Foto: Lianhao Qu, Unsplash

Wie gehe ich rich­tig mit Daten um?

Datensicherheit und Datenschutz sind Zwillinge, die Hand in Hand gehen. Auch Non-Profit-Organisationen können sich diesen Fragen nicht verschliessen: Welche Herausforderungen bestehen und was gilt es zu beachten?

Die Digi­ta­li­sie­rung hat den Umgang mit Daten in mancher Hinsicht verein­facht. Doch sie bringt auch neue Risi­ken. In der Studie Horak / Baumül­ler 2018 (Umfrage des Öster­rei­chi­schen Control­ler-Insti­tuts) nann­ten 88 Prozent der befrag­ten Insti­tu­tio­nen «Erhöhte Anfor­de­run­gen an Daten­si­cher­heit» als gröss­ten erwar­te­ten Nach­teil der Digitalisierung.

Daten­si­cher­heit

Daten­si­cher­heit hat das tech­ni­sche Ziel, Daten jegli­cher Art in ausrei­chen­dem Masse gegen Verlust, Dieb­stahl, Mani­pu­la­tio­nen und andere Bedro­hun­gen zu sichern. Für die Sicher­heit der Daten ist die Leitung einer Orga­ni­sa­tion verant­wort­lich. Die Kontrolle obliegt der stra­te­gi­schen Führung. Es sind entspre­chende orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men zu treffen. 

Schüt­zen Sie Ihre Daten unter ande­rem mit folgen­den Massnahmen:

  1. Adäquate Zugangs­kon­trolle zu Ihren Räum­lich­kei­ten und insbe­son­dere zur IT-Infra­struk­tur sowie Zugriffs­be­schrän­kun­gen auf Daten.
  2. Hinrei­chend komplexe Kenn­wör­ter oder Mehrweg-Authentifikation.
  3. Verwen­dung einge­schränk­ter Benut­zer­rechte, so dass zum Beispiel System­da­teien nicht verän­dert werden können.
  4. Aktu­ell­hal­ten der Software.
  5. Deinstal­lie­ren veral­te­ter, unsi­che­rer und unbe­nutz­ter Software.
  6. Erstel­len von Siche­rungs­ko­pien auf einem sepa­ra­ten Spei­cher­me­dium, in einem zwei­ten Rechen­zen­trum mit redun­dan­ter Spie­ge­lung oder mithilfe von Cloud-Lösungen.
  7. Verwen­den einer Antivirensoftware.
  8. Verwen­den von Firewalls.
  9. Deak­ti­vie­ren akti­ver Inhalte.
  10. Verschlüs­seln sensi­bler Daten, insbe­son­dere bei der Übermittlung.

All diese Mass­nah­men helfen jedoch nicht, wenn die Mitar­bei­ten­den unsorg­fäl­tig handeln. Der Sensi­bi­li­sie­rung und Befä­hi­gung der Mitar­bei­ten­den ist daher hohe Prio­ri­tät einzu­räu­men. Ein effek­ti­ves Sicher­heits­kon­zept berück­sich­tigt neben tech­ni­schen auch orga­ni­sa­to­ri­sche und perso­nelle Massnahmen.

Daten­schutz

Die gesetz­li­che Grund­lage für den Umgang mit Daten hat die EU im vergan­ge­nen Jahr ange­passt. Per 25. Mai 2018 wurde in der EU die neue Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam. Sie ist in allen EU/EWR-Staa­ten verbind­lich und setzt neue Mass­stäbe im Bereich Daten­schutz und Daten­si­cher­heit. Aktu­ell berät das Schwei­zer Parla­ment den Entwurf für ein völlig revi­dier­tes Daten­schutz­ge­setz. Der Entwurf orien­tiert sich an den Normen der EU. Auch Schwei­zer Non-Profit-Orga­ni­sa­tio­nen werden in Zukunft mit erhöh­ten Anfor­de­run­gen an Infor­ma­tion, Doku­men­ta­tion oder mit erwei­ter­ten Auskunfts- und Melde­pflich­ten, verbun­den mit empfind­li­chen Straf­sank­tio­nen, konfron­tiert sein.

Non-Profit-Orga­ni­sa­tio­nen bear­bei­ten Perso­nen­da­ten, sei es von Spen­dern, Gönnern, Mitar­bei­ten­den oder Kontakt­per­so­nen von Part­ner­or­ga­ni­sa­tio­nen. Jegli­ches Bear­bei­ten, wie Sammeln, Weiter­lei­ten oder Spei­chern von Perso­nen­da­ten, wie z.B. Name und Adresse, ist durch das Daten­schutz­ge­setz geschützt. Es reicht, dass eine natür­li­che Person iden­ti­fi­zier­bar ist. Bei beson­ders schüt­zens­wer­ten Perso­nen­da­ten wie z.B. Infor­ma­tio­nen zu poli­ti­schen Meinun­gen, Gesund­heit, Sozi­al­hilfe oder zur sexu­el­len Orien­tie­rung, gelten beson­dere Anfor­de­run­gen. Damit solche Daten recht­mäs­sig bear­bei­tet werden dürfen, gelten zusätz­li­che Anfor­de­run­gen an die Infor­ma­tion der betrof­fe­nen Person. Unter Umstän­den muss eine Einwil­li­gung einge­holt werden.

Mit der Zahlung einer Spende, der Teil­nahme an einem Anlass oder der Anmel­dung zu einem News­let­ter gibt die Person keine gene­relle Einwil­li­gung, ihre Daten auch für andere Zwecke nutzen zu können.

Unab­hän­gig davon, ob die DSGVO zusätz­lich zum Schwei­zer Recht anwend­bar ist, besteht bei Non-Profit-Orga­ni­sa­tio­nen Handlungsbedarf:

Verant­wort­lich­kei­ten fest­le­gen (inkl. Ressour­cen, exter­ner Unter­stüt­zung und Defi­ni­tion des Reportings.

Über­sicht gewin­nen und Prio­ri­tä­ten fest­le­gen (Bestand an Perso­nen­da­ten doku­men­tie­ren, Risi­ken abschät­zen, tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men der IT und andere Mass­nah­men ablei­ten und doku­men­tie­ren).

Prozesse einrich­ten (Meldun­gen bei Daten­schutz­vor­fäl­len, Auskunfts­be­geh­ren, Berich­ti­gungs- und Lösch­be­geh­ren, Anpas­sun­gen IT).

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

StiftungSchweiz engagiert sich für eine Philanthropie, die mit möglichst wenig Aufwand viel bewirkt, für alle sichtbar und erlebbar ist und Freude bereitet.

Folgen Sie StiftungSchweiz auf

The Philanthropist by subscribtion
Benefit now!