Am 1. September 2023 trat das neue Datenschutzgesetz (DSG) in Kraft, welches wesentliche Veränderungen für Unternehmen und andere privatrechtliche Organisationen (einschliesslich Vereine) mit sich bringt:
1. Nur noch die Daten natürlicher Personen sind künftig vom Datenschutzgesetz betroffen, die von juristischen Personen nicht mehr.
2. Genetische und biometrische Daten (Art. 5 lit. c DSG) werden in die Definition der besonders schützenswerten Daten aufgenommen.
3. Die Grundsätze "Privacy by Design" und "Privacy by Default" (Art. 7 DSG) werden eingeführt. Wie der Name bereits andeutet, bedeutet "Privacy by Design" (Datenschutz durch Technikgestaltung) für die Entwickler, den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte oder Dienstleistungen einzubauen, welche personenbezogene Daten sammeln werden. Der Grundsatz "Privacy by Default" (Datenschutz durch Voreinstellung) stellt sicher, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Anders gesagt, müssen sämtliche Software, Hardware sowie die Dienstleistungen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird. POLARIS ist so konfiguriert, dass wir diese Grundsätze einhalten können.
4. Datenschutz-Folgenabschätzungen (Art. 22 DSG) müssen durch den Verantwortlichen, d.h. diejenige Person, die allein oder zusammen mit anderen über den Zweck und die Mittel einer Datenbearbeitung entscheidet, durchgeführt werden, sofern z.B. beim Einsatz neuer Prozesse oder Technologien Personendaten bearbeitet werden und dabei ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. Aus Sicht der Clubs besteht hier kein Handlungsbedarf.
5. Die Informationspflicht wird ausgeweitet (Art. 19 DSG): Bei jeder Beschaffung von Personendaten
– und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden. Dies geschieht bei Rotary dadurch, dass Neumitglieder in Bezug auf die Registration ihrer Personendaten in POLARIS und auf die Datenschutzerklärung auf rotary.ch bzw. auf der Club-Webseite in geeigneter Weise informiert werden.
6. Ein Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG) wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für Unternehmen und andere privatrechtliche Organisationen vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt. Entsprechend besteht für die CH/FL Rotary Clubs in aller Regel keine Verpflichtung zur Erstellung eines solchen Verzeichnisses.
7. Eine rasche Meldung ist erforderlich (Art. 24 DSG), wenn die Datensicherheit verletzt wurde, welche zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten. Für die einzelnen Clubs empfiehlt sich bei einer mutmasslichen oder effektiven Verletzung der Datensicherheit («data leak») eine umgehende Kontaktnahme des CICO mit dem DICO, der dann die weiteren Massnahmen (einschliesslich derjenigen einer Meldung an den EDÖB (der EDÖB hat eine entsprechende Online-Meldeplattform aufgeschaltet) mit dem POLARIS-Team koordiniert.
8. Der Begriff Profiling (Art. 5 lit. f DSG; die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen. Eine solche automatisierte Bearbeitung von Daten findet i.R. von POLARIS nicht statt.
9. Die strafrechtlichen Bestimmungen wurden verschärft (Art. 60 ff. DSG): insbesondere die Verletzung von Informations- oder Sorgfaltspflichten (z.B. im Zusammenhang mit der Bekanntgabe der Personendaten ins Ausland, beim Einsatz von Auftragsbearbeitern oder Fragen der Datensicherheit) kann zu einer Busse bis zu CHF 250'000 führen (die Verletzung der Datenschutzgrundsätze ist hingegen nicht strafbewehrt). Bestraft wird die natürliche Person, welche die Verletzung begangen hat.
Im Übrigen wurden die Datenschutzgrundsätze unverändert übernommen und das DSG sieht nur kleine Anpassungen in Bezug auf die Themen der Datenbekanntgabe ins Ausland, des Einbezugs von Auftragsbearbeitern und der Rechte der betroffenen Personen vor. Im Gegensatz zur DSGVO der EU sieht das DSG etwa die Funktion des Datenschutzbeauftragten (DPO) nicht vor.
Was bedeutet das neue DSG insbesondere für die Nutzung von Mitglieder-Daten auf POLARIS? Wie in der Datenschutzerklärung (https://polaris.rotary.ch/de/privacy-policy) festgehalten, ist der jeweilige Rotary Distrikt/Club ist im Rahmen seines eigenen POLARIS-Zugriffbereichs für die Verarbeitung personenbezogener Daten verantwortlich und bestimmt, welche personenbezogenen Daten erfasst werden.
Der VRM hat bei der Entwicklung von POLARIS geeignete technische (z.B. Zugriffsbeschränkung, Datensicherung etc.) und organisatorische Massnahmen (z.B. Weisungen an Administratoren, Vertraulichkeitsvereinbarungen, Monitoring etc.) getroffen, um die Sicherheit der erhobenen und bearbeiteten Daten zu gewährleisten und diese vor unerlaubtem Zugriff, Missbrauch, Verlust, Verfälschung oder Zerstörung zu schützen. Ein Zugriff auf die Daten ist nur denjenigen Personen (z.B. CICO/DICO) gestattet, welche diese für ihre Aufgabenerfüllung benötigen.
Wenn Sie Fragen zum Datenschutz haben, bitten wir Sie Ihr Anliegen an folgende Zentralstelle weiterzuleiten:
dataprotection@rotary.ch
Laden Sie dieses Schreiben als PDF herunter