Verein
Rotary Medien CH/FL, aktualisiert am 02.04.2024
Am 1. September 2023 tritt das neue Datenschutzgesetz
(DSG) in Kraft, welches folgende, wesentliche Veränderungen für Unternehmen und
andere privatrechtliche Organisationen (einschliesslich Vereine) mit sich
bringt:
- Nur noch die Daten natürlicher Personen sind künftig vom Datenschutzgesetz betroffen, die von
juristischen Personen nicht mehr.
- Genetische und biometrische Daten
(Art. 5 lit. c DSG) werden in die Definition der besonders schützenswerten
Daten aufgenommen.
- Die Grundsätze "Privacy by Design" und "Privacy
by Default" (Art. 7 DSG) werden
eingeführt. Wie der Name bereits andeutet, bedeutet "Privacy by
Design" (Datenschutz durch Technikgestaltung) für die Entwickler, den
Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die
Struktur der Produkte oder Dienstleistungen einzubauen, welche
personenbezogene Daten sammeln werden. Der Grundsatz "Privacy by
Default" (Datenschutz durch Voreinstellung) stellt sicher, dass schon
beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste
Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen
der Nutzer, alle nötigen Massnahmen für den Datenschutz und die
Einschränkung der Datennutzung aktiviert sind. Anders gesagt, müssen
sämtliche Software, Hardware sowie die Dienstleistungen so konfiguriert
sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer
gewahrt wird. POLARIS ist so konfiguriert, dass wir diese Grundsätze
einhalten können.
- Datenschutz-Folgenabschätzungen
(Art. 22 DSG) müssen durch den Verantwortlichen, d.h. diejenige Person,
die allein oder zusammen mit anderen über den Zweck und die Mittel einer
Datenbearbeitung entscheidet, durchgeführt werden, sofern z.B. beim
Einsatz neuer Prozesse oder Technologien Personendaten bearbeitet werden
und dabei ein hohes Risiko für die Persönlichkeit oder die Grundrechte der
betroffenen Personen besteht. Aus Sicht der Clubs besteht hier kein
Handlungsbedarf.
- Die Informationspflicht wird ausgeweitet (Art. 19 DSG): Bei jeder Beschaffung von Personendaten – und
nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die
betroffene Person vorgängig informiert werden. Dies geschieht bei Rotary
dadurch, dass Neumitglieder in Bezug auf die Registration ihrer
Personendaten in POLARIS und auf die Datenschutzerklärung auf rotary.ch
bzw. auf der Club-Webseite in geeigneter Weise informiert werden.
- Ein Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG) wird obligatorisch. Die Verordnung zum Gesetz
sieht jedoch eine Ausnahme für Unternehmen und andere privatrechtliche
Organisationen vor, die weniger als 250 Mitarbeitende beschäftigen und
deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der
Persönlichkeit von betroffenen Personen mit sich bringt. Entsprechend
besteht für die CH/FL Rotary Clubs in aller Regel keine Verpflichtung zur
Erstellung eines solchen Verzeichnisses.
- Eine rasche Meldung ist erforderlich (Art. 24 DSG), wenn die Datensicherheit verletzt wurde, welche
zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der
betroffenen Person führt. Sie ist an den Eidgenössischen Datenschutz- und
Öffentlichkeitsbeauftragten (EDÖB) zu richten. Für die einzelnen Clubs
empfiehlt sich bei einer mutmasslichen oder effektiven Verletzung der
Datensicherheit («data leak») eine umgehende Kontaktnahme des CICO mit dem
DICO, der dann die weiteren Massnahmen (einschliesslich derjenigen einer
Meldung an den EDÖB (der EDÖB hat eine entsprechende Online-Meldeplattform
aufgeschaltet) mit dem POLARIS-Team koordiniert.
- Der Begriff Profiling (Art. 5 lit.
f DSG; die automatisierte Bearbeitung personenbezogener Daten) wurde in
das Gesetz aufgenommen. Eine solche automatisierte Bearbeitung von Daten
findet i.R. von POLARIS nicht statt.
- Die strafrechtlichen Bestimmungen wurden verschärft (Art. 60 ff. DSG): insbesondere die Verletzung von
Informations- oder Sorgfaltspflichten (z.B. im Zusammenhang mit der
Bekanntgabe der Personendaten ins Ausland, beim Einsatz von
Auftragsbearbeitern oder Fragen der Datensicherheit) kann zu einer Busse bis
zu CHF 250'000 führen (die Verletzung der Datenschutzgrundsätze ist
hingegen nicht strafbewehrt). Bestraft wird die natürliche Person, welche
die Verletzung begangen hat.
Im Übrigen wurden die Datenschutzgrundsätze unverändert
übernommen und das DSG sieht nur kleine Anpassungen in Bezug auf die Themen der
Datenbekanntgabe ins Ausland, des Einbezugs von Auftragsbearbeitern und der
Rechte der betroffenen Personen vor. Im Gegensatz zur DSGVO der EU sieht das
DSG etwa die Funktion des Datenschutzbeauftragten (DPO) nicht vor.
Was bedeutet das neue DSG insbesondere für die Nutzung von
Mitglieder-Daten auf POLARIS? Wie in der Datenschutzerklärung (https://polaris.rotary.ch/de/privacy-policy)
festgehalten, ist der jeweilige Rotary Distrikt/Club ist im Rahmen seines
eigenen POLARIS-Zugriffbereichs für die Verarbeitung personenbezogener Daten
verantwortlich und bestimmt, welche personenbezogenen Daten erfasst werden.
Der VRM hat bei der Entwicklung von POLARIS geeignete
technische (z.B. Zugriffsbeschränkung, Datensicherung etc.) und
organisatorische Massnahmen (z.B. Weisungen an Administratoren,
Vertraulichkeitsvereinbarungen, Monitoring etc.) getroffen, um die Sicherheit
der erhobenen und bearbeiteten Daten zu gewährleisten und diese vor unerlaubtem
Zugriff, Missbrauch, Verlust, Verfälschung oder Zerstörung zu schützen. Ein
Zugriff auf die Daten ist nur denjenigen Personen (z.B. CICO/DICO) gestattet,
welche diese für ihre Aufgabenerfüllung benötigen.
Wenn Sie Fragen zum Datenschutz haben, bitten wir Sie Ihr
Anliegen an folgende Zentralstelle weiterzuleiten: dataprotection@rotary.ch.