Foto: Lianhao Qu, Unsplash

Wie gehe ich rich­tig mit Daten um?

Datensicherheit und Datenschutz sind Zwillinge, die Hand in Hand gehen. Auch Non-Profit-Organisationen können sich diesen Fragen nicht verschliessen: Welche Herausforderungen bestehen und was gilt es zu beachten?

Die Digi­ta­li­sie­rung hat den Umgang mit Daten in mancher Hinsicht verein­facht. Doch sie bringt auch neue Risi­ken. In der Studie Horak / Baumül­ler 2018 (Umfrage des Öster­rei­chi­schen Control­ler-Insti­tuts) nann­ten 88 Prozent der befrag­ten Insti­tu­tio­nen «Erhöhte Anfor­de­run­gen an Daten­si­cher­heit» als gröss­ten erwar­te­ten Nach­teil der Digi­ta­li­sie­rung.

Daten­si­cher­heit

Daten­si­cher­heit hat das tech­ni­sche Ziel, Daten jegli­cher Art in ausrei­chen­dem Masse gegen Verlust, Dieb­stahl, Mani­pu­la­tio­nen und andere Bedro­hun­gen zu sichern. Für die Sicher­heit der Daten ist die Leitung einer Orga­ni­sa­tion verant­wort­lich. Die Kontrolle obliegt der stra­te­gi­schen Führung. Es sind entspre­chende orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men zu tref­fen. 

Schüt­zen Sie Ihre Daten unter ande­rem mit folgen­den Mass­nah­men:

  1. Adäquate Zugangs­kon­trolle zu Ihren Räum­lich­kei­ten und insbe­son­dere zur IT-Infra­struk­tur sowie Zugriffs­be­schrän­kun­gen auf Daten.
  2. Hinrei­chend komplexe Kenn­wör­ter oder Mehr­weg-Authen­ti­fi­ka­tion.
  3. Verwen­dung einge­schränk­ter Benut­zer­rechte, so dass zum Beispiel System­da­teien nicht verän­dert werden können.
  4. Aktu­ell­hal­ten der Soft­ware.
  5. Deinstal­lie­ren veral­te­ter, unsi­che­rer und unbe­nutz­ter Soft­ware.
  6. Erstel­len von Siche­rungs­ko­pien auf einem sepa­ra­ten Spei­cher­me­dium, in einem zwei­ten Rechen­zen­trum mit redun­dan­ter Spie­ge­lung oder mithilfe von Cloud-Lösun­gen.
  7. Verwen­den einer Anti­vi­ren­soft­ware.
  8. Verwen­den von Fire­walls.
  9. Deak­ti­vie­ren akti­ver Inhalte.
  10. Verschlüs­seln sensi­bler Daten, insbe­son­dere bei der Über­mitt­lung.

All diese Mass­nah­men helfen jedoch nicht, wenn die Mitar­bei­ten­den unsorg­fäl­tig handeln. Der Sensi­bi­li­sie­rung und Befä­hi­gung der Mitar­bei­ten­den ist daher hohe Prio­ri­tät einzu­räu­men. Ein effek­ti­ves Sicher­heits­kon­zept berück­sich­tigt neben tech­ni­schen auch orga­ni­sa­to­ri­sche und perso­nelle Mass­nah­men.

Daten­schutz

Die gesetz­li­che Grund­lage für den Umgang mit Daten hat die EU im vergan­ge­nen Jahr ange­passt. Per 25. Mai 2018 wurde in der EU die neue Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam. Sie ist in allen EU/EWR-Staa­ten verbind­lich und setzt neue Mass­stäbe im Bereich Daten­schutz und Daten­si­cher­heit. Aktu­ell berät das Schwei­zer Parla­ment den Entwurf für ein völlig revi­dier­tes Daten­schutz­ge­setz. Der Entwurf orien­tiert sich an den Normen der EU. Auch Schwei­zer Non-Profit-Orga­ni­sa­tio­nen werden in Zukunft mit erhöh­ten Anfor­de­run­gen an Infor­ma­tion, Doku­men­ta­tion oder mit erwei­ter­ten Auskunfts- und Melde­pflich­ten, verbun­den mit empfind­li­chen Straf­sank­tio­nen, konfron­tiert sein.

Non-Profit-Orga­ni­sa­tio­nen bear­bei­ten Perso­nen­da­ten, sei es von Spen­dern, Gönnern, Mitar­bei­ten­den oder Kontakt­per­so­nen von Part­ner­or­ga­ni­sa­tio­nen. Jegli­ches Bear­bei­ten, wie Sammeln, Weiter­lei­ten oder Spei­chern von Perso­nen­da­ten, wie z.B. Name und Adresse, ist durch das Daten­schutz­ge­setz geschützt. Es reicht, dass eine natür­li­che Person iden­ti­fi­zier­bar ist. Bei beson­ders schüt­zens­wer­ten Perso­nen­da­ten wie z.B. Infor­ma­tio­nen zu poli­ti­schen Meinun­gen, Gesund­heit, Sozi­al­hilfe oder zur sexu­el­len Orien­tie­rung, gelten beson­dere Anfor­de­run­gen. Damit solche Daten recht­mäs­sig bear­bei­tet werden dürfen, gelten zusätz­li­che Anfor­de­run­gen an die Infor­ma­tion der betrof­fe­nen Person. Unter Umstän­den muss eine Einwil­li­gung einge­holt werden.

Mit der Zahlung einer Spende, der Teil­nahme an einem Anlass oder der Anmel­dung zu einem News­let­ter gibt die Person keine gene­relle Einwil­li­gung, ihre Daten auch für andere Zwecke nutzen zu können.

Unab­hän­gig davon, ob die DSGVO zusätz­lich zum Schwei­zer Recht anwend­bar ist, besteht bei Non-Profit-Orga­ni­sa­tio­nen Hand­lungs­be­darf:

Verant­wort­lich­kei­ten fest­le­gen (inkl. Ressour­cen, exter­ner Unter­stüt­zung und Defi­ni­tion des Reportings.

Über­sicht gewin­nen und Prio­ri­tä­ten fest­le­gen (Bestand an Perso­nen­da­ten doku­men­tie­ren, Risi­ken abschät­zen, tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men der IT und andere Mass­nah­men ablei­ten und doku­men­tie­ren).

Prozesse einrich­ten (Meldun­gen bei Daten­schutz­vor­fäl­len, Auskunfts­be­geh­ren, Berich­ti­gungs- und Lösch­be­geh­ren, Anpas­sun­gen IT).

StiftungSchweiz engagiert sich für eine Philanthropie, die mit möglichst wenig Aufwand viel bewirkt, für alle sichtbar und erlebbar ist und Freude bereitet.

Follow StiftungSchweiz on

The Philanthropist im Abo
Jetzt profitieren!
WP Feedback

Dive straight into the feedback!
Login below and you can start commenting using your own user instantly