Datenschutz
1. Schweizer Datenschutzgesetz
mannschafft und der Datenschutz
mannschafft richtet sich bei der Verwaltung und Bearbeitung von Daten nach den Vorschriften der Schweizer Datenschutzgesetzgebung. Wir verwenden die Vereinssoftware ClubDesk. Diese speichert alle Daten auf einem Server in der Schweiz. Dieser Server ist nach dem aktuellen Stand der Technik gesichert gegen unbefugtes Eindringen und gegen Datenverlust.
Welche Daten sind erfasst?
Alle Angaben bei der Anmeldung über Internet sind in der Mitgliederverwaltung gespeichert. Ebenso speichern wir Adressen von Interessenten. Sie werden ausschliesslich für den internen Gebrauch im Zusammenhang mit mannschafft-Aktivitäten verwendet. Auf Wunsch geben wir sie einer Beraterin oder einem Berater weiter. Diese verwalten die Angaben der Ratsuchenden in eigener Verantwortung.
Gelegentlich erfahren wir von Erlebnissen, die uns so bedeutend erscheinen, dass wir sie der Öffentlichkeit zugänglich machen möchten. Bevor wir jedoch einen Sachverhalt weiter geben oder öffentlich machen (auch anonym), holen wir Ihr Einverständnis ein. Lesen Sie dazu auch die Medienvereinbarung, die Sie im Rahmen einer Beratung unterzeichnen können.
Cookies und Webanalyse
Cookies sind kleine Informationsdateien, die auf Ihrem Endgerät gespeichert werden. ClubDesk verwendet diese um die Darstellung an Ihr Endgerät anzupassen. Wir werten statistisch aus, wie die Ratsuchenden uns gefunden haben. In ihrem Browser können sie einstellen, ob Cookies gespeichert bleiben dürfen. Zudem können Sie auf unserer Web-Site das Speichern von Cookies abschalten. Es bleibt nur ein Cookie mit dieser Einstellung gespeichert.
Berichtigung und Löschung von Daten
Jede Person kann die von ihr übermittelten Daten jederzeit korrigieren, aktualisieren bzw. löschen lassen, sofern die Daten nicht aus gesetzlichen Gründen aufbewahrt werden müssen.
Wer Personendaten löschen lassen möchte, kann dies per E-Mail an zentrale@mannschafft.ch verlangen unter Angabe des Grundes.
Gültigkeit dieser Datenschutzerklärung
Diese Erklärung ist auf unserer Web-Site publiziert und wird bei Bedarf aktualisiert.
Die Grundlage zur Abklärung der Ansprüche, die bzgl. Datenschutz an einen Verein gestellt werden, ist das Merkblatt des Datenschutzbeauftragten des Bundes. Die wichtigsten Punkte des Merkblatts sind hier zusammengefasst.
Umgang mit Mitgliederdaten
Der Umgang mit Mitgliederdaten, die ein Verein sammelt, muss datenschutzkonform sein. Die allgemeinen Grundsätze des Datenschutzgesetzes sind:
- das Transparenzprinzip: eine offene und umfassende Information über Zweck und Umfang der bearbeiteten Mitgliederdaten ist obligatorisch.
- das Verhältnismässigkeitsprinzip: erlaubt ist nur die Bearbeitung jener Mitgliederdaten, die tatsächlich nötig sind, um den angestrebten Zweck zu erreichen (z.B. Adresse und/oder Emailadresse für Versand der Rechnung zum Mitgliederbeitrag oder zur Einladung an die Mitgliederversammlung).
- das Zweckbindungsprinzip: Mitgliederdaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.
Weitergabe von Mitgliederdaten an Dritte
Die Bekanntgabe von Mitgliederdaten (z.B. einzelner Adressen oder ganzer Adresslisten) an Dritte ist nur zulässig, wenn eine explizite Einwilligung der Inhaber/innen vorliegt oder aus den Vereinsstatuten klar hervorgeht, welche Mitgliederdaten zu welchem Zweck (z.B. Werbung, Sponsoring) an Dritte bekannt gegeben werden dürfen. Der Verein kann oder muss Mitgliederdaten weitergeben, wenn ein Gesetz die Datenbearbeitung erlaubt bzw. vorschreibt (z.B. in einem Strafverfahren).
Vereinsinterne Bekanntgabe von Mitgliederdaten
Die vereinsinterne Bekanntgabe von Mitgliederdaten ist zulässig, wenn
- die Einwilligung der Mitglieder eingeholt wurde
- den Mitgliedern vorgängig ein Widerspruchsrecht eingeräumt wurde
- aus den Vereinsstatuten klar hervorgeht, in welchen Fällen eine vereinsinterne Bekanntgabe erfolgt (z.B. Aushändigung von Listen mit Vorname, Name und Adresse, Weitergabe an Dachverbände).
- die Liste zur Ausübung von Mitgliedschaftsrechten benötigt wird (z.B. zur Einberufung einer ausserordentlichen Mitgliederversammlung, Art. 64 Abs. 3 ZGB).
2. Neuer EU-Datenschutz: Bedeutung für Schweizer Vereine
Der Anwendungsbereich der neuen EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft trat, betrifft insbesondere Schweizer Vereine, die eine Website haben, in Social Media Netzwerken aktiv sind oder einen Newsletter verschicken, der auch an
Personen mit Wohnsitz in der EU geht.
Wer ist von der DSGVO betroffen?
Schweizer Unternehmen und Organisationen (also auch Vereine) müssen sich in folgenden Fällen an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU aufhalten:
- sie bieten diesen Personen Waren oder Dienstleistungen an (gegen Bezahlung oder unentgeltlich), oder
- sie analysieren das Verhalten von Personen in einem Mitgliedstaat der EU (Art. 3Abs. 2 Buchst. a und b DSGVO), also z.B. durch die Nutzung von Google Analytics.
Personenbezogene Daten sind alle Daten, die jemanden eindeutig identifizierbar machen: Namen, Adresse und Geburtsort, aber auch Mailadressen oder IP-Adressen (Computer).
Ein Verein mit Sitz ausserhalb der EU (z.B. ein Schweizer Verein) fällt in den Anwendungsbereich der DSGVO, wenn eine Absicht zu folgenden Aktivitäten besteht:
- Warenverkauf oder Dienstleistungsangebot in der EU. Indizien dafür sind z.B. eine Erwähnung von Dienstleistungsbezügern, die sich in den EU-Mitgliedstaaten befinden oder eine EU-gängige Währung.
Es muss ein klarer Wille erkennbar sein, das Verhalten von natürlichen Personen im EU-Raum zu analysieren, z.B. durch die Nutzung von Google Analytics.
Welche Massnahmen sind erforderlich?
Die DSGVO regelt viel mehr als nur die Erfassung personenbezogener Daten. Weil Schweizer Vereine aber insbesondere durch ihre Webpräsenz (Websites, Social Media etc.) davon betroffen sind, beschränkt sich die Arbeitshilfe auf dieses Thema.
1. Nutzung personenbezogener Daten
Die Nutzung und Verarbeitung personenbezogener Daten z.B. durch Kontaktformulare sind gemäss Art. 6 Abs. 1 DSGVO in folgenden Fällen erlaubt:
- wenn die Person eine Einwilligung dazu gegeben hat (nur für Personen ab 16 Jahren möglich; Schutz von Kindern).
- wenn die personenbezogenen Daten zur Erfüllung eines Vertrags benötigt werden.
- wenn eine rechtliche Verpflichtung besteht (z.B. Aufbewahrungspflicht von geschäftlichen Unterlagen).
- wenn ein berechtigtes Interesse vorliegt.
In den ersten drei Fällen (Einwilligung, Vertrag, rechtliche Verpflichtung) ist die Legitimität ziemlich eindeutig. Problematisch wird es bei der Abwägung des berechtigten Interesses.
2. Datenschutzerklärung
Alle Websites von Organisationen sollten den Nutzer/innen mit einem Datenschutzhinweis in klarer und leicht verständlicher Sprache erklären, wer ihre Daten zu welchem Zweck wie und wo verarbeitet. Die Datenschutzerklärung muss auch auf den Einsatz externer Dienste wie z.B. Facebook und Google hinweisen, sofern diese durch das Anklicken der Website personenbezogene Daten erheben. Zum Verfassen des Datenschutzhinweises kann einer der Links in Kapitel 5 nützlich sein.
3. Cookies
Sofern auf der Website Cookies verwendet werden, ist ein Hinweis darauf unbedingt erforderlich. Viele der heute eingesetzten Content Management Systeme setzen standardmässig Cookies ein, um den Nutzer zu „identifizieren“. Deshalb ist der pauschale Einsatz eines Cookie-Banners angeraten. Dieser sollte beim ersten Aufruf der Website deutlich zu sehen sein. Das Cookie-Banner darf nicht so eingebunden sein, dass dieses Pflichtangaben wie z.B. den Link zum Impressum oder zur Datenschutzerklärung verdeckt.
4. Google Analytics
Die Nutzung von Webanalyse-Diensten sollte in der Datenschutzerklärung der Website dokumentiert sein (gilt bereits für das bestehende Schweizer Datenschutzgesetz, Art. 13 DSG). Hier muss auch die Möglichkeit eines Widerrufs hinterlegt werden. Da IP-Adressen als personenbezogene Daten gelten, muss dafür Sorge getragen werden, dass der Google Programmcode die IP-Adressen nur gekürzt erfasst (Anonymisierungsfunktion). Wenden Sie sich dafür an Ihre/n Website-Betreiber/in.
5. Social Media Elemente
Beim Einsatz von Social Media ist sicherzustellen, dass keine Daten der Websitebesucher/innen ohne deren Zustimmung erhoben werden. Über die Verwendung von Social Media Angeboten und die Art des verwendeten Social Plugins (z.B. Like Button, Share Button etc.) ist im eigenen Datenschutzhinweis zu informieren. Gleichzeitig muss auf die Widerrufmöglichkeiten hingewiesen werden.
3. Wie soll der Vorstand vorgehen?
Nehmen Sie mit Ihrem/r Website-Betreiber/in Kontakt auf und besprechen Sie die notwendigen Anpassungen.
Überarbeiten Sie den Datenschutzhinweis auf Ihrer Vereins-Website und informieren Sie Ihre Mitglieder darüber (z.B. im Newsletter, an der nächsten Mitgliederversammlung).
Überprüfen Sie die interne Verwendung der Daten (Welche Daten werden gesammelt? Woher kommen die Daten? Wo sind sie gespeichert? Wer hat Zugang?) und dokumentieren Sie den Ablauf der Datensammlung und -verarbeitung. Orientieren Sie sich dabei am Merkblatt des Datenschutzbeauftragten des Bundes.