Ein Verein verfügt über zahlreiche Personendaten (zum Beispiel Adresse, Geburtsdatum, Telefonnummern, Fotografien) seiner Mitglieder. Mit diesen Angaben muss sorgfältig umgegangen werden. Der Vereinsvorstand trägt die Verantwortung für den datenschutzkonformen Umgang mit diesen Daten.
Was sind Personendaten im Verein?
Zu den Personendaten gehören Namen, Geburtsdatum, Post- und E-Mail-Adressen, Telefonnummern, IP-Adressen usw., die sich auf eine bestimmte Person beziehen. Darüber hinaus gibt es besonders schützenswerte Personendaten, z.B. biometrische Daten usw. Bearbeitet ein Verein solche Daten, empfiehlt sich die Beratung durch eine Fachperson.
Was gehört in die Datenschutzerklärung?
Allgemein Erklärung und Angaben zum Verein
Aufzählung, welche Daten erhoben und zu welchen Zwecken bearbeitet werden
Nennung ovn Cookies, Tracking, Social-Media-Plugins und anderen Technologien im Zusammenhang mit der Nutzung der Webseite
Weitergabe von Daten an Dritte und gegebenfalls Datenübermittlung ins Ausland
Dauer der Aufbewahrung von Personendaten
Datensicherheit
Erläuterung zu den Rechten der betroffenen Personen
Interne Ansprechpersonen
Änderungen der Datenschutzerklärung (jederzeit und einseitig möglich)
Was ist mit «Daten bearbeiten» gemeint?
Jede Handlung mit Daten, wie das Beschaffen (z.B. Sammeln von Adresse über ein Formular zur Newsletter-Anmeldung)j, Speichern, Verwenden, Veränderung, Löschen, Bekanntgeben oder Weitergeben. Dabei müssen folgende Grundsätze des Datenschutzgesetzes eingehalten werden:
- Transparenz: Es wird eine offene und umfassende Information über Zweck und Umfang der bearbeiteten Mitgliederdaten verlang. Dazu gehört beispielsweise, dass den Mitgliedern mitgeteilt wird, ob ihre Personendaten an Dritte weitergegeben werden und – sofern dies der Fall ist – an wenn und zu welchem Zweck.
- Verhältnismässigkeit: Erlaubt ist nur die Bearbeitung jener Mitgliederdaten, die tatsächlich nötig sind, um den angestrebten Zweck zu erreichen.
- Zweckbindung: Der Verein darf die Mitgliederdaten nur zu dem Zweck bearbeiten, der bei der Beschaffung angegeben wurde, der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.
- Aufbewahrung: Daten müssen gelöscht werden, sobald sie zur Bearbeitung nicht mehr erforderlich sind. Ausnahme: Gesetzliche Aufbewahrungspflicht (z.B. 10 Jahr für Jahresberichte, Jahresrechnung, Buchungsbelege usw.)
- Sicherheit: Eine dem Risiko angemessene Datensicherheit ist durch den Verein in Form von technischen und organisatorischen Massnahmen sicherzustellen (z.B. Verschlüsselung, Back-up-Systeme, Zugriffsbeschränkungen, Weisungen an das Personal etc).
Wann ist eine Einwilligung erforderlich?
Datenbearbeitungen sind in der Schweiz grundsätzlich ohne Einwilligung erlaubt, sofern die obenstehenden Grundsätze eingehalten werden. Eine Einwilligung ist erforderlich
- wenn die Personendaten entgegen der ausdrücklichen Willenserklärung einer Person bearbeitet werden
- wenn besonders schützenswerte Personendaten an Dritte bekanntgegeben werden
Um Missverständnisse zu vermeiden, ist es sinnvoll, Einwilligungen standardmässig einzuholen, z.B. Im Rahmen der Beitrittserklärung zum Verein.
Quelle: Vitamin B, Arbeitshilfe Datensicherheit