Four times a year in your mailbox. Subscribe to our magazine at the introductory price of 36 Swiss Francs. Order now!
Foto: Lianhao Qu, Unsplash

Wie gehe ich rich­tig mit Daten um?

Datensicherheit und Datenschutz sind Zwillinge, die Hand in Hand gehen. Auch Non-Profit-Organisationen können sich diesen Fragen nicht verschliessen: Welche Herausforderungen bestehen und was gilt es zu beachten?

Die Digi­ta­li­sie­rung hat den Umgang mit Daten in man­cher Hin­sicht ver­ein­facht. Doch sie bringt auch neue Risi­ken. In der Stu­die Horak / Bau­mül­ler 2018 (Umfra­ge des Öster­rei­chi­schen Con­trol­ler-Insti­tuts) nann­ten 88 Pro­zent der befrag­ten Insti­tu­tio­nen «Erhöh­te Anfor­de­run­gen an Daten­si­cher­heit» als gröss­ten erwar­te­ten Nach­teil der Digi­ta­li­sie­rung.

Daten­si­cher­heit

Daten­si­cher­heit hat das tech­ni­sche Ziel, Daten jeg­li­cher Art in aus­rei­chen­dem Mas­se gegen Ver­lust, Dieb­stahl, Mani­pu­la­tio­nen und ande­re Bedro­hun­gen zu sichern. Für die Sicher­heit der Daten ist die Lei­tung einer Orga­ni­sa­ti­on ver­ant­wort­lich. Die Kon­trol­le obliegt der stra­te­gi­schen Füh­rung. Es sind ent­spre­chen­de orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men zu tref­fen. 

Schüt­zen Sie Ihre Daten unter ande­rem mit fol­gen­den Mass­nah­men:

  1. Adäqua­te Zugangs­kon­trol­le zu Ihren Räum­lich­kei­ten und ins­be­son­de­re zur IT-Infra­struk­tur sowie Zugriffs­be­schrän­kun­gen auf Daten.
  2. Hin­rei­chend kom­ple­xe Kenn­wör­ter oder Mehr­weg-Authen­ti­fi­ka­ti­on.
  3. Ver­wen­dung ein­ge­schränk­ter Benut­zer­rech­te, so dass zum Bei­spiel System­da­tei­en nicht ver­än­dert wer­den kön­nen.
  4. Aktu­ell­hal­ten der Soft­ware.
  5. Deinstal­lie­ren ver­al­te­ter, unsi­che­rer und unbe­nutz­ter Soft­ware.
  6. Erstel­len von Siche­rungs­ko­pi­en auf einem sepa­ra­ten Spei­cher­me­di­um, in einem zwei­ten Rechen­zen­trum mit red­un­dan­ter Spie­ge­lung oder mit­hil­fe von Cloud-Lösun­gen.
  7. Ver­wen­den einer Anti­vi­ren­soft­ware.
  8. Ver­wen­den von Fire­walls.
  9. Deak­ti­vie­ren akti­ver Inhal­te.
  10. Ver­schlüs­seln sen­si­bler Daten, ins­be­son­de­re bei der Über­mitt­lung.

All die­se Mass­nah­men hel­fen jedoch nicht, wenn die Mit­ar­bei­ten­den unsorg­fäl­tig han­deln. Der Sen­si­bi­li­sie­rung und Befä­hi­gung der Mit­ar­bei­ten­den ist daher hohe Prio­ri­tät ein­zu­räu­men. Ein effek­ti­ves Sicher­heits­kon­zept berück­sich­tigt neben tech­ni­schen auch orga­ni­sa­to­ri­sche und per­so­nel­le Mass­nah­men.

Daten­schutz

Die gesetz­li­che Grund­la­ge für den Umgang mit Daten hat die EU im ver­gan­ge­nen Jahr ange­passt. Per 25. Mai 2018 wur­de in der EU die neue Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam. Sie ist in allen EU/E­WR-Staa­ten ver­bind­lich und setzt neue Mass­stä­be im Bereich Daten­schutz und Daten­si­cher­heit. Aktu­ell berät das Schwei­zer Par­la­ment den Ent­wurf für ein völ­lig revi­dier­tes Daten­schutz­ge­setz. Der Ent­wurf ori­en­tiert sich an den Nor­men der EU. Auch Schwei­zer Non-Pro­fit-Orga­ni­sa­tio­nen wer­den in Zukunft mit erhöh­ten Anfor­de­run­gen an Infor­ma­ti­on, Doku­men­ta­ti­on oder mit erwei­ter­ten Aus­kunfts- und Mel­de­pflich­ten, ver­bun­den mit emp­find­li­chen Straf­sank­tio­nen, kon­fron­tiert sein.

Non-Pro­fit-Orga­ni­sa­tio­nen bear­bei­ten Per­so­nen­da­ten, sei es von Spen­dern, Gön­nern, Mit­ar­bei­ten­den oder Kon­takt­per­so­nen von Part­ner­or­ga­ni­sa­tio­nen. Jeg­li­ches Bear­bei­ten, wie Sam­meln, Wei­ter­lei­ten oder Spei­chern von Per­so­nen­da­ten, wie z.B. Name und Adres­se, ist durch das Daten­schutz­ge­setz geschützt. Es reicht, dass eine natür­li­che Per­son iden­ti­fi­zier­bar ist. Bei beson­ders schüt­zens­wer­ten Per­so­nen­da­ten wie z.B. Infor­ma­tio­nen zu poli­ti­schen Mei­nun­gen, Gesund­heit, Sozi­al­hil­fe oder zur sexu­el­len Ori­en­tie­rung, gel­ten beson­de­re Anfor­de­run­gen. Damit sol­che Daten recht­mäs­sig bear­bei­tet wer­den dür­fen, gel­ten zusätz­li­che Anfor­de­run­gen an die Infor­ma­ti­on der betrof­fe­nen Per­son. Unter Umstän­den muss eine Ein­wil­li­gung ein­ge­holt wer­den.

Mit der Zah­lung einer Spen­de, der Teil­nah­me an einem Anlass oder der Anmel­dung zu einem News­let­ter gibt die Per­son kei­ne gene­rel­le Ein­wil­li­gung, ihre Daten auch für ande­re Zwecke nut­zen zu kön­nen.

Unab­hän­gig davon, ob die DSGVO zusätz­lich zum Schwei­zer Recht anwend­bar ist, besteht bei Non-Pro­fit-Orga­ni­sa­tio­nen Hand­lungs­be­darf:

Ver­ant­wort­lich­kei­ten fest­le­gen (inkl. Res­sour­cen, exter­ner Unter­stüt­zung und Defi­ni­ti­on des Reportings.

Über­sicht gewin­nen und Prio­ri­tä­ten fest­le­gen (Bestand an Per­so­nen­da­ten doku­men­tie­ren, Risi­ken abschät­zen, tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men der IT und ande­re Mass­nah­men ablei­ten und doku­men­tie­ren).

Pro­zes­se ein­rich­ten (Mel­dun­gen bei Daten­schutz­vor­fäl­len, Aus­kunfts­be­geh­ren, Berich­ti­gungs- und Lösch­be­geh­ren, Anpas­sun­gen IT).

StiftungSchweiz engagiert sich für eine Philanthropie, die mit möglichst wenig Aufwand viel bewirkt, für alle sichtbar und erlebbar ist und Freude bereitet.

Fol­gen Sie StiftungSchweiz auf

Weitere Beiträge
Müs­sen Com­pli­an­ce Offi­cer jetzt pro­gram­mie­ren ler­nen?
WP Feedback

Dive straight into the feedback!
Login below and you can start commenting using your own user instantly