Sinn und Zweck des neuen Datenschutzgesetzes
Das bereits bestehende Datenschutzgesetz der Schweiz regelt bereits viele Belange des Datenschutzes. Mit der Novelle wird das Datenschutzgesetz an die europäischen Normen angeglichen, ist aber immer noch liberaler ausgestaltet. Dennoch wird der Schutz persönlicher Daten geregelt. Grundsätzlich dürfen nur noch persönliche Daten gespeichert werden, welche für den Verkehr zwischen einer Organisation und einer Person notwendig sind. Ist zum Beispiel für einen Verkaufsabschluss das Geburtsdatum irrelevant, weil der Verkaufsgegenstand keiner Alterseinschränkung unterliegt, darf die Speicherung des Geburtsdatums nur mit ausdrücklicher Zustimmung der betroffenen Person gespeichert werden. Dies wird "need to know"-Prinzip genannt. Zudem wird die Offenlegung der gespeicherten Daten und das Recht zur Löschung oder die Datensicherheit geregelt. Das revidierte Datenschutzgesetz tritt auf den 1. September 2023 in Kraft.
Es bleibt also noch Zeit, sich darauf vorzubereiten.
Und als Verein?
In den Erläuterungen wird häufig von Unternehmen gesprochen. Aber Art. 2 lässt nur wenige Ausnahmen zu. Wir sind es also gegenüber unseren Mitgliedern und Kunden schuldig, die Daten, welche wir über sie gesammelt haben oder noch sammeln werden, dem Datenschutzgesetz entsprechend zu behandeln. Damit sind Mitgliederdateien oder Kundenverzeichnisse mit eingeschlossen.
Vermutlich aber gibt es in jedem Verein noch mehr Listen mit persönlichen Daten, wie zum Beispiel Ranglisten, Sponsorenlisten, Gästelisten u.v.a.m.
Betreiben wir eine Webseite, bei der es möglich ist, persönliche Daten einzugeben, zum Beispiel um einen Newsletter zu abonnieren oder sich an einem Anlass anzumelden, gehören diese Daten auch unter das Datenschutzgesetz.
Das Gesetz verpflichtet auch, eine Datenschutzerklärung zur Verfügung zu stellen. Dies geschieht am einfachsten auf der Webseite, damit ist sie allen zugänglich. Die Datenschutzerklärung ergänzt, aber ersetzt das Impressum nicht.
Es gibt also einiges zu tun.
Wie vorgehen?
Am sinnvollsten ist ein projektmässiges Vorgehen, in dem eine verantwortliche Person bestimmt wird. Wo es bereits IT-Verantwortliche gibt, sollen diese mit an Bord geholt werden, ebenso die für die Administration verantwortlichen Personen, da bei diesen am meisten Datensammlungen anfallen. Aber auch Wettkampfleiter oder Eventmanager sollen fallweise zugezogen werden.
Ausgangslage
In einem ersten Schritt verschafft man sich mal einen Überblick:
- Welche Datensammlungen bestehen in unserem Verein? Wer ist dafür verantwortlich? Welche Daten sind darin enthalten?
- Welche Vorgaben macht das Datenschutzgesetz?
Massnahmenplan
Aus den im ersten Schritt gewonnen Informationen ergeben sich schon rasch Differenzen zwischen heute gelebter Wirklichkeit und den gesetzlichen Anforderungen. Diese Lücken gilt es zu schliessen. für jede Massnahme gilt es festzulegen:
- was muss gemacht werden?
- wer ist dafür verantwortlich?
- wer arbeitet mit?
- welche Mittel stehen zur Verfügung?
- bis wann muss es erledigt sein?
- wem wird rapportiert?
Mit diesem Massnahmenplan kann die Umsetzung starten. Es ist auch möglich, dass bei der Umsetzung weitere notwendige Massnahmen auftauchen, welche aufgenommen werden müssen.
Umsetzung
Für die Umsetzung müssen die zuständigen Personen auch genügende Mittel und den notwendigen Freiraum erhalten. Hier liegt es am Vorstand, die notwendigen Ressourcen zur Verfügung zu stellen. Gerade in einer Organisation mit Freiwilligen eine herausfordernde Aufgabe.
Die Massnahmen können häufig einzeln umgesetzt werden. Über ein regelmässiges Reporting wird der Vorstand informiert. Schwierigkeiten, Verzögerungen und andere Hindernisse sind rasch zu melden.
Controlling
Jedes projektmässige Vorgehen verlangt ein angepasstes Controlling. Über das regelmässige Reporting werden Abweichungen zum Massnahmenplan festgestellt. Diese müssen in Absprache mit den Verantwortlichen besprochen werden und zusätzliche Massnahmen in die Wege geleitet werden.
Wo gibt es mehr Informationen?
Im Rahmen dieses Blogs werden die Aufgaben und ein generelles Vorgehen besprochen. Detaillierte Informationen finden sich hier:
- Datenschutzgesetz DSG
- vitaminB
- SECO Checkliste für KMU (auch für Vereine sinnvoll)
Selbstverständlich steht auch der Autor Marcel Niederer für weitere Hilfestellungen zur Verfügung.