ZKS-News
Infodossier Podcast Folge 9: Datenschutz im Fokus
In unserer digitalisierten Welt sind Personendaten ein unverzichtbarer Bestandteil des Vereinslebens. Diese Daten werden gebraucht, um den Verein zu führen und die verschiedenen Aktivitäten zu organisieren. Gleichzeitig ist es jedoch von grösster Wichtigkeit, die Privatsphäre und die Rechte der Mitglieder zu schützen. Deshalb, und im Hinblick auf das neuen Datenschutzgesetz, das per 1. September 2023 in Kraft treten wird, widmen wir uns in der neusten Podcast-Folge mit Rechtsanwältin Dzemilje Murina von Ernst&Young diesem Thema.
Wann bearbeitet man Personendaten?
Unter «Personendaten» versteht man Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es handelt sich um jegliche Daten, die Rückschlüsse auf eine bestimmte Person zulassen, sei es direkt oder indirekt. Hierzu gehören zum Beispiel Name, Geburtsdatum, Anschrift, Telefonnummer, E-Mail-Adresse, IP-Adresse, Sozialversicherungsnummer, biometrische Daten, Gesundheitsdaten und viele weitere Informationen, die eine Identifikation einer Person ermöglichen könnten.
Jeder Sportverband und Sportverein bearbeitet solche Personendaten. Sei es bei der Mitgliederverwaltung, bei der Anmeldung zu Turnieren und Wettkämpfen, bei der Erfassung von Trainings- und Leistungsdaten oder in der Kommunikation mit den Mitgliedern. Denn der Begriff «Bearbeiten» bezeichnet sämtliche Vorgänge, die im Umgang mit Personendaten durchgeführt werden.
Dazu gehören das Erheben, Erfassen, Speichern, Organisieren, Ordnen, Verändern, Abrufen, Nutzen, Übermitteln, Verbreiten, Löschen oder Vernichten von Personendaten. Kurz gesagt umfasst «Bearbeiten» alle Aktionen, die im Zusammenhang mit Personendaten durchgeführt werden, unabhängig davon, ob sie manuell oder automatisiert erfolgen. Der Begriff «Bearbeiten» wird entsprechend als Oberbegriff für verschiedene Datenverarbeitungsvorgänge verwendet.
Dementsprechend muss sich jeder Sportverein und -verband mit dem Datenschutz auseinandersetzen.
Das sind die Grundsätze, die man einhalten muss
Rechtmässigkeit
Der Verein sollte sicherstellen, dass er eine rechtliche Grundlage für die Erhebung und Verarbeitung dieser Daten hat. Dies ist der Fall, wenn sie durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Beispielsweise kann bei der Veröffentlichung von Ergebnissen von Wettkämpfen wie Ranglisten von einem überwiegenden öffentlichen Interesse ausgegangen werden.
Ranglisten geben einen Überblick über die Leistungen der Teilnehmenden in bestimmten Wettkämpfen oder sportlichen Veranstaltungen. Sie dienen der Transparenz, dem Wettbewerbscharakter und der Information der Öffentlichkeit über sportliche Ergebnisse.
Treu & Glauben
Der Sportverein sollte seine Mitglieder klar und verständlich darüber informieren, welche Daten erhoben werden, zu welchem Zweck sie verwendet werden und wie lange sie gespeichert werden. Diese Informationen können beispielsweise in einer Datenschutzerklärung bereitgestellt werden. Zudem dürfen die Personendaten nicht gegen den ausdrücklichen Willen der betroffenen Personen verwendet oder weitergegeben werden.
Angenommen, ein Mitglied äussert den Wunsch, dass keine Fotos oder Videos von ihm/ihr veröffentlicht werden sollen. Der Verein muss den Willen des Mitglieds respektieren und sicherstellen, dass keine Fotos oder Videos von ihm/ihr gegen seinen/ihren Willen veröffentlicht werden. Die Zustimmung muss zudem freiwillig erfolgen. Das heisst, sie darf nicht an eine Mitgliedschaft geknüpft sein.
Erkennbarkeit
Gemäss diesem Grundsatz müssen Organisationen transparent sein und den betroffenen Personen mitteilen, welche Daten über sie gesammelt werden, wie diese Daten verwendet werden und wer Zugriff auf die Daten hat. Dies schliesst auch die Information darüber ein, in welcher Form und in welchem Kontext die Daten erkennbar sein könnten.
Ein gutes Beispiel dafür ist ein Sportverein, der eine öffentliche Veranstaltung wie einen Marathonlauf oder ein Turnier organisiert, bei dem viele Menschen teilnehmen. Der Verein möchte gerne Fotos oder Videos von der Veranstaltung auf seiner Website oder in sozialen Medien veröffentlichen, um die Ereignisse zu dokumentieren und die sportliche Gemeinschaft zu fördern. Nun muss der Organisator sicherstellen, dass die Teilnehmerinnen und Teilnehmer der Veranstaltung darüber informiert werden, dass Fotos oder Videos gemacht und veröffentlicht werden können, auf denen sie erkennbar sind. Dies kann er beispielsweise durch das Aufstellen von Schildern oder das Bereitstellen von Informationen vor Ort tun, in denen darauf hingewiesen wird, dass Fotos oder Videos gemacht und veröffentlicht werden können.
Bleiben Sie auf dem Laufenden und abonnieren Sie den ZKS-Newsletter!
Zweckbindung & Speicherbegrenzung
Der Sportverein darf personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erheben und verwenden. Beispielsweise können die Daten der Vereinsmitglieder für die Mitgliederverwaltung, die Organisation von Veranstaltungen und die interne Kommunikation verwendet werden, aber nicht für andere nicht relevanten Zwecke wie Werbung für Drittanbieterprodukte.
Zudem dürfen die Daten nur so lange aufbewahrt werden, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist. Beispielsweise sollten Mitgliederdaten nach dem Austritt eines Mitglieds nicht länger als nötig aufbewahrt werden, es sei denn, es gibt rechtliche oder behördliche Anforderungen für die Aufbewahrung (z.B. Buchhaltungsbelege).
Verhältnismässigkeit
Der Sportverein sollte nur diejenigen personenbezogenen Daten erheben, die für den jeweiligen Zweck erforderlich sind. Beispielsweise ist es in der Regel nicht erforderlich, sensible Gesundheitsdaten aller Vereinsmitglieder zu erfassen, es sei denn, es besteht ein berechtigtes Interesse oder eine rechtliche Verpflichtung, dies zu tun (z. B. im Falle von Verletzungen während des Trainings).
Richtigkeit
Der Sportverein sollte sicherstellen, dass die erfassten personenbezogenen Daten korrekt und aktuell sind. So sollte er die Mitglieder auffordern, Änderungen ihrer Kontaktdaten oder anderer relevanten Informationen mitzuteilen, um sicherzustellen, dass die Daten auf dem neuesten Stand sind.
Datensicherheit
Der Sportverein ist verpflichtet, angemessene Sicherheitsmassnahmen zu ergreifen, um die Vertraulichkeit und Integrität der Personendaten zu gewährleisten. Beispielsweise sollten Zugriffsbeschränkungen und Passwortschutz implementiert werden, um unbefugten Zugriff oder Missbrauch zu verhindern.
Wir empfehlen euch, das von Swiss Olympic kostenlos zur Verfügung gestellte E-Learning zum Thema «Datenschutzgesetz verstehen und richtig anwenden» durchzugehen.
Praxisbeispiele
Im Podcast gehen wir unter anderem auf einige Praxisbeispiele aus dem Vereinsalltag ein wie die Datenweitergabe an Wettkampfveranstalter und Sponsoren, oder wie bei der Veröffentlichung von Telefonnummern durch Gruppen-WhatsApp-Chats vorzugehen ist. Darüber hinaus erfährst du im Podcast, welche Gefahren bei Cloud-Anbietern lauern, deren Server im Ausland stehen oder was bei der Bearbeitung von Personendaten von Kinder und Jugendlichen zu beachten ist.
Folgendes sollte dein Verein nun in Angriff nehmen:
- Datensammlungsinventar erstellen: Dies ist zwar keine Pflicht, für die Sicherstellung eines datenschutzkonformen Umganges allerdings praktisch notwendig. Halte für jede Datensammlung fest, welche Daten gespeichert werden, wo und bei wem diese Daten erhoben werden, wohin diese Daten allenfalls geliefert werden, ob und wie sie automatisiert bearbeitet werden und ob sie und gegebenenfalls durch wen sie extern bearbeitet werden. Nutzt die Gelegenheit und begrenzt und reduziert die Anzahl der Datensammlungen auf das Notwendigste! Sofern ihr umfangreich «besonders schützenswerte Personendaten» bearbeitet (z.B. Gesundheitsdaten wie Arztzeugnisse) oder Profiling mit hohem Risikovornehmen (Persönlichkeitsprofil, das auf einer automatisierten Bewertung beruht; z.B. Durchführung von Gesundheitschecks zur Analyse des Leistungspotentials) betreibt, ist zusätzlich die Erstellung eines sogenannten «Verzeichnis der Bearbeitungstätigkeiten» Pflicht.
- Datenschutzerklärung erstellen bzw. überarbeiten: Um die Informationspflicht einzuhalten, ist eine Datenschutzerklärung zwingend notwendig. Erstelle auf Basis des Datensammlungsinventars deine Datenschutzerklärung. Wichtig: Du kannst Muster als Basis verwenden (Beispiele: Pfadibewegung Schweiz, Swisscom, Swiss Olympic). Da jedoch in jedem Einzelfall exakte Anpassungen erforderlich sind, kann man keine allgemeingültigen Vorlagen/Muster übernehmen.
- Datenschutz-Folgeabschätzung: Etabliert einen Prozess für die Datenschutz-Folgeabschätzung, sofern eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann (z.B. Videoüberwachung).
- Datensicherheit sicherstellen: Setzt Massnahmen um, damit die Datensicherheit garantiert ist (z.B. durch Passwortschutz oder Abschliessen von physisch vorliegenden Personendaten).
- Interne Richtlinien erstellen: Es wird empfohlen, interne Richtlinien mit Anweisungen zu erstellen, wie innerhalb des Vereins / Verbandes mit den Personendaten umzugehen ist. Darin soll auch festgehalten werden, wie die Löschpflicht eingehalten wird (sobald die Personendaten für den Zweck, der deren Bearbeitung rechtfertigte, nicht mehr benötigt werden, müssen sie zwingend gelöscht werden). Integriert darin auch die Vorgehensweise für eine rasche Beantwortung der Anfragen von betroffenen Personen (z.B. Antrag auf Löschen oder Auskunft ihrer Personendaten). Zudem soll ein internes Vorgehen bei Verletzungen des Datenschutzes eingeführt werden.
- Verträge mit externen Datenbearbeitern: Integriert bei Verträgen mit Dritten eine Klausel zum Datenschutz, damit die Sicherheit der ausgelagerten Daten gewährleistet werden kann (z.B. mit dem Webhosting-Anbieter, wenn ihr auf eurer Website Kontaktformulare führt). Damit stellt man sicher, dass der Auftragnehmer (z.B. der Anbieter vom Newsletter-Tool oder der Webhoster) die Daten nur im vertraglich festgelegten Umfang nutzt und nicht zu eigenen Zwecken verarbeitet. Viele grössere Anbieter wie beispielsweise Webhoster Hostpoint bieten vorgefertigte Verträge an, die akzeptiert werden können (in diesem Beispiel über das Aktivieren einer Checkbox).
- Datenübermittlungen ins Ausland: Es kommt darauf an, in welches Land die Daten übermittelt werden sollen. Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau erfordern weitere Vorkehrungen. Die Liste mit den Ländern wird vom Bundesrat geführt. Es wird empfohlen, Anbieter aus dem EU-Raum zu wählen, damit dies nicht notwendig ist.
- Elektronische Herausgabe sicherstellen: Der Verein muss sicherstellen, dass er in der Lage ist, die Personendaten in einem gängigen elektronischen Format auf Antrag einer betroffenen Person herausgeben zu können.
Eine ausführliche Anleitung findest du unten in den Downloads.
WICHTIG: Der Podcast sowie die verfügbaren Informationen und Dokumente stellen keine Rechtsberatung dar. Für den Inhalt wird jede Gewähr ausgeschlossen. Die Nutzung erfolgt auf eigene Gefahr.
Jetzt kommentieren