Am 1. September 2023 tritt in der Schweiz das neue Datenschutzrecht in Kraft. Das neue Datenschutzgesetz (DSG) soll den Datenschutz stärken. Die Tätigkeit einer Stiftung führt immer zur Bearbeitung von Personendaten. In der Folge müssen sich alle Stiftungen mit dem neuen DSG befassen.
Das neue Datenschutzrecht bringt keine Revolution. Was nicht verboten ist, ist weiterhin erlaubt. Das neue DSG ist keine Kopie der europäischen Datenschutz-Grundverordnung (DSGVO). Auch nervige Cookie-Banner sind in der Schweiz weiterhin nicht erforderlich.
Datenschutz in der Schweiz soll dank neuen Anreizen aber kein Papiertiger mehr sein: Bei Datenschutzverletzungen drohen persönliche Bussen bis zu 250’000 Franken und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann in Zukunft direkt einschreiten.
Für Stiftungen gibt es einen besonderen Anreiz, den Datenschutz zu gewährleisten: Vertrauen. Stiftungen, welche die Datensicherheit vernachlässigen, riskieren bei Datenpannen einen erheblichen Reputationsverlust.
Daten-Inventar: Welche Daten werden wofür, wie und wo bearbeitet?
Am Anfang steht immer das Wissen, welche Daten über welche Personen für welche Zwecke mit welchen Mitteln und in welchen Ländern bearbeitet werden. Faustregel: Alle Daten sind Personendaten und jeder Umgang mit Personendaten ist eine Bearbeitung.
Dieses Wissen wird in einem Daten-Inventar erfasst. Das sogenannte Verzeichnis der Bearbeitungstätigkeiten ist für die meisten Stiftungen freiwillig. Egal, ob Excel-Tabelle, Mindmap oder Online-Tool: Wichtig ist, dass ein Daten-Inventar vorhanden ist.
Outsourcing: Sind Auftragsbearbeitung und Daten-Export abgesichert?
Stiftungen bearbeiten nicht alle Daten selbst, sondern nutzen Dienste von Dritten: E‑Mail-Kommunikation, Marketing-Aktivitäten, Rekrutierung, Website-Hosting. In vielen Fällen handelt es sich um Cloud-Dienste. Das Daten-Inventar zeigt, für welche Daten welches Outsourcing genutzt wird.
Jedes Outsourcing muss vertraglich mit einem Auftragsverarbeitungsvertrag (AVV), englisch Data Processing Agreement (DPA), abgesichert werden. Etablierte Anbieter stellen einen solchen Vertrag standardmässig zur Verfügung.
Bei der Nutzung von Diensten im Ausland erfolgt ein Daten-Export. Da in den meisten Ländern ausserhalb des Europäischen Wirtschaftsraumes (EWR) das Datenschutz-Niveau ungenügend ist, muss der Daten-Export vielfach zusätzlich abgesichert werden. Ferner ist eine Risikobeurteilung erforderlich. Davon betroffen sind in erster Linie die USA und damit fast alle bekannten Cloud-Dienste.
Die zusätzliche Absicherung erfolgt mit sogenannten Standarddatenschutzklauseln, englisch Standard Contractual Clauses (SCC), der Europäischen Kommission. Etablierte Anbieter:innen stellen solche Klauseln standardmässig zur Verfügung und berücksichtigen auch die Schweiz. Für die Risikobeurteilung hat sich in der Schweiz die frei verfügbare, Excel-basierte Methode von David Rosenthal etabliert. Ob die Absicherung ausreicht, ist umstritten, aber an amerikanischen Diensten führt oftmals kein Weg vorbei.
Transparenz: Ist die Datenschutzerklärung aktuell und vollständig?
Mit dem neuen Datenschutzrecht wird eine allgemeine Informationspflicht eingeführt: Betroffene Personen müssen eine Möglichkeit haben, sich bei Stiftungen über die Bearbeitung ihrer Daten und über ihre Rechte zu informieren.
Am einfachsten ist die Veröffentlichung einer allgemeinen Datenschutzerklärung auf der eigenen Website. Die Erklärung sollte aktuell und vollständig gehalten werden. Dafür können «Datenschutz-Generatoren» ein nützliches Hilfsmittel sein. Informiert werden muss unter anderem über den Daten-Export und über die Rechte für betroffene Personen wie das Recht auf Auskunft. Transparenz schafft Vertrauen.
Betroffene Personen: Wann werden Anfragen rechtzeitig bearbeitet?
Wenn sich betroffene Personen melden, müssen Stiftungen die Anfragen rechtzeitig erkennen und bearbeiten. Häufig geht es um die Erteilung von Auskunft mit einer ersten Frist von 30 Tagen.
Im Alltag muss sorgfältig geprüft werden, ob der anfragenden Person Auskunft erteilt werden darf, und falls ja, in welchem Umfang. Betroffene Personen verfügen nie über absolute Rechte, wie ein Recht auf sofortige Löschung aller Daten.
Datensicherheit: Bewähren sich die technischen und organisatorischen Massnahmen?
Wenn es zu einer Datenpanne kommt, interessiert sich niemand mehr für den Auftragsverarbeitungsvertrag oder die Datenschutzerklärung. Die Datensicherheit muss deshalb jederzeit mit angemessenen technischen und organisatorischen Massnahmen (TOM) gewährleistet werden.
Typische Massnahmen sind die regelmässige Datensicherung, ein wirksamer Passwortschutz, die Protokollierung von Zugriffen oder die Verschlüsselung von Notebooks. TOM sind meistens bereits vorhanden, aber noch nicht dokumentiert.
Neues Datenschutzrecht: Gelingt die pragmatische Umsetzung?
Alle Stiftungen müssen das neue Datenschutzrecht umsetzen. Datenschutz ist keine einmalige Angelegenheit, sondern ein Prozess. Die Umsetzung muss pragmatisch erfolgen und sich an den Risiken orientieren. Wer den Datenschutz ernst nimmt und sich regelmässig darum kümmert, braucht sich nicht vor dem neuen schweizerischen Datenschutzrecht zu fürchten.