Schweizer Datenschutzgesetz 2023

Tipps für deine Organisation

Bild von jcomp auf Freepik

Am 1. September 2023 tritt in der Schweiz ein neues Daten­schutz­gesetz in Kraft. Es legt den Fokus auf den Schutz der Persönlich­keit und der Grundrechte von natürlichen Personen. Das Gesetz gilt für Bundes­behörden, Unter­nehmen und Organi­sa­tionen wie Vereine, Clubs oder Jugend­verbände.

Das neue Gesetz gilt nur für die Daten von natürlichen Personen (Menschen) und nicht für die Daten von juristischen Personen (Firmen, Vereine, Insti­tu­tionen). Es gilt der Grundsatz «Privacy by Default» (Datenschutz per Vor­einstellung). Das heisst: die höchste Sicher­heits­stufe ist die Vorgabe. Wer davon abweichen will, muss eine Bewilligung der betroffenen Person einholen. Im neuen Daten­schutz­gesetz wird zudem die Informations­pflicht erweitert: Bei jeder Beschaffung von Personen­daten muss die betroffene Person vorgängig darüber informiert werden, welche Daten für welchen Zweck gesammelt werden. Grössere Organisationen (ab 250 Angestellten) müssen neu ein Verzeichnis ihrer Be­arbeitungs­tätig­keiten führen. Diese Pflicht gilt auch für kleinere Organisationen, falls sie besonders schützens­werte Daten bearbeiten (Religions­zugehörigkeit, politische Einstellung, Gesundheits­daten, Sozial­hilfedaten, juristische Daten usw.). Wird von einer Organisation die Daten­sicherheit verletzt, ist eine rasche Meldung an den eidgenössischen Daten­schutz­beauftragten zu machen.

---

Kurzinformation zum neuen Schweizer Daten­schutz­gesetz 2023
Arbeitsblatt. jugendarbeit.ch (2023).
Download...

---

Auch deine Organisation ist dazu verpflichtet, die neuen gesetzlichen Vorgaben einzuhalten. Wir haben hier einige Tipps zusammen­gestellt, die dir und deiner Organisation helfen, in Zukunft datenschutzkonform unterwegs zu sein.

(1) Organisationsethik

Was bedeutet für dich Datenschutz? Achtest du bereits jetzt darauf? Ist die Umsetzung der neuen Vor­schriften für deine Organi­sation eine lästige Pflicht? Oder sind dir die Persönlichkeits­rechte deiner Vereins­mitglieder, Lager­teilnehmer:innen und Gönner­:innen ein echtes Anliegen?

Entwickle gemeinsam mit deinen Arbeits­kolleg:innen und Vorstands­mit­gliedern eine gemein­same Haltung zum Thema Daten­schutz! Dabei geht es nicht um juristische Haar­spaltereien, sondern um eine Ethik im Umgang mit den persönlichen Daten von anderen Menschen. Mit einer gemeinsamen positiven Haltung, wird euch die Umsetzung des neuen Gesetzes gelingen. Wenn diese Haltung fehlt, wird es schwierig.

(2) Adressdaten

Die meisten Organisationen sammeln Personen­daten: Mitglieder­listen, Lager­adress­listen, Gönner­verzeichnisse, Telefonalarme u.v.a. Diese Listen enthalten in der Regel Namen, Adressen und Telefon­nummern, manchmal auch beson­ders schützens­werte Daten wie Gesundheits­daten (Allergien, Krankheiten usw.). Beim Daten­schutz geht es unter anderem darum, in deiner Organi­sation einen sorgfältigen Umgang mit Adress­listen zu pflegen.

Gesammelt werden Personendaten in der Regel durch Formulare: Anmelde­formulare, Eintritts­formulare, Kontakt­formulare auf Webseiten, digitale Anmeldetools usw. Auf solche Formulare gehört in jedem Fall ein Hinweis darauf, zu welchem Zweck die Daten gesammelt werden, wer sie sehen kann und wo sie gespeichert werden.

---

Muster: Anmeldetalon mit Datenschutzvereinbarung
Word-Vorlage. jugendarbeit.ch (2023).
Download...

---

Als Merkhilfe kann dir folgende Haltung dienen: Jede Adressliste ist ein vertrauliches Dokument mit Angaben, die nur berechtigte Personen sehen dürfen. Triff also jede Vorkehrung, damit das Dokument nicht in die falschen Hände gerät!

Achte in Zukunft im Umgang mit Adressdaten auf folgende Punkte:

• Keine Daten auf Vorrat sammeln: Auf dem Anmeldeformular nur die Daten erheben, die für den jeweiligen Zweck notwendig sind.
• Datenschutzhinweis direkt auf dem Formular anbringen: Wozu sammeln wir diese Daten? Wer hat darauf Zugriff? Wann werden sie gelöscht? Was sind meine Rechte (Einsicht, Änderung, Löschung)? Wo werden die Daten gespeichert?
• Datenschutzhinweis kurz und verständlich formulieren: Keine mehr­seitigen Datenschutz­vereinbarungen in Jurist:innen­deutsch, die niemand versteht, niemand durchliest und die du selber nicht kapierst. Denke an die Organisationsethik! Du willst mit Menschen wertschätzend umgehen und sie nicht über den Tisch ziehen! Kommuniziere deshalb einfach und klar!
• Daten sorgfältig aufbewahren: Überlege dir, wo du deine Adress­listen aufbewahrst? Lege sie in einem sauberen System auf dem Computer ab. Wähle eine einfache und über­sichtliche Backup-Lösung für den Computer. Bei professionellen Institutionen: Keine Personen­daten auf privaten Geräten ablegen (auch nicht auf Smart­phones oder Tablets!). Finger weg von öffentlichen Gruppen in Microsoft-Teams, wenn es um Adresslisten geht! Keine ausgedruckten Adress­listen herumliegen lassen oder im Alt­papier entsorgen! Nicht mehr gebrauchte Adress­listen ent­sorgen.
• Datenzugriff einschränken: Je mehr Leute Zugriff auf eine Adressliste haben, desto fehler­anfälliger wird das System. Wer braucht wirklich Zugriff auf die Personen­daten deiner Organi­sation? Versende Adress­listen (z.B. für ein Lager oder einen Anlass) nicht per E-Mail, sondern verteile sie (wenn es wirklich not­wendig ist) in aus­ge­druckten mit Namen versehenen Exemplaren und sammle sie nach dem An­lass wieder ein.
• Klassifikation Vertraulich: Falls du mit Excel-Tabellen arbeitest, drucke Adress­listen stets mit der Fuss­zeile «Vertraulich» und einem kurzen Daten­schutz­hinweis aus.

(3) Internet: Website, Social Media und Tools

Beim Datenschutz geht es nicht in erster Linie um deine Website – aber auch. Nervige Pop-up-Fenster mit dem Hinweis «Ich stimme allen Cookies und Trackern auf dieser Website zu» sind heute auf vielen Websites zu finden. Auch auf deiner Organisations-Website? Dann ist es höchste Zeit, dem ein Ende zu setzen. Wieso sammelst du mit deiner Website Daten für Milliarden­konzerne, ohne dass diese Konzerne etwas in deine Vereins­kasse zahlen? Wenn du mit deiner Website kein Geld verdienen willst, brauchst du auch keine Werbe­cookies.

Achte in Zukunft auf folgende Punkte:

• Privacy by Default: Programmiere deine Website so, dass du auf die nervigen Popups verzichten kannst. Die daten­schutz­freundlichste Vorein­stellung soll auf deiner Web­site Standard sein. Du weisst nicht, wie das geht? Frage deinen Webdienstleister oder deine Programmiererin!
• Verständliche Datenschutzerklärung: Falls du nicht ganz auf trackende Tools auf deiner Website verzichten willst, dann formu­liere eine klare und ver­tändliche Daten­schutz­vereinbarung für deine Web­site. Kopiere keine fremden Texte, sondern formuliere die Vereinbarung selber. Du weisst nicht genau, welche Daten Google und Facebook auf deiner Website sammeln? Ja eben. Hier liegt das Problem!
• Social Media: Wenn du auf deiner Website auf einen Facebook- oder Instagram-Account verweisen möchtest, mach das mit einem einfachen Hyperlink. Verzichte auf das Einbinden von Tracking-Pixeln oder Like-Buttons. Auch das Einbinden von Youtube-Videos oder Google-Maps auf der Website ist heikel. Auch hier kannst du einen Hyperlink setzen, der auf die externe Website mit dem Film oder der Karte verweist.
• Verzichte auf kostenlose Tools, wenn es um Personen­daten geht: Nonprofit-Organi­sationen lieben sie und nutzen sie exzessiv: vermeintlich kostenlose Tools wie Survey­monkey, Doodle oder Event­brite. Was im Internet nichts kostet, kostet deine Daten (oder jene deiner Mitglieder). Nutze daten­schutz­freundliche Alter­nativen wie Nuudel oder weise deine Mit­glieder darauf hin, dass sie mit der Nutzung eines Tools ihre persön­lichen Daten ver­schenken.

(4) E-Mail

Auch hier gilt: Was vermeintlich gratis ist, zahlst du mit deinen Daten. Vereine und andere Institutionen sollten für ihren E-Mail-Verkehr grund­sätzlich keine kosten­losen Dienste von Google (Gmail), Microsoft (Hotmail) oder Apple (iCloud, Me, Mac) nutzen. Solche Dienste sind bezüglich Datenschutz heikel. Eine eigene Domain mit eigenen Mailadressen gibt es für wenig Geld – und sie sieht auch noch schicker aus.

Achte in Zukunft auch auf folgende Punkte:

• Versende keine Personendaten per E-Mail: Und gleich nochmals, weil es so wichtig ist: Versende keine Per­sonen­daten per E-Mail! Weder als Anhang noch im Mailtext. Du kannst diese Daten nach dem Versand nicht mehr kontrollieren oder löschen.
• BCC-Feld nutzen: Private E-Mail-Adressen sind vertrauliche und schützenswerte Personendaten. Sie gehören beim Versand an mehrere Empfänger:innen nie ins CC-Feld, weil sie dann alle Empfänger­:innen der E-Mail sehen. Nutze das BCC-Feld (Blind Carbon Copy) für E-Mails an grosse Personengruppen.

(5) Weitergabe von Daten

Gib nie Personendaten aus deiner Organisation an externe Personen, Organisationen oder Firmen weiter! Never, never, never – ausser, die betroffenen Personen sind explizit mit einer Weitergabe ein­ver­standen (und haben das schriftlich bestätigt). Ausnahmen von dieser Regel sind erlaubt, wenn es darum geht, ein Verbrechen zu verhindern oder die Nation zu retten. Erfahrungsgemäss kommt dieser Fall jedoch relativ selten vor.

(6) Freiwillige

Angestellte unterstehen in der Regel über ihren Arbeits­vertrag einem Amts­geheimnis (Bund, Kanton, Gemeinde, Landeskirche), einem Berufs­geheimnis (Kirchen, medizinische Ein­richtungen, Rechts­pflege) oder einer beruflichen Schweige­pflicht. Schwierig wird es, wenn Frei­willige in einer Insti­tution mit­ar­bei­ten und (gewollt oder ungewollt) mit schützenswerten Personen­daten in Kontakt kommen. Auch für sie gilt das Daten­schutz­gesetz. Hier empfiehlt sich der Abschluss einer persönlichen schriftlichen Daten­schutz­vereinbarung.

---

Muster: Vereinbarung Datenschutz für freiwillige Mitarbeiter:innen
Word-Vorlage. jugendarbeit.ch (2023).
Download...

---

Zum Schluss...

Dir brummt langsam der Kopf? So viele Themen. So viel zu beachten. Wenn das der Fall ist, schau dir nochmals den ersten Punkt an: Die Organi­sations­ethik. Wenn du diese gemeinsam mit deinen Kolleg:innen besprochen hast, fällt es euch leichter, die not­wendigen Anpassungen bei den betrieblichen Ab­läufen vorzu­nehmen. Und ja: es ist nicht freiwillig. Das Datenschutz­gesetz ist ein Gesetz und gilt auch für deine Organi­sation.

Noch ein Letztes: Wie wär's mit einer kurzen Schulung in deiner Organisation. Bereite dich vor und informiere deine Kolleg:innen über die Rechtslage und die notwendigen Änderungen in den Abläufen. Du kannst dazu unsere Kurzzusammenfassung nutzen.

Materialien

Neu Tipp! Datenschutz: Was müssen Vereine beachten?
Arbeitsblatt. Fachstelle VitaminB (2023).
Download...

Neu Tipp! Datenschutz
B-DUR Nr. 49. Fachstelle VitaminB (November 2023).
Download...

Materialien von jugendarbeit.ch

Neu Kurzinformation zum neuen Schweizer Daten­schutz­gesetz 2023
Arbeitsblatt. jugendarbeit.ch (2023).
Download...

Neu Schweizer Datenschutzgesetz 2023: Tipps für deine Organisation
Arbeitsblatt. jugendarbeit.ch (2023).
Download...

Neu Muster: Anmeldetalon mit Datenschutzvereinbarung
Word-Vorlage. jugendarbeit.ch (2023).
Download...

Neu Muster: Vereinbarung Datenschutz für freiwillige Mitarbeiter:innen
Word-Vorlage. jugendarbeit.ch (2023).
Download...

Rechtsgrundlagen

Neu SR 235.1 Schweizerisches Datenschutzgesetz (25. September 2020)
Download...(Stand: 01.09.2023)

Neu SR 235.11 Schweizerische Datenschutzverordnung (31. August 2022)
Download...(Stand: 01.09.2023)

Europäische Union

Datenschutz-Grundverordnung der EU (27. April 2016)
Download...(Stand: 25.05.2018)