Die Digitalisierung hat den Umgang mit Daten in mancher Hinsicht vereinfacht. Doch sie bringt auch neue Risiken. In der Studie Horak / Baumüller 2018 (Umfrage des Österreichischen Controller-Instituts) nannten 88 Prozent der befragten Institutionen «Erhöhte Anforderungen an Datensicherheit» als grössten erwarteten Nachteil der Digitalisierung.
Datensicherheit
Datensicherheit hat das technische Ziel, Daten jeglicher Art in ausreichendem Masse gegen Verlust, Diebstahl, Manipulationen und andere Bedrohungen zu sichern. Für die Sicherheit der Daten ist die Leitung einer Organisation verantwortlich. Die Kontrolle obliegt der strategischen Führung. Es sind entsprechende organisatorische und technische Massnahmen zu treffen.
Schützen Sie Ihre Daten unter anderem mit folgenden Massnahmen:
- Adäquate Zugangskontrolle zu Ihren Räumlichkeiten und insbesondere zur IT-Infrastruktur sowie Zugriffsbeschränkungen auf Daten.
- Hinreichend komplexe Kennwörter oder Mehrweg-Authentifikation.
- Verwendung eingeschränkter Benutzerrechte, so dass zum Beispiel Systemdateien nicht verändert werden können.
- Aktuellhalten der Software.
- Deinstallieren veralteter, unsicherer und unbenutzter Software.
- Erstellen von Sicherungskopien auf einem separaten Speichermedium, in einem zweiten Rechenzentrum mit redundanter Spiegelung oder mithilfe von Cloud-Lösungen.
- Verwenden einer Antivirensoftware.
- Verwenden von Firewalls.
- Deaktivieren aktiver Inhalte.
- Verschlüsseln sensibler Daten, insbesondere bei der Übermittlung.
All diese Massnahmen helfen jedoch nicht, wenn die Mitarbeitenden unsorgfältig handeln. Der Sensibilisierung und Befähigung der Mitarbeitenden ist daher hohe Priorität einzuräumen. Ein effektives Sicherheitskonzept berücksichtigt neben technischen auch organisatorische und personelle Massnahmen.
Datenschutz
Die gesetzliche Grundlage für den Umgang mit Daten hat die EU im vergangenen Jahr angepasst. Per 25. Mai 2018 wurde in der EU die neue Datenschutz-Grundverordnung (DSGVO) wirksam. Sie ist in allen EU/EWR-Staaten verbindlich und setzt neue Massstäbe im Bereich Datenschutz und Datensicherheit. Aktuell berät das Schweizer Parlament den Entwurf für ein völlig revidiertes Datenschutzgesetz. Der Entwurf orientiert sich an den Normen der EU. Auch Schweizer Non-Profit-Organisationen werden in Zukunft mit erhöhten Anforderungen an Information, Dokumentation oder mit erweiterten Auskunfts- und Meldepflichten, verbunden mit empfindlichen Strafsanktionen, konfrontiert sein.
Non-Profit-Organisationen bearbeiten Personendaten, sei es von Spendern, Gönnern, Mitarbeitenden oder Kontaktpersonen von Partnerorganisationen. Jegliches Bearbeiten, wie Sammeln, Weiterleiten oder Speichern von Personendaten, wie z.B. Name und Adresse, ist durch das Datenschutzgesetz geschützt. Es reicht, dass eine natürliche Person identifizierbar ist. Bei besonders schützenswerten Personendaten wie z.B. Informationen zu politischen Meinungen, Gesundheit, Sozialhilfe oder zur sexuellen Orientierung, gelten besondere Anforderungen. Damit solche Daten rechtmässig bearbeitet werden dürfen, gelten zusätzliche Anforderungen an die Information der betroffenen Person. Unter Umständen muss eine Einwilligung eingeholt werden.
Mit der Zahlung einer Spende, der Teilnahme an einem Anlass oder der Anmeldung zu einem Newsletter gibt die Person keine generelle Einwilligung, ihre Daten auch für andere Zwecke nutzen zu können.
Unabhängig davon, ob die DSGVO zusätzlich zum Schweizer Recht anwendbar ist, besteht bei Non-Profit-Organisationen Handlungsbedarf:
Verantwortlichkeiten festlegen (inkl. Ressourcen, externer Unterstützung und Definition des Reportings.
Übersicht gewinnen und Prioritäten festlegen (Bestand an Personendaten dokumentieren, Risiken abschätzen, technische und organisatorische Massnahmen der IT und andere Massnahmen ableiten und dokumentieren).
Prozesse einrichten (Meldungen bei Datenschutzvorfällen, Auskunftsbegehren, Berichtigungs- und Löschbegehren, Anpassungen IT).
