Man bearbeitet keine Daten, die nicht korrekt sind

Was hat sich mit der Inkraftsetzung des neuen Bundesgesetzes über den Datenschutz bezüglich der Sorgfaltspflichten eines Rotary Clubs verändert? Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, Rot. Adrian Lobsiger, erklärt: «Vereine, die frühere Datenschutzbestimmungen vorbildlich angewendet haben, müssen sich in Bezug auf das neue Datenschutzgesetz keine Sorgen machen.»

Seit dem 1. September 2023 gilt in der Schweiz ein neues Datenschutzgesetz. Mit der Totalrevision der vorherigen, seit 1992 gültigen Regelungen wollte das Parlament den technologischen und gesellschaftlichen Veränderungen der letzten Jahre Rechnung tragen und dadurch der Bevölkerung einen angepassten, angemessenen Schutz der Privatsphäre gewährleisten. Auch wurde darauf geachtet, dass das Schweizer Recht mit dem EU-Recht kompatibel ist. Was hat sich mit der Inkraftsetzung des nDSG bezüglich der Sorgfaltspflichten eines Rotary Clubs verändert? Antworten auf diese Fragen gibt ein Merkblatt, das der Verein Rotary Medien Schweiz/Liechtenstein (VRM) am 3. September herausgegeben hat. Allerdings: Wer mit juristischen Terminologien wenig vertraut und auch nicht IT-Spezialist ist, hat eventuell Mühe, das Fachlatein in dieser Anleitung zu verstehen. Es gibt da also einen Erklärungsbedarf.

Kein Grund zur Panik

Adrian Lobsiger, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), ist seit 2005 Mitglied des RC Bern. Er weiss, welche Informationen über Rotarierinnen und Rotarier ein Club normalerweise aufzeichnet und wie man mit ihnen umgehen soll, ohne zu riskieren, des Missbrauchs beschuldigt zu werden. Rot. Lobsiger sieht keinen Grund zur Panik: «Vereine, die frühere Datenschutzbestimmungen vorbildlich angewendet haben, müssen sich in Bezug auf das neue Datenschutzgesetz keine Sorgen machen», erklärt er. Rotarische Werte oder auch Lehrsätze einer normalen Kinderstube seien davon nicht tangiert. «Wahrheit und Fairness sind auch im nDGS zentrale Elemente, man bearbeitet keine Daten, die nicht korrekt sind.» Idealerweise halte sich ein Rotary Club bei der Handhabung von Mitgliederdaten an die Vierfragenprobe. Ist es wahr? Ist es fair für alle Beteiligten? Wird es Freundschaft und guten Willen fördern? Wird es dem Wohl aller Beteiligten dienen? Riskieren Clubsekretärinnen oder Clubsekretäre, fortan aufgrund von Verstössen gegen das nDSG empfindliche Bussen bezahlen zu müssen? «Das ist kaum zu befürchten», meint Rot. Lobsiger, «es sei denn, sie würden sich wegen vorsätzlicher Verletzungen von Datenschutzbestimmungen strafbar machen und angezeigt werden.» In einem solchen Fall würde ein ordentliches Gericht über das Strafmass entscheiden. Grundsätzlich solle sich, wer in einem Rotary Club für Mitgliederdaten verantwortlich ist, fragen: «Ist es fair, ist es zumutbar, wie ich diese Daten verwende?» Und wer eine Webseite installiere, müsse zwingend dafür sorgen, dass Fremden der Zugang zu Club- oder Mitgliederdaten mithilfe von sogenannten Trackern verunmöglicht werde.

Appell an gesunden Menschenverstand

Von Rotarierinnen und Rotariern darf erwartet werden, dass sie Farbe bekennen. Wer Rotary beigetreten ist, muss somit auch akzeptieren, dass sein Geburtsdatum, seine Klassifikation, seine Adressen und auch Telefonnummern für andere Mitglieder ersichtlich sind. Einzelne Clubs wie der RC Solothurn-Land produzieren periodisch Faltprospekte mit clubspezifischen Hinweisen und auch mit Mitgliederporträts. Solche Medien verstehen sie sozusagen als ihre Visitenkarte. Das neue Bundesgesetz über den Datenschutz enthält keinen Passus, der derartige Publikationen zuhanden eines begrenzten Personenkreises untersagt. Rot. Jan Trnka (RC Wynen- und Suhrental), der IT-Verantwortliche im VRM-Vorstand, entgegnet dem Autor dieses Beitrags: «Deine Schilderung, wie in deinem Club eine Mitgliederbroschüre an die Referenten abgegeben wird, stellt, sofern diese nicht Rotarier im selben Club sind, eine Verletzung des Datenschutzes dar.» Dr. iur. Lobsiger appelliert in diesem Kontext an den gesunden Menschenverstand, Vernunft, gegenseitiges Vertrauen und auf das Gebot der Verhältnismässigkeit. «Jeder Gast an einem Meeting sollte wissen dürfen, wer ihm gegenübersitzt» «Ich nehme nicht an, dass in der Datenbank eines Clubs Gesundheitsdaten, Steuerdaten oder weitere schützenswerte, persönliche Informationen generiert werden», mutmasst der EDÖB. Er empfiehlt, besonders im Zusammenhang von Aufnahmeverfahren, von Erkrankungen von Mitgliedern, Präsenzbefreiungen, Karriere-Einschnitten, beruflichen Neuorientierungen, der speziellen Betreuung von älteren Mitgliedern Sensibilität zu bewahren. Vor allem, wenn beabsichtigt sei, via Wochenbriefe oder andere Kanäle persönliche Nachrichten zu verbreiten, brauche es dazu eine Genehmigung seitens von Betroffenen.

Umgang mit Mitgliederverzeichnissen

Trnka hält fest: «Beim Datenschutz geht es nicht um den Schutz von allgemeinen Daten vor Schäden, sondern um den Schutz personenbezogener Daten vor Missbrauch.» Missbräuchlich wäre etwa, wenn Dritten ein Zugriff auf Mitgliederverzeichnisse erleichtert würde, um diese für kommerzielle Zwecke oder für Fundraising-Aktivitäten verwenden zu können. Bereits an seiner Sitzung vom 3. Mai 2019 diskutierte der Governorrat auf einen Antrag des Distrikts 1990 intensiv darüber, ob in Anbetracht verschärfter Ansprüche an den Datenschutz die Adressen aller Rotarierinnen und Rotarier in der Schweiz und im Fürstentum Liechtenstein etwa für den Versand von Spendenaufrufen der Stiftung mine-ex künftig freigegeben werden dürfen. Die Mehrheit des Gremiums vertrat die Ansicht, der früher üblichen Praxis sei ein Riegel zu schieben, befand jedoch, in dieser Sache nicht weisungsbefugt zu sein. Hier zu entscheiden, liege allein im Ermessen und in der Kompetenz eines Distrikts. Adrian Lobsiger antwortet auf eine entsprechende Frage: «Wenn sämtliche Mitglieder ausdrücklich damit einverstanden sind, dass ihre Daten weitergegeben werden, darf man das tun.»

«Als Club kannst du dich zu hundert Prozent auf Polaris verlassen»

Rotary Schweiz/Liechtenstein erlaubt allen Rotarierinnen und Rotarierin in den Distrikten 1980, 1990 und 2000 den Einblick in das nationale Mitgliederverzeichnis. Dieses ist jedoch exklusiv im passwort-geschützen Bereich zu finden. Login-berechtigt sind ausschliesslich Angehörige von schweizerischen oder liechtensteinischen Rotary Clubs. «Wer über kein Passwort verfügt, kann nicht in Mitgliederlisten stöbern auch nicht nach internen Informationen eines Clubs suchen», unterstreicht Jan Trnka. Die neue Applikation «Polaris» erfasse ausschliesslich Personendaten, welche für die Club- und Distriktführung relevant seien, an Rotary International gemeldet werden müssen, jedoch keine Angaben aus der Kategorie «besonders schützenswerten Daten». Im Übrigen könne jedes Rotary-Mitglied selbst entscheiden, ob es zum Beispiel Telefonnummern, Mail- oder Wohnadressen für Mitglieder ausserhalb seines Clubs sichtbar machen möchte oder nicht. Auch gesteht das nDSG jedem Mitglied das Recht zu, Auskunft über seine im Club registrierten Daten zu verlangen. Änderungen im persönlichen Profil kann es via rotary.ch unter dem Button «Meine Einstellungen» jederzeit selbst vornehmen. «Als Club kannst du dich zu hundert Prozent darauf verlassen, dass Polaris so konstruiert ist, dass die Datenschutzgesetze sowohl nach schweizerischem wie auch nach EU-Recht eingehalten werden», verspricht Rot. Trnka. Wäre dem nicht so, wäre das im Verlauf der letzten Jahre mit viel Geist, Herzblut, Knowhow und auch mit ansehnlichem finanziellen Aufwand entwickelte schweizerische IT-System kein Erfolgsmodell geworden. «Polaris» wird mittlerweile von Distrikten in acht verschiedenen Ländern eingesetzt.

Stolperstein Bilder

Erhöhte Vorsicht ist – nicht nur seit der Inkraftsetzung des nDSG – beim Handling von Bildern geboten. Dafür gelten sowohl im digitalen Raum als auch in Printmedien klare Vorgaben. Wer beabsichtigt, Fotos mit Kindern zu veröffentlichen, sollte vorab das Einverständnis der betreffenden Eltern einholen. «Fotos, auf welchen Personen klar identifiziert werden können, dürfen nicht beliebig verbreitet werden», mahnt Adrian Lobsiger, «man sollte diese vorher um Erlaubnis bitten.» Allerdings schränkt er ein: «Von Persönlichkeiten des öffentlichen Lebens darf eine gewisse Toleranz erwartet werden, wenn man Berichte über ihre Auftritte in der Öffentlichkeit oder im Rotary Club mit Bildern illustriert.» Teils schwerwiegende rechtliche und finanzielle Konsequenzen drohen, wenn Fotos aus dem Internet kopiert und beispielsweise auf Club-Websites platziert werden. Vor jeder Verwendung müssen die Urheberrechte abgeklärt werden. Auch in der Schweiz machen spezialisierte Agenturen mit Sperberaugen Jagd auf Sünder, die urheberrechtlich geschützte Aufnahmen missbrauchen. Schon der oder andere Rotary Club könnte davon ein Lied singen.

Hinterhältige Tricks

In Deutschland wurden im vergangenen Frühling vor allem ältere, vermeintlich wohlhabende Rotary Mitglieder vermehrt durch sogenannte «Enkelanrufe» belästigt. Ähnliches passierte und passiert vermutlich auch hierzulande. Was kann man dagegen tun? Adrian Lobsiger ist überzeugt, dass Rotarierinnen und Rotarier nicht auf jeden hinterhältigen Enkeltrick hereinfallen. «Anders verhält sich das bei älteren, vulnerablen Personen.» Da zähle er darauf, dass rotarische Weggefährten diese im Sinne eines Freundschaftsdienstes auf potenzielle Gefahren aufmerksam machen. Im Zweifelsfall steht jede Polizeistelle gerne mit Rat und Tat zur Seite.

Transparenz als Markenzeichen

Der 64-jährige Dr. iur. Adrian Lobsiger ist seit 2016 als Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) sozusagen die erste Adresse, wenn das Anrecht auf den Schutz der Privatsphäre jeder einzelnen Bürgerin und jedes einzelnen Bürgers zur Diskussion steht. Seine Behörde mit 33 Vollzeitstellen im Bereich des Datenschutzes und sechs Vollzeitstellen im Bereich der Öffentlichkeitsarbeit – hauptsächlich Juristen, Informatiker und auch kaufmännisches Personal – richtet den Fokus auf grosse digitale Projekte sowohl im Staat als auch in der Privatwirtschaft, «präziser gesagt dahin, wo neue Applikationen, welche viele Privatpersonen betreffen, im Entstehen sind.» Als Datenschutzbeauftragter stehe er in der Pflicht, die Privatsphäre und die Selbstbestimmung der Bevölkerung zu schützen, umschreibt Lobsiger den ersten seiner zwei Aufträge. «Die besondere Herausforderung an mich besteht darin, diese Rechte vor allem in der digital geprägten Welt zu garantieren.» Im Sinne des «Service public» habe er auf Datenschutzverantwortliche in Unternehmungen und auch in Bundesämtern frühzeitig und beratend Einfluss zu nehmen mit dem Ziel, dass deren Projekte am Schluss auch den Anforderungen des Datenschutzes genügen und nicht mit Folgekosten in Millionenhöhe korrigiert werden müssen. «Als Aufsichtsorgan erfassen wir Hinweise aus der Bevölkerung, von Medien und auch eigene Beobachtungen», ergänzt Lobsiger. «Wir gehen täglich solchen Hinweisen nach, konfrontieren die betroffenen Institutionen und fordern sie auf, Beanstandungen zu prüfen und zu beheben.» Blieben Differenzen bestehen, könne er zusammen mit seinem Team eine formelle Untersuchung eröffnen, abschliessend eine erstinstanzliche Verfügung erlassen, eine Datenbearbeitung verbieten oder mindestens veranlassen, dass eine solche aufgeschoben oder modifiziert werde. «Als Öffentlichkeitsbeauftragter habe ich schlichtend einzugreifen, wenn sich Bürger, oft Journalistinnen und Journalisten, mit der Verwaltung nicht einigen können, wenn ihnen die Offenlegung von amtlichen Dokumenten verweigert wird.» Es gehe also darum, dem sogenannten Öffentlichkeitsprinzip Nachdruck zu verleihen. «Transparenz ist ein Markenzeichen unseres Gemeinwesens. Transparenz schafft Vertrauen.» Manchmal müsse man jedoch abwägen, was von öffentlichem Interesse sei, was nicht. «Wir verabschieden eine Empfehlung. Die Verwaltung muss eine Verfügung erlassen, die an das Bundesverwaltungsgericht weitergezogen werden kann.» Täuscht die Annahme, dass Datenschutz im Verlauf der letzten Jahre zu einem immer sensibleren Thema emporstilisiert worden ist? Adrian Lobsiger ordnet ein: «Das Bedürfnis des Menschen, sein Leben privat und selbstbestimmt zu entwickeln, hat sich nicht verändert, ist nach wie vor ein Kernanliegen.» Verändert habe sich die Umgebung, welche Daten anders verarbeite als 1950 oder 1970. «Schon 1970 gab es den Fichen-Skandal als Auswuchs des Kalten Krieges zwischen Ost und West. Damals war man andern Bedrohungen ausgesetzt als heute.» Heute sei es die Digitalisierung, welche eine grosse Dynamik entfalte. Eine Dynamik, die zur Folge habe, dass in einem kürzeren Zeitraum viel mehr Daten bearbeitet können. «Geblieben ist die Grundproblematik, dass man sich als Bürger oder Kunde gegängelt, übervorteilt fühlt durch Dritte, welche für eigene Zwecke riesige Datenmengen generieren.» Wer Datenschutzbestimmungen als begrenzende und einengende Vorschriften kennzeichne, werde dem Anliegen des Datenschutzes nicht wirklich gerecht. «Entscheidend ist doch, dass die Privatsphäre gewährleistet bleibt.»

Sowohl das neue EU-Datenschutzrecht wie auch das neue Schweizer Datenschutzgesetz seien Antworten auf die Digitalisierung. «Die Verordnung der Europäischen Union war sicher wegleitend für uns. Jedoch haben wir diese nicht einfach kopiert. Das Schweizer Recht ist anders, einfacher formuliert», unterstreicht Lobsiger. Seine Berufsbezeichnung «EDÖB» hinterlässt den Eindruck, dass wir mit einer Persönlichkeit am Tisch sitzen, die sich tagein und tagaus mit einer zwar komplexen, irgendwie halt doch eher trockenen Materie auseinander zu setzen hat. «Wir beantworten jedes Jahr an die viertausend Medienanfragen», erwähnt Adrian Lobsiger. Somit ist auch klargestellt: Er und sein Amt geniessen in der Öffentlichkeit einen hohen Stellenwert. Und ja, Rotary schätze er als lebenslange Verbindung, «Freundschaft und Geselligkeit haben für mich eine hohe Priorität». Darüber hinaus sei er ein passionierter Gärtner, pflege einen grossen Garten mit Seerosen. Wenn immer möglich verbringe er auch viel Zeit mit seiner Ehefrau Valérie und seinen beiden 24- und 28-jährigen Töchtern.