Neues Daten­schutz­recht in der Schweiz: Was müssen Stif­tun­gen beachten?

Am 1. Septem­ber 2023 tritt in der Schweiz das neue Daten­schutz­recht in Kraft. Das neue Daten­schutz­ge­setz (DSG) soll den Daten­schutz stär­ken. Die Tätig­keit einer Stif­tung führt immer zur Bear­bei­tung von Perso­nen­da­ten. In der Folge müssen sich alle Stif­tun­gen mit dem neuen DSG befassen.

Das neue Daten­schutz­recht bringt keine Revo­lu­tion. Was nicht verbo­ten ist, ist weiter­hin erlaubt. Das neue DSG ist keine Kopie der euro­päi­schen Daten­schutz-Grund­ver­ord­nung (DSGVO). Auch nervige Cookie-Banner sind in der Schweiz weiter­hin nicht erforderlich.

Daten­schutz in der Schweiz soll dank neuen Anrei­zen aber kein Papier­ti­ger mehr sein: Bei Daten­schutz­ver­let­zun­gen drohen persön­li­che Bussen bis zu 250’000 Fran­ken und der Eidge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­tragte (EDÖB) kann in Zukunft direkt einschreiten.

Für Stif­tun­gen gibt es einen beson­de­ren Anreiz, den Daten­schutz zu gewähr­leis­ten: Vertrauen. Stif­tun­gen, welche die Daten­si­cher­heit vernach­läs­si­gen, riskie­ren bei Daten­pan­nen einen erheb­li­chen Reputationsverlust.

Daten-Inven­tar: Welche Daten werden wofür, wie und wo bearbeitet?

Am Anfang steht immer das Wissen, welche Daten über welche Perso­nen für welche Zwecke mit welchen Mitteln und in welchen Ländern bear­bei­tet werden. Faust­re­gel: Alle Daten sind Perso­nen­da­ten und jeder Umgang mit Perso­nen­da­ten ist eine Bearbeitung.

Dieses Wissen wird in einem Daten-Inven­tar erfasst. Das soge­nannte Verzeich­nis der Bear­bei­tungs­tä­tig­kei­ten ist für die meis­ten Stif­tun­gen frei­wil­lig. Egal, ob Excel-Tabelle, Mind­map oder Online-Tool: Wich­tig ist, dass ein Daten-Inven­tar vorhan­den ist.

Outsour­cing: Sind Auftrags­be­ar­bei­tung und Daten-Export abgesichert?

Stif­tun­gen bear­bei­ten nicht alle Daten selbst, sondern nutzen Dienste von Drit­ten: E‑Mail-Kommu­ni­ka­tion, Marke­ting-Akti­vi­tä­ten, Rekru­tie­rung, Website-Hosting. In vielen Fällen handelt es sich um Cloud-Dienste. Das Daten-Inven­tar zeigt, für welche Daten welches Outsour­cing genutzt wird.

Jedes Outsour­cing muss vertrag­lich mit einem Auftrags­ver­ar­bei­tungs­ver­trag (AVV), englisch Data Proces­sing Agree­ment (DPA), abge­si­chert werden. Etablierte Anbie­ter stel­len einen solchen Vertrag stan­dard­mäs­sig zur Verfügung.

Bei der Nutzung von Diens­ten im Ausland erfolgt ein Daten-Export. Da in den meis­ten Ländern ausser­halb des Euro­päi­schen Wirt­schafts­rau­mes (EWR) das Daten­schutz-Niveau unge­nü­gend ist, muss der Daten-Export viel­fach zusätz­lich abge­si­chert werden. Ferner ist eine Risi­ko­be­ur­tei­lung erfor­der­lich. Davon betrof­fen sind in erster Linie die USA und damit fast alle bekann­ten Cloud-Dienste.

Die zusätz­li­che Absi­che­rung erfolgt mit soge­nann­ten Stan­dard­da­ten­schutz­klau­seln, englisch Stan­dard Contrac­tual Clau­ses (SCC), der Euro­päi­schen Kommis­sion. Etablierte Anbieter:innen stel­len solche Klau­seln stan­dard­mäs­sig zur Verfü­gung und berück­sich­ti­gen auch die Schweiz. Für die Risi­ko­be­ur­tei­lung hat sich in der Schweiz die frei verfüg­bare, Excel-basierte Methode von David Rosen­thal etabliert. Ob die Absi­che­rung ausreicht, ist umstrit­ten, aber an ameri­ka­ni­schen Diens­ten führt oftmals kein Weg vorbei.

Trans­pa­renz: Ist die Daten­schutz­er­klä­rung aktu­ell und vollständig?

Mit dem neuen Daten­schutz­recht wird eine allge­meine Infor­ma­ti­ons­pflicht einge­führt: Betrof­fene Perso­nen müssen eine Möglich­keit haben, sich bei Stif­tun­gen über die Bear­bei­tung ihrer Daten und über ihre Rechte zu informieren.

Am einfachs­ten ist die Veröf­fent­li­chung einer allge­mei­nen Daten­schutz­er­klä­rung auf der eige­nen Website. Die Erklä­rung sollte aktu­ell und voll­stän­dig gehal­ten werden. Dafür können «Daten­schutz-Gene­ra­to­ren» ein nütz­li­ches Hilfs­mit­tel sein. Infor­miert werden muss unter ande­rem über den Daten-Export und über die Rechte für betrof­fene Perso­nen wie das Recht auf Auskunft. Trans­pa­renz schafft Vertrauen.

Betrof­fene Perso­nen: Wann werden Anfra­gen recht­zei­tig bearbeitet?

Wenn sich betrof­fene Perso­nen melden, müssen Stif­tun­gen die Anfra­gen recht­zei­tig erken­nen und bear­bei­ten. Häufig geht es um die Ertei­lung von Auskunft mit einer ersten Frist von 30 Tagen. 

Im Alltag muss sorg­fäl­tig geprüft werden, ob der anfra­gen­den Person Auskunft erteilt werden darf, und falls ja, in welchem Umfang. Betrof­fene Perso­nen verfü­gen nie über abso­lute Rechte, wie ein Recht auf sofor­tige Löschung aller Daten.

Daten­si­cher­heit: Bewäh­ren sich die tech­ni­schen und orga­ni­sa­to­ri­schen Massnahmen?

Wenn es zu einer Daten­panne kommt, inter­es­siert sich niemand mehr für den Auftrags­ver­ar­bei­tungs­ver­trag oder die Daten­schutz­er­klä­rung. Die Daten­si­cher­heit muss deshalb jeder­zeit mit ange­mes­se­nen tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men (TOM) gewähr­leis­tet werden.

Typi­sche Mass­nah­men sind die regel­mäs­sige Daten­si­che­rung, ein wirk­sa­mer Pass­wort­schutz, die Proto­kol­lie­rung von Zugrif­fen oder die Verschlüs­se­lung von Note­books. TOM sind meis­tens bereits vorhan­den, aber noch nicht dokumentiert.

Neues Daten­schutz­recht: Gelingt die prag­ma­ti­sche Umsetzung?

Alle Stif­tun­gen müssen das neue Daten­schutz­recht umset­zen. Daten­schutz ist keine einma­lige Ange­le­gen­heit, sondern ein Prozess. Die Umset­zung muss prag­ma­tisch erfol­gen und sich an den Risi­ken orien­tie­ren. Wer den Daten­schutz ernst nimmt und sich regel­mäs­sig darum kümmert, braucht sich nicht vor dem neuen schwei­ze­ri­schen Daten­schutz­recht zu fürchten. 

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

StiftungSchweiz engagiert sich für eine Philanthropie, die mit möglichst wenig Aufwand viel bewirkt, für alle sichtbar und erlebbar ist und Freude bereitet.

Folgen Sie StiftungSchweiz auf

-
-