Fachreferat mal anders…
Download Präsentation
Fragen und Antworten aus dem Fachreferat
Empfehlen Sie generell Tools zu umgehen, die in die USA Daten versenden?
Ja, denn der administrative Aufwand, wenn man es gesetzeskonform machen möchte, ist gross. Wenn man Tools wie Google Analytics oder Plug-Ins von amerikanischen Social Media Anbietern auf der Webseite einbindet, sollte man es technisch so lösen, dass keine Personandaten an diese Anbieter weitergegeben werden (bspw. mittels IP-Anonymisierung oder Einbinden der Plug-Ins mit der Zwei-Klick- oder der Shariff-Lösung).
Newsletter: Wie ist da das Verständnis? Nur noch via Opt-In der Person oder kann bspw. auch ein Interessent am Telefon sein und man trägt ihn auf Wunsch ein? Gibt es da ggf. Risiken?
Ja, Risiken bestehen vor allem wegen dem SPAM-Artikel im Gesetz gegen den unlauteren Wettbewerb. Demgemäss handelt man unter Umständen unlauter, wenn man fernmeldetechnisch Massenwerbung versendet (z.B. Newsletter), ohne dass die Empfänger eingewilligt haben. In Ihrem Beispiel können Sie die Einwilligung nicht zu 100% nachweisen. Wenn Sie es weiterhin so handhaben, sollten Sie die Customer Journey unbedingt dokumentieren (bspw. "Anruf vom 5. Februar 2022: Frau XY willigt ein, künftig über unsere Neuigkeiten informiert zu werden. Frau XY wird auf die Newsletterliste eingetragen. Newsletterversand an Frau XY am 05.02.2022. Es erfolgt kein Opt-Out").
Unsere Vereinspräsidenten können über eine Webapplikation auf ihre Mitgliederdaten zugreifen. Müssen wir mit diesen Präsidenten ein spezielles Sicherheitsabkommen machen?
Wenn die Vereinspräsidenten nur auf die eigenen Mitgliederdaten zugreifen, ist dies nicht nötig. Wenn sie aber auch auf Mitgliederdaten anderer Vereine zugreifen können, dann sollten die Berechtigungen so eingestellt werden, dass sie lediglich eine Leseberechtigung haben. Dann macht auch eine schriftliche Geheimhaltungsverpflichtung Sinn.
In welchem Fall muss man sich als Verband an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden, wenn man sehr heikle (Gesundheits-)Daten von Mitgliedern hat?
Unter dem aktuellen Datenschutzgesetz müssen Sie Datensammlungen beim EDÖB melden, wenn Sie regelmässig besonders schützenswerte Daten bearbeiten (d.h. Gesundheitsdaten). Es gibt allerdings auch Ausnahmen. Am besten schauen wir uns den Fall genauer an oder Sie fragen direkt beim EDÖB nach.
Unter dem neuen Datenschutzgesetz ist eine solche Meldung nicht mehr nötig. Bei besonders Risikoreichen Vorhaben (bspw. umfassendes Gesundheits-Profiling) müssen Sie eine Datenschutz-Folgenabschätzung machen. Hierbei empfehle ich die Zusammenarbeit mit einem Datenschutzexperten. Unter Umständen müssen Sie dann mit dem EBÖB Kontakt aufnehmen. Der EDÖB wird Ihnen dann Massnahmen zur Verminderung der Risiken vorschlagen. Wenn Sie einen (internen oder externen) Datenschutzberater ernannt haben, reicht es aus, wenn sie diesen Datenschutzberater konsultieren.
Sie haben Bussen erwähnt. Wie hoch sind diese?
Max. CHF 250'000.00 pro Fall, wobei die Bussen sich an der Schwere der Verfehlung und den Umständen bemessen. Die Bussen gehen zulasten der Person im Verein, die für die Verfehlung verantwortlich ist. Allerdings muss die Staatsanwaltschaft dieser Person den Vorsatz nachweisen, d.h. es muss eine bewusste Inkaufnahme stattgefunden haben. Fahrlässigkeit reicht nicht aus.
Was empfehlen Sie zur Schulung/Sensibilisierung der eigenen Mitarbeiter / Vereinsmitglieder. E-Learnings? ein Newsletter? Ein Vortrag?
Schulungen (bspw. E-Learnings), die regelmässig wiederholt werden, sind am effizientesten. Newsletter werden teilweise nicht gelesen. Vorträge gehen rasch vergessen und sind deshalb nicht nachhaltig.
Wenn man bei den Teilnahmebedingungen (für eine Wettkampfteilnahme) festhält, dass Teilnehmende damit einverstanden sind, dass die Daten von den Partner xy verwendet werden dürfen, kann das so gemacht werden? Natürlich würde beschrieben werden zu welchen Zwecken die Partner die Daten verwenden dürfen.
Ja, wobei es immer heikel ist, je nach Zweck der Verwendung. Die Teilnahmebedingungen unterliegen wie alle allgemeinen Geschäftsbedingungen einem Vorbehalt, dass ungewöhnliche Bestimmungen (d.h. solche, mit denen die Vertragspartner vernünftigerweise nicht rechnen müssen), ungültig sind. Deshalb ist ein ausdrücklicher Hinweis bei der Anmeldung von Vorteil. So stellen Sie sicher, dass die Einwilligung der Teilnehmenr in die Weitergabe gültig erfolgt.
Gibt es eine Übergangszeit ab dem Inkrafttreten des Gesetzes, bis wann die "Mängel" des Datenschutzes behoben werden müssen?
Nein. Ab Inkrafttreten sollten Sie datenschutzkonform unterwegs sein, d.h. Sie sollten die internen Prozesse sowie die Sicherheitsmassnahmen bis dahin implementiert haben. Das definitive Inkrafttreten des neuen DSG steht allerdings noch nicht fest. Wir vermuten, es wird Ende 2022/Anfang 2023.
Muss ich bei einem Schwingfest bei der Ausschreibung einen Hinweis anbringen, was wir mit den Daten machen? Dabei geht es um die Angaben der Teilnehmer (d.h. der Schwinger)?
Sie müssen zuerst herausfinden, wer für die Informationspflicht, d.h. die Datenschutzerklärung, verantwortlich ist. Dazu müssen Sie sich fragen, wer bestimmt, zu welchem Zweck die Personendaten bearbeitet werden.
Es kann auch sein, dass Sie gemeinsam mit einem anderen Verein oder Verband für die Personendaten verantwortlich sind. Dann müssen Sie gemeinsam regeln, wer die Informationspflichten erfüllt.
Wie muss ich über bereits bestehende Bearbeitungsvorgänge informieren?
Über offensichtliche Vorgänge müssen Sie nicht informieren (bspw. Aufnahme in Kundenkartei des Vereins und Abwicklung der Beitragszahlungen). Worüber Sie dringend informieren müssen, sind Datenweitergaben an Dritte (Verbände, Sponsoren etc.) und über Bearbeitungsvorgänge, die nicht offensichtlich sind (bspw. das Erstellen von Lern- oder Leistungsprofilen).
Wie sieht es aus mit Daten, die z.B. auf einem amerikanischen Server gespeichert sind (Google Drive o.ä.)?
Das ist heikel. Wir empfehlen Datenstandort EU/Europäischer Wirtschaftsraum oder Schweiz.
Wir erstellen mit den Namen der Teilnehmer z.B. eine Rangliste, dies erfolgt mit einem Tool unseres Verbandes.
Der Verband ist hier wahrscheinlich nur Auftragsbearbeiter, da er mit der Rangliste keine eigenen Zwecke verfolgt. Dies ist nicht weiter problematisch.
Wenn Sie die Rangliste anschliessend unter den Teilnehmenden/den Zuschauern verkünden, ist das auch nicht problematisch. Damit rechnen die Teilnehmenden. Wenn Sie die Rangliste sonst wie publizieren möchten, empfehle ich, auf der Anmeldung darauf explizit hinzuweisen. Damit holen Sie die Einwilligung der Teilnehmenden ein.
Wie delikat ist die Erfassung der Versicherten-Nr. resp. vormals AHV-Nr. für die Führung von J+S AWK durch den Verband?
Wenn Sie die Versicherten-Nr. bspw. für die Abrechnung benötigen, ist dies nicht problematisch. Gewisse Bearbeitungsvorgänge sind gesetzlich vorgesehen. So auch Abrechnungen und Meldungen bei der AHV.
Sollte man eine Einverständniserklärung resp. eine Vereinbarung mit ext. Funktionären des Verbandes abschliessen, wenn sie auf Daten von Schiedsrichtern, Delegierten, Vereinsverantwortliche in der Ausübung in ihrer Funktion als SR-Einsatzstelle zugreifen müssen; wie Mail, Mobile, etc. Was ist die Lehrmeinung dazu?
Ja, ich empfehle eine Geheimhaltungsvereinbarung unterzeichnen zu lassen. Sie sollten ein angemessenes Berechtigungs- und Rollenkonzept implementieren (bspw. Zugriff nur auf jene Daten, welche der Funktionär benötigt und ggf. Einschränkung der Bearbeitungsberechtigung, wie "nur Lesen").
Der Funktionär sollte keine Daten automatisch auf sein Gerät synchronisieren. Denn dieses Gerät können Sie nicht managen. D.h. Sie wissen ggf. nicht, welche Personendaten bei wem lokal gespeichert sind. Dies ist ein grosses Sicherheitsrisiko. Am Besten arbeiten Sie mit einer Cloud- oder SaaS-Lösung über das Internet.
Schweizer Anlass, Anmeldedaten werden über einen deutschen Zeitmesser erfasst. Zudem wird die Rangliste auch über diesen deutschen Anbieter publiziert (Webite). Weil Deutschland strenger ist, für dies für uns kein Problem?
Aufgrund Ihrer Beschreibung gehe ich davon aus, dass es sich bei deutschen Anbieter über einen Auftragsbearbeiter handelt, dies ist eher unproblematisch, da die DSGVO Stand heute strenger als das Schweizer Datenschutzrecht ist.
Generell sollten Sie bei der Wahl des Auftragsbearbeiters darauf achten, dass dieser geeignet ist und entsprechende Sicherheitsstandards implementiert hat. Üblicherweise finden Sie solche Informationen auf der Webseite des Anbieters.
Ist es zulässig, auch bei Kindern (u14) die opt-out Option für die Verwendung von Fotos/Videos zu verwenden?
Es gibt hier keine strengeren Regelungen als bei Erwachsenen, da ja sowieso die Erziehungsberechtigten einwilligen sollten (da es keine klare Altersgrenze für die Urteilsfähigkeit gibt, empfehlen wir zumindest bis 14 J. auch die Einwilligung der Erziehungsberechtigten einzuholen).
Es kommt allerdings auch die Verwendungszwecke an. Bei Portraits empfehlen wir, jeweils ein Opt-In vorzunehmen, unabhängig vom Alter. Bei Gruppenbildern, auf denen einzelne Kinder nicht herausstechen, reicht die Opt-Out Lösung aus, aber die Information über die Publikation/Weitergabe der Aufnahme muss dringend vorgängig erfolgen.
Für mehr Informationen konsultieren Sie den Leitfaden des EDÖB.
Bearbeitungsverzeichnis: wie ist das zu handhaben? Jährlich prüfen?
Es ist regelmässig nachzuführen, d.h. jeder neue Bearbeitungsvorgang sollte umgehend eingetragen sein. Das DBV dient Ihnen vor allem als Hilfsmittel, z.B. damit Sie Risiken beurteilen oder Betroffenenrechte effizient wahrnehmen können. Es liegt in Ihrem Interesse, das DBV möglichst aktuell zu halten.