Eingabe löschen

Kopfbereich

Hauptnavigation

School of Management and Law

Das revidierte Datenschutzgesetz und seine Bedeutung für NPO und Kulturorganisationen

Am 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz in Kraft. Ab dann müssen sich Schweizer Organisationen bei der Bearbeitung von Personendaten an die verschärften Datenschutzregelungen halten sowie Prozesse, Hinweise und Dokumente angepasst haben. Das Zentrum für Kulturmanagement hat die Neuerung zusammengefasst und den ZHAW-Datenschutzexperten Volker Dohr zu den Auswirkungen auf NPO und Kulturorganisationen befragt.

Aufgrund des neuen Schweizer Datenschutzgesetzes (nDSG)  ändern sich ab dem 1. September 2023 die Vorgaben für die rechtmässige Bearbeitung von Personendaten. Als Personendaten werden alle Informationen verstanden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Mit der Totalrevision wird das überholte Datenschutzgesetz aus dem Jahr 1992 einerseits an die veränderten technologischen und gesellschaftlichen Gegebenheiten angepasst und anderseits auf die Datenschutzregelungen der EU abgestimmt.

Um nicht gegen die neuen Vorgaben zu verstossen und an Wettbewerbsfähigkeit gegenüber der EU einzubüssen, müssen Schweizer Organisationen ihre bestehenden Prozesse, Richtlinien und Datenschutzerklärungen anpassen. Bei einem Verstoss kann neu ein Strafverfahren mit persönlichen Bussen von bis zu 250’000 Franken gegen den Verantwortlichen in der Organisation drohen. Verantwortlich sind diejenigen Personen in Organisationen oder Vereinen, denen die organisatorische Zuständigkeit für die Einhaltung der Gesetze zukommt – in der Regel ist das der Verwaltungsrat, die Geschäftsleitung, das Vereinspräsidium etc. Aber auch Mitarbeitende können mit bis zu 250’000 Franken sanktioniert werden, wenn sie vertrauliche Personendaten (z. B. Mitgliederlisten) ausserhalb des Unternehmens verbreiten, da sie neu dem sogenannten kleinen Berufsgeheimnis unterliegen.

Was ist neu?

  • Verantwortliche Personen können mit einem persönlichen Bussgeld von bis zu 250’000 Franken belangt werden.
  • Genetische und biometrische Informationen gelten als besonders schützenswerten Daten.
  • Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten müssen Organisationen die betroffenen Personen vorher angemessen informieren.
  • Ein Verzeichnis der Bearbeitungstätigkeiten wird für Organisationen (ab 250 Mitarbeitenden) obligatorisch. Das Verzeichnis dokumentiert im Wesentlichen sämtliche Datenflüsse und deren Bearbeitungszweck. 
  • Ein Risikobericht ist zu erstellen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen darstellt.
  • Verletzungen der Datensicherheit müssen rasch (innerhalb von 72 Stunden) an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.
  • Die Grundsätze «Privacy by Design» und «Privacy by Default» verpflichten Organisationen, den Datenschutz und die Privatsphäre der Nutzer:innen bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen.

Quelle: KMU Portal des Bundes, 2023

ZHAW-Datenschutzexperte im Interview

Was bedeuten diese Änderungen nun konkret für NPO und Kulturorganisationen? Das Zentrum für Kulturmanagement (ZKM) hat mit dem ZHAW-Datenschutzexperten Volker Dohr dazu befragt. In einem Überblick fasst er zudem alle wesentlichen Schritte zusammen, die Organisation nun befolgen müssen. 

 

Volker Dohr ist CEO und Co-Founder der Full-Service Datenschutzberatung Impunix AG sowie Dozent und Studiengangsleiter in der Abteilung für Business Law der ZHAW School of Management and Law. Er unterrichtet im CAS Intellectual Property Paralegal und im MAS Business Administration. 

Wie schätzen Sie die Auswirkungen des neuen Datenschutzgesetztes auf Organisationen ein?

Für Organisationen, die sich noch nicht mit dem Datenschutz auseinandergesetzt haben, ist der Aufwand gross. Hingegen sind die neuen Vorgaben für Unternehmen, die sich bereits an die EU-Datenschutzverordnung halten, geringfügig. Für die meisten Organisationen, die noch nicht mit dem komplexen Thema vertraut sind, funktioniert die Umsetzung der neuen Vorgaben ohne externen Support kaum.

In welchen Bereichen wirkt sich das neue Datenschutzgesetzt direkt auf die Geschäftstätigkeit von NPO und Kulturorganisationen aus?

In Bereichen mit vielen und sensiblen Daten – zum Beispiel bei der Umsetzung von Auskunfts- und Löschbegehren, bei der Erstellung von Verträgen mit Auftragsbearbeitenden und dem kontinuierlichen Update des Datenschutzmanagements.

Welche Änderung des neuen Datenschutzes sind am bedeutendsten für NPO und Kulturorganisationen?

Am relevantesten ist sicherlich die persönliche Strafbarkeit des Verantwortlichen, in der Regel des Vorstands, von bis zu 250'000 Franken bei vorsätzlichem Verstoss gegen die Sorgfaltspflichten nach Art. 60ff des revidierten Datenschutzgesetzes. Leider gibt es für NPO und Kulturorganisationen keine Erleichterungen, sodass die Anforderungen die gleichen sind wie für ein KMU.

Muss also in Zukunft bei Verstössen mit hohen Bussgeldern gerechnet werden?

Ich rechne damit, dass die Behörden zumindest im ersten Jahr mit Augenmass vorgehen, wie wir es auch 2018 in der EU bei der Einführung der Datenschutz-Grundverordnung (DSGVO) erlebt haben. Es kommt hinzu, dass das Strafmass sich auch an der Schwere des Verstosses orientiert, was bei NPO und Kulturorganisationen tendenziell geringer sein dürfte, aber das ist Spekulation.

Welches Vorgehen raten Sie NPO und Kulturorganisationen zur Überprüfung ihrer Datenschutzbestimmungen?

Wer noch nichts gemacht hat, sollte sich mit den strafbewehrten Themen befassen wie etwa Datenschutzerklärung(en), Website, Auftragsbearbeitungen, Datensicherheit, Auskunftsprozessen, gefolgt von den übrigen Sorgfaltspflichten.

Das ZKM-Team bedankt sich für das Interview. 

Überblick: Was ist zu tun?

  • Umfassende und aktuelle Datenschutzerklärungen zur Verfügung stellen, z. B. auf Webseite*
  • Für Datensicherheit sorgen* und bei Verletzung der Meldepflicht nachkommen
  • Datenschutz durch Schulung von Mitarbeitenden und Geschäftsleitung gewährleisten, insbesondere Auftragsbearbeitende für neue Grundsätze sensibilisieren
  • Verträge zur Einhaltung des Datenschutzes mit Auftragsbearbeitenden schliessen*
  • Rechte der Betroffenen beachten insbesondere bei Anfragen zu Datenauskunft rasch antworten (in der Regel innerhalb von 30 Tagen)*
  • Grundsätze umsetzen: Transparenz, Löschung von Daten, Verhältnismässigkeit, Sicherheit, Richtigkeit
  • Bei hohem Risiko für die Persönlichkeit oder die Grundrechte einer betroffenen Person eine Datenschutzfolgeabschätzung (DSFA) erstellen; dieses Formular dient zur Erkennung und Bewertung von Datenschutzrisiken und zeigt Massnahmen zum Schutz auf) 
  • Bearbeitungsverzeichnis erstellen: Ab 250 Mitarbeitenden Pflicht, aber auch mit weniger Mitarbeitenden empfehlenswert, damit eine Übersicht über die Personendaten besteht
  • Informationspflicht zur Datenbearbeitung einhalten durch Verweis auf Datenschutzerklärung

Angaben mit * sind strafbewehrt, d. h. dass eine Nichterfüllung oder Falschdarstellung rechtliche Strafen zur Folge hat
Quelle: Volker Dohr, 2023