen

Das totalrevidierte schweizerische Datenschutzgesetz tritt per 1. September 2023 in Kraft. Das nDSG betrifft auch Vereine. Die folgenden Begriffserklärungen helfen als Orientierung in der Vorbereitung zur korrekten Umsetzung des nDSG für Vereine. Zudem finden sich im zweiten Teil die häufigsten Fragen und Antworten zum nDSG.

Glossar – Begriffe rund um das nDSG erklärt

Die Auftragsbearbeitung ist die Erhebung, Bearbeitung oder Nutzung von personenbezogenen Daten durch eine Auftragsbearbeiterin gemäss den Weisungen der für die Datenbearbeitung Verantwortlichen auf Grundlage eines Vertrages.

Eine Auftragsbearbeitung liegt immer dann vor, wenn der oder die Dienstleister:in die Daten streng weisungsgebunden verarbeitet. Wenn er oder sie keine eigene Entscheidungsbefugnis hat oder ihm / ihr die Nutzung der Daten für eigene Zwecke ausdrücklich untersagt ist.

Mit Bearbeiten der Personendaten ist das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren oder Löschen von Informationen zu einer Person gemeint. Mit dem neuen Datenschutzgesetz gibt es neue Bearbeitungsgrundsätze, die eingehalten werden müssen:

  • Der Grundsatz der Rechtmässigkeit: Das nDSG muss bei jeder Bearbeitung der Personendaten (Mitglieder, Spender:innen oder Gesuchssteller:innen der Solidaritätsfonds) eingehalten werden.
  • Der Grundsatz der Datenminimierung: Es sollen so viel wie nötig und so wenig wie mögliche Daten erhoben werden. Formulare müssen hinterfragt werden: Brauchen wir alle Infos, die wir erfragen, für den Zweck der Datenerhebung?
  • Sobald die zum Zweck der Bearbeitung erhobene Daten nicht mehr erforderlich sind und keine gesetzliche Aufbewahrungspflicht mehr besteht, müssen sie gelöscht werden.
  • Die Datensicherheit muss sichergestellt werden. Personendaten dürfen bei einem Vorstandswechsel nicht lokal auf einem Computer oder in Papierform bei einem ehemaligen Vorstandsmitglied aufbewahrt werden.
  • Personendaten dürfen ohne Einwilligung der betroffenen Personen, Auftragsverein-barung oder eine Statutenanpassung nicht an Dritte weitergegeben werden.
  • Der Vereinsvorstand trägt die Verantwortung für den konformen Umgang mit Daten.
  • Das Mitglied kann Auskunft über seine Daten verlangen (Auskunftsrecht).

Das Bearbeitungsverzeichnis bildet alle Datenbearbeitungsvorgänge ab, damit für den Verein ersichtlich ist, welche Daten von wem auf welche Weise bearbeitet werden. Dadurch wird eine höhere Transparenz und Rechtssicherheit im Bereich des Datenschutzes erreicht.

Bearbeitungsverzeichnisse sollen dafür sorgen, dass die Organisation überhaupt weiss, wie sie Personendaten bearbeitet. Anhand eines Bearbeitungsverzeichnisses kann der Verein sämtliche Bearbeitungsvorgänge nachvollziehen und damit auch nachweisen, dass die datenschutzrechtlichen Vorgaben erfüllt werden.

Datenschutz beschreibt den Schutz vor der missbräuchlichen Bearbeitung personenbezogener Daten sowie den Schutz des Rechts auf informationelle Selbstbestimmung.

Datenschutz heisst, dass man Daten nicht einfach nutzen darf. Mit Daten sind Informationen über Menschen gemeint: Name, Geburtsdatum, Wohnort, Telefonnummer und so weiter. Diese Informationen sind etwas sehr Persönliches. Jeder Mensch soll bestimmen können, wer ausser ihm selbst diese Informationen haben darf und wer nicht. Der Datenschutz ist deshalb ein wichtiges Recht für Menschen. Im Datenschutzgesetz steht geschrieben, was man mit den Daten anderer Menschen machen darf und was nicht. Hält sich jemand nicht an dieses Gesetz, kann er oder sie bestraft werden.

Eine Datenschutzerklärung beschreibt, wie Daten (insbesondere personenbezogene Daten) von einer Organisation verarbeitet werden, das heisst, wie diese Daten gesammelt, genutzt und ob sie an Dritte weitergegeben werden.

Eine Datenschutzrichtlinie ist eine Zusammenführung von internen Themen des Datenschutzes und dient als Unterweisung und Orientierung für alle Mitarbeiter:innen und Vorstandsmitglieder.

Zur Datensicherheit zählen technische und organisatorische Massnahmen, die dem Schutz aller Daten dienen.

Die Datenschutzverantwortliche überwacht die vereinsinterne Einhaltung der Datenschutzvorschriften und führt ein Verzeichnis der Datensammlungen.

Ganz am Anfang der Datenbearbeitung steht die Informationspflicht der Verantwortlichen gegenüber den Betroffenen. Denn: Jede Stelle, die personenbezogene Daten verarbeitet, muss betroffene Personen grundsätzlich hierüber zum Zeitpunkt der Erhebung informieren.

Internationaler Datenverkehr oder Datenexport ist die Weitergabe von personenbezogenen Daten ins Ausland oder an eine Internationale Organisation. Bevor eine Datenübermittlung erfolgen darf, muss zunächst geprüft werden, ob eine Rechtsgrundlage zur Übermittlung vorliegt. (z.B. bei Nutzung Amerikanischer Tech-Firmen, etc.)

Einfache Personendaten beziehen sich auf eine bestimmte Person (z.B. Mitgliederdaten wie Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Fotografien etc.)

Besonders schützenswerte Personendaten sind beispielsweise

  • Daten über religiöse oder politische Ansichten (also auch Vereinsmitgliedschaften, die Rückschluss auf eine Religionszugehörigkeit geben)
  • Daten über die Gesundheit oder ethnische Herkunft
  • Daten über Sozialhilfeleistungen, z.B. durch einen Solidaritätsfonds

Für den Umgang mit besonders schützenswerten Daten bestehen erhöhte Anforderungen.

Häufig gestellte Fragen

Beim Datenschutzgesetz geht es auch darum, keine Daten auf Vorrat zu sammeln, die gar nicht notwendig sind. Wenn ein Ortsverein also an Geburtstagen gratuliert, gibt es einen Grund, diesen zu erfassen. Noch idealer ist, wenn die Angabe freiwillig erfolgt. Zudem macht es Sinn, den Grund für die Erfassung zu nennen.

Das kann weiterhin so gehandhabt werden. Zudem kann das Thema in der Datenschutzerklärung erwähnt werden, siehe Teil 2 der DSE den Punkt 8 Bilder und Filme.

Ein Cookie Banner ist ein Fenster, welches beim ersten Besuch einer Website aufgeht. Dabei gibt es zwei Varianten: das einfache Banner weist auf den Einsatz von Cookies und die Datenschutzerklärung hin. Die komplexere Version gibt den Nutzer:innen die Möglichkeit, selbst festzulegen, mit welchen Cookies sie einverstanden sind. Auf der Frauenbund Website wurde die einfachere Version umgesetzt.

ClubDesk verfügt über einen AVV, diese wird mit der Annahme der AGB automatisch abgeschlossen. Bei Pimcore Websites ist dies nicht nötig, weil darin ja nicht die Adressen aller Mitglieder verwaltet werden.

ClubDesk informiert auf einer Übersichtsseite ausführlich über die beim nDSG wichtigsten Themen für Vereine und hat hilfreiche Materialien (Checkliste, Mustertexte, Arbeitshilfen, etc.) zusammengestellt. Es bietet auch Muster für Impressum und Datenschutzerklärung.

Ja, die SKF Datenschutzerklärung auf frauenbund.ch wie auch die ClubDesk Musterseite ist so erstellt, dass der erste Teil die Website und Onlinedienste abdeckt. Im Teil B ist allgemeines zum Datenschutz.  Auch wenn ein Verein über keine Website verfügt, muss die DSE dennoch in schriftlicher Form erstellt und auf Anfrage vorzeigt werden können. Beispielsweise kann die DSE auf einem Profil auf Localcities verlinkt werden, wir haben den Dachverband als Beispiel erstellt.

Es kann ein Formular oder Schild im Beratungszimmer aufgestellt werden, mit dem Hinweis auf Datenschutzerklärung. Diese soll auch spezifisch mit Informationen zum Zweck der Bearbeitung und den erhobenen Kategorien personenbezogener Daten ergänzt werden.

Zudem empfiehlt es sich, Formulare, welche die Gesuchsteller:innen ausfüllen mit einem Hinweis auf die Datenschutzerklärung zu ergänzen, z.B.:
Datenschutz: Gesuchsteller:innen erklären sich damit einverstanden, dass Ihre Angaben zur Bearbeitung des Gesuchs verwendet werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung: www.frauenbund.ch/datenschutzerklaerung

Der Datenschutzbeauftragte rät von der Veröffentlichung des Protokolls auf der Website ab, da damit jeder Zugriff haben würde, die eigentliche Zielgruppe aber nur die Mitglieder sind. Eine Veröffentlichung auf der Website wird als unverhältnismässig bewertet. Als angemessen betrachtet wird der für Mitglieder beschränkte Zugang. Mehr dazu auf der Seite des EDÖB unter Fallbeispiel.