Neues Datenschutzgesetz nDSG

Das totalrevidierte schweizerische Datenschutzgesetz (nDSG) tritt per 1. September 2023 in Kraft. Das neue DSG betrifft auch Vereine.

Kurzübersicht – was ändert am 1. September 2023?

Das neue Datenschutzgesetz:

  • behebt Schwächen des jetzigen Datenschutzrechts – insbesondere in Bezug auf die Digitalisierung,
  • gewährleistet ein höheres Schutzniveau im Datenschutzrecht, um den länderübergreifenden Datenaustausch, insbesondere mit EU-Ländern, zu gewährleisten. Unser nDSG ist auch eine Anpassung an die EU-Datenschutzverordnung (EU-DSGVO),
  • führt Mindestanforderungen an die Datensicherheit, neue Bussen und höhere Transparenzpflichten ein,
  • stärkt die Rechte der betroffenen Personen und die Kontrollmöglichkeiten,
  • verschärft die Strafbestimmungen; jedoch «nur» bei Vorsatz, nicht bei Fahrlässigkeit.

Mit dem nDSG kommen keine spezifischen Bestimmungen, die nur für Vereine gelten. Es ist nicht erforderlich, dass Mitglieder beim Inkrafttreten des Gesetzes extra informiert werden müssen. Allerdings ist es für alle Vereine notwendig,

  • über eine Datenschutzerklärung zu verfügen
  • sich mit dem neuen Gesetz auseinanderzusetzen
  • allfällige Verletzungen der Datensicherheit proaktiv zu melden (Meldepflicht)
  • betroffenen Personen auf Anfrage Auskunft zu erteilen.
© shutterstock.ch/Buravlevastock
Für Vereine

Checkliste nDSG

Die folgende Checkliste dient als Orientierung bei der Vorbereitung der korrekten Umsetzung des nDSG für Vereine.

nDSG Checkliste (pdf)

Die wichtigsten Aspekte im Gesetz für Vereine

Bearbeitungsgrundsätze im Umgang mit Personendaten

Mit «Bearbeiten» der Personendaten ist das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren oder Löschen von Informationen zu einer Person gemeint.

Um mit Personendaten korrekt umzugehen, gibt es neue Bearbeitungsgrundsätze, die von Vereinen eingehalten werden müssen:

  • Der Grundsatz der Rechtmässigkeit: Das nDSG muss bei jeder Bearbeitung der Personendaten (Mitglieder, Spender:innen oder Gesuchssteller:innen der Solidaritätsfonds) eingehalten werden.
  • Der Grundsatz der Datenminimierung: Es sollen so viel wie nötig und so wenig wie mögliche Daten erhoben werden. Formulare müssen hinterfragt werden: Brauchen wir alle Informationen, die wir erfragen, für den Zweck der Datenerhebung?
  • Sobald erhobene Daten zum Zweck der Bearbeitung nicht mehr erforderlich sind und keine gesetzliche Aufbewahrungspflicht mehr besteht, müssen sie gelöscht werden.
  • Die Datensicherheit muss sichergestellt werden. Personendaten dürfen bei einem Vorstandswechsel nicht lokal auf einem Computer oder in Papierform bei einem ehemaligen Vorstandsmitglied aufbewahrt werden.
  • Personendaten dürfen ohne Einwilligung der betroffenen Personen, Auftragsvereinbarungen oder eine Statutenanpassung nicht an Dritte weitergegeben werden.
  • Der Vereinsvorstand trägt die Verantwortung für den konformen Umgang mit Daten.
  • Das Mitglied kann Auskunft über seine Daten verlangen (Auskunftsrecht).

Datenschutzerklärung (DSE) erstellen

Eine Datenschutzerklärung beschreibt, wie Daten (insbesondere personenbezogene Daten) von einer Organisation verarbeitet werden.

ALLE Vereine sind verpflichtet, bis zum 1. September 2023 eine eigene Datenschutzerklärung (DSE) auf die Vereins-Website zu stellen.

Die DSE ist nicht Teil des Impressums, sondern eine eigene Unterseite auf der Website und kann über die Fusszeile aufgerufen werden. Wer über keine Website verfügt, muss die DSE dennoch in schriftlicher Form erstellen und auf Anfrage vorzeigen können. Als alternative Lösung kann die DSE auf einem Profil auf Localcities verlinkt werden, siehe auch den Dachverband als Beispiel. Bei Fragen zur Umsetzung ist die Geschäftsstelle gerne behilflich. 

Die DSE informiert über die Bearbeitung von Personendaten von Mitgliedern und Webseitebesucher:innen.

Das aktive Akzeptieren der DSE ist nicht nötig. Wir empfehlen, die eigene DSE durch externe IT/Website-Verantwortliche prüfen zu lassen. Zudem ist es ideal, auf allen Websites ein Cookie Banner einzubauen – mit der Information über die Verwendung von Cookies und einem Hinweis zur Datenschutzerklärung.

  • Eine allgemeine Erklärung und Angaben zum Verein
  • Welche Daten werden erhoben und bearbeitet
  • Was ist der Zweck der Datenbearbeitung
  • Informationen über Cookies, Tracking, Social Media Plugins und andere Technologien, welche die Website nutzt
  • Weitergabe von Daten an Dritte
  • Dauer der Aufbewahrung, welcher Daten
  • Datensicherheit
  • Erläuterung der Rechte Betroffener
  • Interne Ansprechperson

Eine Änderung der DSE ist jederzeit/einseitig möglich (Version festhalten).

Achtung: Wer nicht über eine Website verfügt, muss anders informieren. Eine Vorlage für eine DSE kann beim SKF oder direkt in der SKF beUnity Community bezogen werden. Wir weisen darauf hin, dass das Muster in jedem Fall einzeln geprüft und auf den eigenen Verein angepasst werden muss. Bei Unsicherheiten ist die Beratung durch eine juristische Fachperson angezeigt.

Bearbeitungsverzeichnis

Für Vereine ist es – im Gegensatz zu Firmen ab 250 Mitarbeiter:innen – nicht zwingend erforderlich, ein Bearbeitungsverzeichnis zu erstellen. Der SKF empfiehlt jedoch, dass Kantonalverbände und Ortsvereine ein solches Verzeichnis erstellen. Eine Vorlage dazu findest du in der SKF beUnity Community. Folgende Fragen sind dabei zu beachten:

  • Welche Daten werden wo gespeichert?
  • Wer hat Zugriff?
  • Ist die Datensicherheit sichergestellt?
  • Ist eine Datenschutzzuständige bestimmt?
  • Wer ist für die Bearbeitung verantwortlich?
  • Zu welchem Zweck werden die Daten bearbeitet?
  • Welche Kategorien von Personen sind betroffen?
  • Welche Kategorien von Daten sind betroffen?
  • An welche Kategorien von Empfänger:innen werden Daten übertragen?
  • Wie lange werden die Daten gebraucht / aufbewahrt?
  • Mit welchen Massnahmen wird die Datensicherheit gewährleistet?
  • In welche Länder werden Daten übertragen? Welche Garantien zur Sicherstellung des Datenschutzes bestehen beim Transfer in diese Länder

Weitergabe von Mitgliederdaten: Die Auftragsbearbeitung

Wenn Personendaten an Dritte weitergegeben werden, z.B. an eine Druckerei, bedarf es entweder eine Einwilligung jedes Mitglieds oder eine vorgängige Mitteilung mit Widerspruchsrecht.

Eine Weitergabe an Dritte ist ohne Zustimmung möglich, wenn ein Vertrag mit der Datenbearbeiterin geschlossen wird. Diese verpflichtet sich in der Vereinbarung, die Daten so zu bearbeiten, wie es der Verein selbst macht. Die Seriosität jeglicher externer Datenbearbeiter:innen ist durch den Verein sorgfältig zu prüfen. Bei internationaler Datentransfers sind allenfalls zusätzliche Massnahmen nötig.

Ein Auftragsbearbeitungs-Vertrag klärt die Art und den Zweck der Bearbeitung, die Art der personenbezogenen Daten, den Kreis betroffener Personen, die Pflichten und Rechte der Verantwortlichen, die Pflichten der Auftragsverarbeiterin und die Wahrung der Vertraulichkeit. Eine Vorlage für die Vereinbarung mit Dritten ist beim SKF oder direkt in der SKF beUnity Community erhältlich.

Austausch zu nDSG

Interessierte Vorstandsfrauen können sich in der neuen Gruppe nDSG auf der Vernetzungsplattform beUnity austauschen.

Der Gruppe beitreten

Muster für Vereine

Alle Vorlagen können beim SKF bezogen werden oder direkt in der SKF beUnity Community heruntergeladen werden. Wir weisen ausdrücklich darauf hin, dass jegliche Mustervorlagen einzeln geprüft und auf die individuellen Vereine angepasst werden müssen. Bei Unsicherheiten ist die Beratung durch eine juristische Fachperson angezeigt.

Datenschutzerklärung

Das Muster Datenschutzerklärung für Ortsvereine und Kantonalverbände gibt es auf beUnity. Schreibe uns auf info@frauenbund.ch damit du Zugang erhälst.

Auftragsvereinbarung

Das Muster Auftragsbearbeitungsvertrag mit Dritten für Ortsvereine und Kantonalverbände gibt es auf beUnity. Schreibe uns auf info@frauenbund.ch damit du Zugang erhälst.

Bearbeitungsverzeichnis

Das Muster Bearbeitungsverzeichnis für Ortsvereine und Kantonalverbände gibt es auf beUnity. Schreibe uns auf info@frauenbund.ch damit du Zugang erhälst.

Begriffserklärungen und häufige Fragen rund um das nDSG

zum Glossar und häufigen Fragen