GDPR-Arbeitshilfe für Schweizer Vereine

Datenschutz

 

Seit Eintreten der DSGVO ist auch bei Schweizer Vereinen das Thema Datenschutz gross. Die Fachstelle vitamin B verfasste eine kurze Arbeitshilfe für kleine und mittlere Vereine in der Schweiz. 

1. Schweizer Datenschutzgesetz

Die Grundlage zur Abklärung der Ansprüche, die bzgl. Datenschutz an einen Verein gestellt werden, ist das Merkblatt des Datenschutzbeauftragten des Bundes. Die wichtigsten Punkte des Merkblatts sind hier zusammengefasst. 

Umgang mit Mitgliederdaten

Der Umgang mit Mitgliederdaten, die ein Verein sammelt, muss datenschutzkonform sein. Die allgemeinen Grundsätze des Datenschutzgesetzes sind:

  • das Transparenzprinzip: eine offene und umfassende Information über Zweck und Umfang der bearbeiteten Mitgliederdaten ist obligatorisch.
  • das Verhältnismässigkeitsprinzip: erlaubt ist nur die Bearbeitung jener Mitgliederdaten, die tatsächlich nötig sind, um den angestrebten Zweck zu erreichen (z.B. Adresse und/oder Emailadresse für Versand der Rechnung zum Mitgliederbeitrag oder zur Einladung an die Mitgliederversammlung).
  • das Zweckbindungsprinzip: Mitgliederdaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.

Weitergabe von Mitgliederdaten an Dritte

Die Bekanntgabe von Mitgliederdaten (z.B. einzelner Adressen oder ganzer Adresslisten) an Dritte ist nur zulässig, wenn eine explizite Einwilligung der Inhaber/innen vorliegt oder aus den Vereinsstatuten klar hervorgeht, welche Mitgliederdaten zu welchem Zweck (z.B. Werbung, Sponsoring) an Dritte bekannt gegeben werden dürfen. Der Verein kann oder muss Mitgliederdaten weitergeben, wenn ein Gesetz die Datenbearbeitung erlaubt bzw. vorschreibt (z.B. in einem Strafverfahren).

Vereinsinterne Bekanntgabe von Mitgliederdaten

Die vereinsinterne Bekanntgabe von Mitgliederdaten ist zulässig, wenn

  • die Einwilligung der Mitglieder eingeholt wurde
  • den Mitgliedern vorgängig ein Widerspruchsrecht eingeräumt wurde
  • aus den Vereinsstatuten klar hervorgeht, in welchen Fällen eine vereinsinterne Bekanntgabe erfolgt (z.B. Aushändigung von Listen mit Vorname, Name und Adresse, Weitergabe an Dachverbände).
  • die Liste zur Ausübung von Mitgliedschaftsrechten benötigt wird (z.B. zur Einberufung einer ausserordentlichen Mitgliederversammlung, Art. 64 Abs. 3 ZGB).

2. Neuer EU-Datenschutz: Bedeutung für Schweizer Vereine

Der Anwendungsbereich der neuen EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft trat, betrifft insbesondere Schweizer Vereine, die eine Website haben, in Social Media Netzwerken aktiv sind oder einen Newsletter verschicken, der auch an
Personen mit Wohnsitz in der EU geht.

Wer ist von der DSGVO betroffen?

Schweizer Unternehmen und Organisationen (also auch Vereine) müssen sich in folgenden Fällen an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU aufhalten:

  • sie bieten diesen Personen Waren oder Dienstleistungen an (gegen Bezahlung oder unentgeltlich), oder
  • sie analysieren das Verhalten von Personen in einem Mitgliedstaat der EU (Art. 3Abs. 2 Buchst. a und b DSGVO), also z.B. durch die Nutzung von Google Analytics.

Personenbezogene Daten sind alle Daten, die jemanden eindeutig identifizierbar machen: Namen, Adresse und Geburtsort, aber auch Mailadressen oder IP-Adressen (Computer).

Ein Verein mit Sitz ausserhalb der EU (z.B. ein Schweizer Verein) fällt in den Anwendungsbereich der DSGVO, wenn eine Absicht zu folgenden Aktivitäten besteht:

  • Warenverkauf oder Dienstleistungsangebot in der EU. Indizien dafür sind z.B. eine Erwähnung von Dienstleistungsbezügern, die sich in den EU-Mitgliedstaaten befinden oder eine EU-gängige Währung.

Es muss ein klarer Wille erkennbar sein, das Verhalten von natürlichen Personen im EU-Raum zu analysieren, z.B. durch die Nutzung von Google Analytics.

Welche Massnahmen sind erforderlich?

Die DSGVO regelt viel mehr als nur die Erfassung personenbezogener Daten. Weil Schweizer Vereine aber insbesondere durch ihre Webpräsenz (Websites, Social Media etc.) davon betroffen sind, beschränkt sich die Arbeitshilfe auf dieses Thema.

1. Nutzung personenbezogener Daten

Die Nutzung und Verarbeitung personenbezogener Daten z.B. durch Kontaktformulare sind gemäss Art. 6 Abs. 1 DSGVO in folgenden Fällen erlaubt:

  • wenn die Person eine Einwilligung dazu gegeben hat (nur für Personen ab 16 Jahren möglich; Schutz von Kindern).
  • wenn die personenbezogenen Daten zur Erfüllung eines Vertrags benötigt werden.
  • wenn eine rechtliche Verpflichtung besteht (z.B. Aufbewahrungspflicht von geschäftlichen Unterlagen).
  • wenn ein berechtigtes Interesse vorliegt.

In den ersten drei Fällen (Einwilligung, Vertrag, rechtliche Verpflichtung) ist die Legitimität ziemlich eindeutig. Problematisch wird es bei der Abwägung des berechtigten Interesses.

2. Datenschutzerklärung

Alle Websites von Organisationen sollten den Nutzer/innen mit einem Datenschutzhinweis in klarer und leicht verständlicher Sprache erklären, wer ihre Daten zu welchem Zweck wie und wo verarbeitet. Die Datenschutzerklärung muss auch auf den Einsatz externer Dienste wie z.B. Facebook und Google hinweisen, sofern diese durch das Anklicken der Website personenbezogene Daten erheben. Zum Verfassen des Datenschutzhinweises kann einer der Links in Kapitel 5 nützlich sein.

3. Cookies

Sofern auf der Website Cookies verwendet werden, ist ein Hinweis darauf unbedingt erforderlich. Viele der heute eingesetzten Content Management Systeme setzen standardmässig Cookies ein, um den Nutzer zu „identifizieren“. Deshalb ist der pauschale Einsatz eines Cookie-Banners angeraten. Dieser sollte beim ersten Aufruf der Website deutlich zu sehen sein. Das Cookie-Banner darf nicht so eingebunden sein, dass dieses Pflichtangaben wie z.B. den Link zum Impressum oder zur Datenschutzerklärung verdeckt.

4. Google Analytics

Die Nutzung von Webanalyse-Diensten sollte in der Datenschutzerklärung der Website dokumentiert sein (gilt bereits für das bestehende Schweizer Datenschutzgesetz, Art. 13 DSG). Hier muss auch die Möglichkeit eines Widerrufs hinterlegt werden. Da IP-Adressen als personenbezogene Daten gelten, muss dafür Sorge getragen werden, dass der Google Programmcode die IP-Adressen nur gekürzt erfasst (Anonymisierungsfunktion). Wenden Sie sich dafür an Ihre/n Website-Betreiber/in.

5. Social Media Elemente

Beim Einsatz von Social Media ist sicherzustellen, dass keine Daten der Websitebesucher/innen ohne deren Zustimmung erhoben werden. Über die Verwendung von Social Media Angeboten und die Art des verwendeten Social Plugins (z.B. Like Button, Share Button etc.) ist im eigenen Datenschutzhinweis zu informieren. Gleichzeitig muss auf die Widerrufmöglichkeiten hingewiesen werden. 

3. Wie soll der Vorstand vorgehen?

Nehmen Sie mit Ihrem/r Website-Betreiber/in Kontakt auf und besprechen Sie die notwendigen Anpassungen.

Überarbeiten Sie den Datenschutzhinweis auf Ihrer Vereins-Website und informieren Sie Ihre Mitglieder darüber (z.B. im Newsletter, an der nächsten Mitgliederversammlung).

Überprüfen Sie die interne Verwendung der Daten (Welche Daten werden gesammelt? Woher kommen die Daten? Wo sind sie gespeichert? Wer hat Zugang?) und dokumentieren Sie den Ablauf der Datensammlung und -verarbeitung. Orientieren Sie sich dabei am Merkblatt des Datenschutzbeauftragten des Bundes.

Kontaktieren Sie im Zweifelsfall eine juristische Fachperson oder den Datenschutzbeauftragten des Bundes (Kontaktformular).

 

 

Weiterführende Informationen, Links und Textbeispiele finden Sie in der Arbeitshilfe der Fachstelle vitamin B.


 

Newsletter abonnieren

Um immer auf dem Laufenden zu sein, abonnieren Sie unsere kostenlosen Newsletter. Der Kampagenda-Newsletter erscheint wöchentlich, die Themen-Newsletter unregelmässig.

Email-Updates zum Thema
Mit Ihrer Eingabe stimmen Sie der Datenbearbeitung und -speicherung gemäss unseren Geschäftsbedingungen und Datenschutzrichtlinien zu.