computer coding screengrab

Umgang mit personenbezogenen Daten in Ihrer Organisation

Seit das neue Datenschutzgesetz (DSG) am 1. September 2023 in Kraft getreten ist, gelten für gemeinnützige Organisationen neue Regeln.

Die Totalrevision des Gesetzes trug der zunehmenden Nutzung von Internet, Smartphones, sozialen Netzwerken und Cloud-Diensten Rechnung. Im Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) zielt das DSG darauf ab, den Schutz personenbezogener Daten zu verbessern, den Bürger:innen neue Rechte zu geben und den freien Datenfluss mit der EU sicherzustellen.

Für Schweizer Vereine ist die Einhaltung des neuen DSG besonders wichtig. Da sie oft personenbezogene Daten von Mitgliedern, Freiwilligen oder Mitarbeitenden bearbeiten, sind sie direkt betroffen. Die Einhaltung stärkt die Rechte der betroffenen Personen, schützt vor Sanktionen und fördert das Vertrauen der Mitglieder und der Öffentlichkeit in den Umgang des Vereins mit Personendaten. Jede Organisation sollte daher die nötigen Massnahmen ergreifen, um die neuen Anforderungen, die seit dem 1. September 2023 gelten, einzuhalten.

Diese Seite soll Ihnen helfen, die wichtigsten Aspekte dieses Gesetzes zu verstehen und die Anpassung Ihres Vereins an die neuen Anforderungen zu erleichtern.

Was besagt das neue DSG konkret?

  1. Nur personenbezogene Daten natürlicher Personen sind geschützt – die Daten von juristischen Personen nicht mehr.
  2. Für die Bearbeitung von Personendaten gelten folgende Grundsätze: Rechtsmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Richtigkeit und Datensicherheit.
  3. Genetische und biometrische Daten gelten neu als besonders schützenswert.
  4. Die Einführung der Prinzipien «Privacy by Design» und «Privacy by Default» bedeutet, dass Sie den Schutz der Privatsphäre bei allen Dienstleistungen und Produkten, bei denen Personendaten gesammelt werden, von Anfang an und als Standardeinstellung einplanen müssen.
  5. Wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, müssen Sie vorgängig eine Datenschutz-Folgenabschätzung erstellen
  6. Betroffene müssen vor der Erhebung von Personendaten – egal welcher Art – transparent informiert werden.
  7. Es besteht die Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten. Davon ausgenommen sind kleine Vereine (< 250 Angestellte).
  8. Verletzungen der Datensicherheit müssen möglichst schnell dem EDÖB (Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten) gemeldet werden.
  9. Profiling (automatisierte Datenanalyse) unterliegt nun gesetzlichen Einschränkungen.
  10. Betroffene können jederzeit die Berichtigung von falschen Daten oder Auskunft über die gesammelten Daten verlangen. Sie können auch die Herausgabe oder Löschung der Daten verlangen.

Grundprinzipien des Datenschutzes

  1. Rechtsmässigkeit: Jede Datenbearbeitung entspricht den gesetzlichen Vorschriften, allfällige Ausnahmen sind begründet.
  2. Treu und Glauben: Wird keine Weitergabe an Dritte gewünscht, so wird dies respektiert.
  3. Verhältnismässigkeit: Nur notwendige Daten werden erhoben (z. B. keine Religionszugehörigkeit für einen Spielverein).
  4. Richtigkeit: Daten werden bei Änderungen sofort aktualisiert.
  5. Zweckbindung: Daten werden nur für einen klar definierten Zweck verwendet und danach gelöscht.
  6. Transparenz: Betroffene werden über die Erhebung der Daten und den Verwendungszweck informiert.
  7. Datensicherheit: Daten werden physisch (z. B. verschlossener Schrank) und digital (Passwörter, sichere Server) geschützt. Vorstand und Team sind geschult.

Checkliste Datenschutz

  1. Erstellen Sie einen Plan zur Umsetzung der neuen Gesetzgebung (Massnahmen, Zuständigkeiten, Zeitplan).
  2. Bestimmen Sie eine für den Datenschutz verantwortliche Person und sorgen Sie für deren Ausbildung.
  3. Prüfen Sie, ob Ihre Organisation ein Verzeichnis der Bearbeitungstätigkeiten führen muss (oder ein einfaches Inventar).
  4. Erstellen bzw. überarbeiten Sie Ihre Datenschutzerklärung und binden Sie sie auf Ihrer Webseite ein. Informieren Sie Ihre Mitglieder bei Änderungen der Datenschutzregelung.
  5. Überprüfen Sie alle internen Prozesse: Welche Daten? Wofür? Wo gespeichert? Wer hat Zugang?
  6. Prüfen Sie, ob Ihre Organisation der DSGVO unterliegt (bei Datenübertragung in die EU).
  7. Ergänzen Sie Ihr Beitrittsformular um eine Zustimmungsklausel.
  8. Erwägen Sie, bei der nächsten Revision der Statuten einen Datenschutzartikel einzufügen.
  9. Legen Sie das Verfahren fest, wie mit Auskunftsanfragen umgegangen werden soll (Art. 25 ff. DSG).
  10. Falls ein Vereinsreglement existiert: Erstellen Sie interne Datenschutzrichtlinien.
  11. Überprüfen Sie Ihre Verträge mit Dienstleister:innen und mögliche Weitergaben von Daten an Dritte.
  12. Im Zweifelsfall: Kontaktieren Sie eine:n Jurist:in oder den EDÖB.
  13. Informieren Sie Ihre Mitglieder über die vorgenommenen Änderungen.
  14. Löschen Sie regelmässig alle veralteten Daten.

Diese Ratschläge wurden von Vitamin B zusammengestellt und an die Bedürfnisse von Vereinen angepasst.

Kontaktstelle Kanton Freiburg

Kantonale Behörde für Öffentlichkeit, Datenschutz und Mediation
Rue des Chanoines 2, 1700 Freiburg
+41 26 322 50 08 (Mo–Fr)
Website

Online-Ressourcen

Literaturhinweis

  • S. Métille – Datenschutzgesetz, Helbing & Lichtenhahn (erscheint 2025)
    Detaillierte Analyse des revidierten DSG und der neuen Verordnung.
  • F. Charlet – Datenschutz im Unternehmen, Helbing & Lichtenhahn (erscheint 2025)
    Praxisnaher Überblick zur Anwendung des revidierten DSG und der DSGVO.

Wussten Sie schon?

Die erste Version des Schweizer Datenschutzgesetzes stammt aus dem Jahr 1992 – damals nutzten weniger als 1 % der Weltbevölkerung das Internet. Im selben Jahr wurde auch die erste SMS verschickt. Heute sind fast 60 % der Menschen online – der Datenschutz ist wichtiger denn je.