– Anzeige –
Zur Person
Nicola Benz ist gebürtige Schottin. In ihrer Heimat hat sie die Ausbildung zur Anwältin absolviert und arbeitet seit 2002 in der Schweiz. Sie ist Partnerin in der Kanzlei MLL Legal in Zürich und ihre Spezialgebiete sind IT-Recht und Datenschutz. Nicola Benz ist Mutter von zwei Kindern, fährt jeweils mit dem Fahrrad zur Arbeit und geht gerne wandern. Früher war sie Mitglied in einem Turnverein, heute fehlt ihr jedoch neben Familie und Job die Zeit dafür.
Frau Benz, das neue Datenschutzgesetz ist am 1. September in Kraft getreten – warum braucht es dieses Gesetz überhaupt?
Nicola Benz: Das hängt zum Teil mit der EU zusammen. Die EU hat 2018 die Datenschutzgrundverordnung (DSGVO) eingeführt. Die Schweiz ist von der EU als Land mit einem angemessenen Datenschutzniveau eingestuft. Damit wir diesen Status behalten können, müssen wir unser Datenschutzgesetz anpassen.
Dazu kommt noch, dass die Datenvolumen immer grösser werden, und die Kontrolle darüber zu halten schwieriger wird. Daten sind sehr wertvoll und das revidierte Gesetz sollte diesen Umständen Rechnung tragen.
Was sind denn die grössten Veränderungen, die dieses Gesetz mit sich bringt?
Die wichtigste Anpassung ist die Informationspflicht. Unternehmen und Vereine müssen ihren Mitarbeitenden, Kunden und Mitgliedern insbesondere sagen, welche Daten wo gespeichert werden, zu welchem Zweck die Daten verwendet werden und ob diese Daten an Dritte weitergegeben werden. Damit das möglich ist, muss jeder natürlich zuerst selbst wissen, welche Daten er sammelt, und für welche Zwecke diese bearbeitet werden sollen.
Zudem gibt es neu auch strengere Sanktionen, wenn diese Vorgaben nicht eingehalten werden.
Das ist richtig. Die Sanktionen wurden stark ausgebaut. Es ist so, dass Personen mit der entsprechenden Verantwortung – also insbesondere Geschäftsleitungs- oder Vorstandsmitglieder – bei Missachtung gewisser Bestimmungen im Datenschutzgesetz mit bis zu 250'000 Franken gebüsst werden können. Es wird dabei nicht der Verein oder das Unternehmen gebüsst, sondern die zuständige Person.
Das neue Datenschutzgesetz durchzulesen, ist eine sehr technische Angelegenheit mit sehr vielen Fachbegriffen. Welche muss man zwingend kennen, um mit diesem Gesetz arbeiten zu können?
Ein zentraler Begriff sind die Personendaten. Darunter fallen alle Angaben, die Rückschlüsse auf eine bestimmbare Person zulassen. Das sind Namen, Adressen, E-Mailadressen, Geburtsdaten, Sportarten und so weiter. Ein zweiter wichtiger Begriff ist der Verantwortliche. Gemeint ist damit in der Regel nicht die zuständige Person, sondern das Unternehmen, der Verein oder der Veranstalter, das oder der für die Daten verantwortlich ist. Der Datenverantwortliche entscheidet, für welche Zwecke Daten bearbeitet werden und mit welchem Mittel dies geschieht. Und als drittes gibt es noch die Auftragsbearbeiter. Das sind Dritte, die mit den Daten im Auftrag eines Datenverantwortlichen arbeiten. Also beispielsweise Softwareanbieter, Werbeagenturen oder Call-Center.
Um das Datenschutzgesetz aus der Theorie näher an die Praxis zu holen, haben wir mehrere Situationen aus dem Vereinsalltag zusammengetragen und möchten diese mit Ihnen besprechen.
Gerne.
Praktisch jeder Verein hat heute eine digitale Mitgliederverwaltung. Was muss man als Verein ab dem 1. September beachten?
Es gilt folgender Grundsatz: Man darf nur das speichern, was man braucht, und nur so lange, wie man es braucht. Das heisst: Es ist sinnvoll, dass man als Verein seine Mitglieder-Daten durchgeht und sich beispielsweise bei allen Datensätzen von ehemaligen Mitgliedern die Frage stellt, ob man sie tatsächlich noch für einen konkreten Zweck braucht oder löschen sollte. Zudem ist es auch wichtig, dass die Daten nach angemessenen technischen Sicherheitsstandards gespeichert werden. Dafür muss mit dem Anbieter der Mitgliederverwaltungs-Software ein entsprechender Vertrag abgeschlossen werden. Diese werden in der Regel vom Anbieter vorgelegt. Der Verein muss jedoch noch mehr beachten.
Nämlich?
Die Informationspflicht ist sehr wichtig. Eine einmalige Information der Mitglieder über die Datenbearbeitung im Verein reicht nicht. Der Verein muss dafür sorgen, dass Personen, die in Zukunft eine Mitgliedschaft abschliessen, aktiv darüber informiert werden, wo, welche Daten gespeichert werden und was damit passiert. Am einfachsten regelt man das in der Datenschutzerklärung, die man auf der Webseite publiziert und verweist in den Informationen an die neuen Mitglieder darauf. Zudem ist es wichtig, dass der Verein sicherstellt, dass nur die Personen Zugriff auf die Personendaten haben, die diese auch wirklich benötigen. Also keine ehemaligen Vorstandsmitglieder oder Vereinsmitglieder ohne besondere Funktion.
Der Verein muss dafür sorgen, dass Personen, die in Zukunft eine Mitgliedschaft abschliessen, aktiv darüber informiert werden, wo, welche Daten gespeichert werden und was damit passiert.
Was heisst das für Vereine, die jeweils Mitgliederlisten inklusive Kontaktdaten verschickt oder auf der Webseite zur Verfügung gestellt haben, damit die Mitglieder untereinander in Kontakt treten können?
Das sollte man nur dann tun, wenn man von jedem einzelnen betroffenen Mitglied die schriftliche Einwilligung hat, dass seine Daten zu diesem Zweck zur Verfügung gestellt werden dürfen. Und da dieser Zweck nicht erfordert, dass die Kontaktangaben generell veröffentlicht werden, sollte die Liste nur einem geschlossenen Kreis zur Verfügung gestellt werden – beispielsweise im Mitgliederbereich der Webseite.
Wenn wir gerade schon bei Listen und Dokumenten sind. Wie sieht es aus mit Athleten-Steckbriefen, Bestenlisten, Ranglisten und Statistiken? Darin sind Personendaten zu finden. Darf man die auch nicht mehr veröffentlichen?
Doch, die darf man weiterhin veröffentlichen, da ein überwiegendes Interesse besteht an diesen Informationen. Drei Dinge müssen aber beachtet werden: Die betroffenen Personen müssen vorab, beispielsweise in der Datenschutzerklärung des Vereins oder in den Teilnamebedingungen eines Events, darüber informiert werden. Es dürfen zweitens nur die absolut notwendigen Daten präsentiert werden. Also beispielsweise nur der Jahrgang, aber nicht das genaue Geburtsdatum. Und sicher keine Adressen oder E-Mailadressen. Drittens müssen die entsprechenden Unterseiten auf der Webseite oder die PDF-Dokumente auf den Status «no-index» gesetzt werden, damit diese Inhalte von den Suchmaschinen nicht gefunden werden.
Ein anderes Thema ist der Versand von Newslettern. Was muss man als Verein beachten?
Auch hier gilt: Man braucht mit dem Anbieter der Newsletter-Software einen entsprechenden Vertrag, mit welchem die Einhaltung der Datenschutzstandards sichergestellt wird. Das gilt übrigens für alle externen Anbieter – beispielsweise auch für Cloudanbieter wie Dropbox, Sharepoint oder GoogleDrive. Zudem muss jeder Empfänger des Newsletters jederzeit die Option haben, den Newsletter abzubestellen. Am einfachsten wird dies mit einem entsprechenden Link am Ende jedes Newsletters umgesetzt.
Darf ein Verein Mitgliederdaten an Sponsoren des Vereins weitergeben?
Nein, auf keinen Fall. Hier sollten die Mitglieder wiederum vorgängig schriftlich um ihre Einwilligung zur Weitergabe an einem bestimmten Sponsor zum vordefinierten Zweck gebeten werden.
Bilder und Videos sind ebenfalls ein grosses Thema. Was muss ein Verein beachten, wenn er an einem Vereinsanlass Bilder und Videos machen und diese später für Vereinszwecke nutzen will?
Im Grundsatz gilt: Alle Personen müssen vorgängig wissen, dass an diesem Anlass fotografiert oder gefilmt wird und wofür die Aufnahmen verwendet werden. Und sie müssen die Option haben, dass sie nicht fotografiert oder gefilmt werden. Das heisst in der Praxis, dass man beispielsweise bei den Teilnahmebedingungen einen Abschnitt integriert, der festhält, dass Bilder und Videos der Teilnehmenden gemacht werden und diese anschliessend gespeichert und für kommunikative Zwecke rund um den Anlass verwendet werden. Idealerweise gibt man noch an, wo die Bilder publiziert werden, und eine Stelle, wo man sich weitere Informationen holen oder angeben kann, dass man nicht auf Bilder erscheinen will. Das Publikum des Events kann man beispielsweise am Eingang darüber informieren und in der Halle einen Sektor einrichten, für Personen, die nicht gefilmt oder fotografiert werden möchten.
Im Grundsatz gilt: Alle Personen müssen vorgängig wissen, dass an diesem Anlass fotografiert oder gefilmt wird und wofür die Aufnahmen verwendet werden.
Wer ist für die Einhaltung dieser Richtlinien verantwortlich?
Der Verein oder Veranstalter ist dafür verantwortlich. Die Person, die filmt oder fotografiert, ist lediglich Auftragsbearbeiter und muss der Instruktion des Auftraggebers folgen.
Worauf soll man achten, wenn man Bilder und Videos auf Social Media verwendet?
Am einfachsten ist es, wenn man nur Bilder und Videos verwendet, die an einem Event aufgenommen wurden, an welchem die vorhin beschriebenen Richtlinien eingehalten wurden. Dann ist man auf der sicheren Seite. Ansonsten lieber bei den gezeigten Personen nachfragen, ob man die Bilder verwenden darf. Und ganz wichtig: Nur weil ein Bild an anderer Stelle im Netz schon mal publiziert wurde, darf man es nicht einfach auch verwenden.
Was macht man, wenn ein Vereinskonto gehakt wird?
Dann sollte man möglichst schnell einen IT-Experten einbeziehen, der das Ausmass abschätzen und bestimmen kann, welche Daten betroffen sind und insbesondere ob Personendaten von Mitgliedern darunter sind. Wenn das der Fall sein sollte, müssen in vielen Fällen die Datenschutzbehörde und allenfalls die betroffenen Mitglieder informiert werden. Wo eine Meldepflicht besteht, muss dies so schnell wie möglich geschehen. Es lohnt sich also als Verein, dieses Szenario vorzubereiten.
Das Datenschutzgesetz gibt jedem Mitglied des Vereins das Recht, Auskunft über die gespeicherten Personendaten anzufordern. Was muss der Verein tun, wenn eine solche Anfrage eintrifft?
Der Verein muss innerhalb von 30 Tagen sagen können, welche Daten dieser Person wo gespeichert sind und an welche Drittanbieter sie weitergegeben wurden. Es ist jedoch sehr wichtig, dass der Verein die Person, welche die Anfrage gestellt hat, vor der Auskunftserteilung angemessen identifiziert – beispielsweise mittels Passkopie.
Weitere Informationen zum Thema
