Datenschutz in Vereinen
Die folgenden Ausführungen sollen Vereinen bzw. Verbänden und Mitgliedern helfen, sich einen Überblick über ihre Rechte und Pflichten zu verschaffen. Insbesondere soll hier auf allfällige aus dem revidierten Datenschutzgesetz resultierende neue Verpflichtungen eingegangen werden.
Wenn Sie einem Verein beitreten wollen, müssen Sie eine Reihe von Personendaten bekanntgeben: Post- und E-Mailadresse, Telefonnummer, Geburtsdatum usw. Weiter bringen Ihre Aktivitäten als Mitglied die Bearbeitung zusätzlicher Informationen über Ihre Person mit sich, im Fall eines Sport- oder Fitnessclubs zum Beispiel Fotos von Ihnen auf Veranstaltungen oder Ihre sportlichen Leistungen. Die Beschaffung und die Bearbeitung dieser Personendaten, zum Beispiel ihre Veröffentlichung oder das Bekanntgeben an Dritte, wie Sponsoren, unterliegen den Bestimmungen des Datenschutzgesetzes.
Der Vereinsvorstand haftet für die gesetzeskonforme Verwendung der Mitgliederdaten. Er kann von den Mitgliedern nur Personendaten anfordern, die mit dem Vereinszweck, der in den Statuten festgelegt ist, in direktem Zusammenhang stehen. Wenn er von den Vereinsmitgliedern andere Daten beschaffen und bearbeiten, Daten für andere Zwecke verwenden oder sie (zum Beispiel auf seiner Website) veröffentlichen will, muss er die Mitglieder vorgängig über die Gründe für die Datenbearbeitung informieren und sie auch darüber in Kenntnis setzen, dass sie die Daten nicht bekanntgeben müssen.
Der Vorstand muss vor allem folgende Grundsätze einhalten:
- Grundsatz der Zweckbindung: Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden und im Anschluss nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
- Grundsatz der Transparenz: Die Vereinsmitglieder müssen informiert werden, wenn ihre Personendaten an Dritte oder andere Mitglieder bekanntgegeben werden. Weiter müssen sie bei einer Bekanntgabe über Empfänger und Zweck in Kenntnis gesetzt werden.
- Grundsatz der Verhältnismässigkeit: Es dürfen nur Daten bearbeitet werden, die zur Erfüllung des Vereinszwecks wirklich notwendig sind.
Häufige Fragen
Wer ist Verantwortlicher im Sinne von Art. 5 j DSG?
Nach aussen tritt grundsätzlich der gesamte Verein als Verantwortlicher auf: Die juristische Person ist also beispielsweise gegenüber den betroffenen Personen und dem EDÖB der verantwortlich für die Datenbearbeitung und, für die Gewährleistung ihrer Rechte.
Die strafrechtlichen Sanktionen des Datenschutzgesetzes (DSG) treffen allerdings grundsätzlich nicht die juristische Person, sondern die natürliche Person, die tatsächlich die Verantwortung für die Einhaltung des DSG trägt und im konkreten Fall einen der Tatbestände nach Art. 60 ff DSG verletzt hat. (Für weitere Informationen über die Strafsanktionen verweisen wir auf folgenden Text:
Die (strafrechtliche) Verantwortung dieser Person hängt von deren konkreten Funktion und Rolle im konkreten Fall ab - sie richtet sich a priori an Personen mit einer leitenden Funktion.
Wer ist innerhalb des Vereins für die Einhaltung von Datenschutzvorschriften zuständig?
Ein Verein als Körperschaft wird durch seine Organe geführt und vertreten. Die Mitgliederversammlung als oberstes Organ des Vereins wählt aus den Vereinsmitgliedern Vertreterinnen oder Vertreter, die den Vorstand als ausführendes Organ bilden und den Verein nach aussen vertreten.
Die Zuständigkeit für die Einhaltung der Datenschutzvorschriften obliegt im Verein dem Vorstand. Setzt der Vorstand beispielsweise eine Geschäftsstelle ein, welche das Tagesgeschäft führt, muss er mit dem Geschäftsreglement auch Datenbearbeitungsrichtlinien erstellen und die Geschäftsführung regelmässig überwachen. Konkret können die Aufgaben im Zusammenhang mit der Umsetzung der Datenschutzvorschriften auch einer bestimmten Person übertragen werden, welche Vorstandsmitglied ist oder nicht. Egal wer die Verantwortung für die Einrichtung und Überwachung von Massnahmen im Zusammenhang mit dem Datenschutz trägt, wichtig ist, dass die betreffende Stelle bzw. Person einen ausreichenden, allgemeinen Überblick über die durchgeführten Datenbearbeitungen hat. In jedem Fall müssen die Rollen klar definiert sein, um zu vermeiden, dass die Problematik aufgrund mangelnder Regelung nicht angegangen wird. Gegebenenfalls müssen die verantwortlichen Personen dann die Bearbeitungsprozesse und die entsprechenden Regeln (insbesondere das Bearbeitungsreglement) festlegen.
Brauchen Vereine die Einwilligung bzw. das Einverständnis der Mitglieder, um deren Daten zu bearbeiten?
Die Bearbeitungsgrundsätze haben sich durch die Gesetzesrevision nicht wesentlich geändert. Personendaten dürfen nur rechtmässig bearbeitet werden, die Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein (vgl. Art. 6 DSG Grundsätze). Personendaten von Vereinsmitgliedern können weiterhin auch ohne Einwilligung der betroffenen Personen bearbeitet werden, wenn die Bearbeitung beispielsweise zur Erfüllung des Vereinszwecks erforderlich ist. Wichtig ist, dass Daten nur zu dem Zweck bearbeitet werden, für welchen sie erhoben wurden, und der Zweck für die betroffene Person auch erkennbar ist (Zweckbindung). Diesbezüglich wird zudem auf die nachfolgenden Ausführungen zu Art. 19 DSG verwiesen, der die Informationspflicht des Verantwortlichen konkretisiert.
Werden Personendaten entgegen den datenschutzrechtlichen Grundsätzen bearbeitet (z.B. zu einem anderen Zweck), kann dies zu einer Persönlichkeitsverletzung der betroffenen Person führen. Eine solche kann jedoch gerechtfertigt sein, wenn ein überwiegendes privates oder öffentliches Interesse besteht (z.B. Datenbearbeitung in unmittelbarem Zusammenhang mit einem Vertrag) oder die betroffene Person eingewilligt hat.
Ist für eine Datenbearbeitung eine Einwilligung nötig, muss die betroffene Person umfassend über alle wesentlichen Aspekte der Datenbearbeitung angemessen informiert werden. Diesbezüglich wird auf die nachfolgenden Ausführungen zu Art. 19 DSG verwiesen. Bei besonders schützenswerten Personendaten (z.B. Gesundheitsdaten) oder Profiling mit hohem Risiko verlangt das Gesetz eine ausdrückliche Einwilligung, d.h. dass die betroffenen Personen ihr Einverständnis zur Datenbearbeitung explizit zum Ausdruck bringen.
Was gilt für die Veröffentlichung von Fotos von Vereinsmitgliedern auf der Website?
Als Rechtfertigungsgrund für die Veröffentlichung von Fotos auf der Website des Vereins kommt die Einwilligung der betroffenen Personen in Frage. Eine einmal erteilte Einwilligung kann jederzeit widerrufen werden. Haben die betroffenen Personen also der Veröffentlichung von Fotos auf der Vereinswebsite einmal zugestimmt, können sie diese nachträglich jederzeit widerrufen. Sofern keine anderen Rechtfertigungsgründe greifen, muss der Verein die betreffenden Fotos unverzüglich entfernen. Wir verweisen auf unseren Text Umgang mit Fotos:
Darf der Name eines Spenders an die Trauerfamilie einer verstorbenen Person bekanntgegeben werden?
Die Bekanntgabe von Spendern eventuell mit Nennung ihres Spendenbetrages an eine Trauergesellschaft bedarf der Zustimmung der spendenden Personen. Es muss ihnen bereits bei der Ausrichtung der Spende mitgeteilt werden, dass eine Weitergabe ihrer Angaben erfolgen wird, und es ist ihnen eine einfache Möglichkeit zu bieten, wie sie dieser Bekanntgabe zustimmen resp. diese untersagen können, z.B. mittels Vermerkes auf dem Einzahlungsschein.
Bekanntgabe von Mitgliederdaten
Bekanntgabe von Mitgliederdaten innerhalb des Vereins
Grundsätzlich sorgt der Vorstand für die Bekanntgabe der Informationen an alle Vereinsmitglieder. Wenn diese elektronisch erfolgt, muss er die Funktion «Blindkopie» verwenden, um zu verhindern, dass die E-Mail-Adressen an andere Mitglieder weitergegeben werden.
Die Bekanntgabe von Mitgliederdaten (z. B. Abgabe der Mitgliederliste mit Adressen) an andere Mitglieder ist grundsätzlich nur zulässig, wenn zuvor die Einwilligung jedes einzelnen Mitglieds eingeholt wurde und klar definiert ist, zu welchem Zweck die bekanntgegebenen Daten verwendet werden (z. B., um miteinander Kontakt aufzunehmen; für Vereinsaktivitäten, aber nicht für Kundenwerbung).
Sonderfall: Bekanntgabe von Daten an Dachorganisation
Die Dachorganisation oder der Verband ist eine vereinsunabhängige juristische Person, die daher in Bezug auf die Mitglieder den Status eines Dritten hat. Die Mitgliederdaten dürfen daher nur dann an die Dachorganisation bekanntgegeben werden, wenn die Betroffenen ihre Einwilligung gegeben haben oder wenn dies in den Statuten vorgesehen ist.
Bekanntgabe von Mitgliederdaten an Dritte (ausserhalb des Vereins)
Die Bekanntgabe von Mitgliederdaten an Dritte ist nur zulässig, wenn die Mitglieder über den Zweck der Bekanntgabe informiert wurden und ausdrücklich zugestimmt haben oder die Möglichkeit hatten, im Vorfeld der Bekanntgabe zu widersprechen. Aus der Information muss hervorgehen, welche Daten (Adresse, Geburtsdatum, Telefonnummer usw.) weitergegeben werden, zu welchem Zweck (z. B. Werbung, Lizenzvergabe) und an welche Dritten (Sponsoren, Verband usw.).
Wenn nötig kann die erwähnte Bekanntgabe in den Statuten oder in einer besonderen Vorschrift vorgesehen sein.
Die Bekanntgabe von Daten an Dritte ist auch denkbar, wenn dies gesetzlich vorgesehen oder vorgeschrieben ist (z. B. die Bekanntgabe von Daten in einem Strafverfahren).
Veröffentlichung von Mitgliederdaten
Vor einer Veröffentlichung, zum Beispiel in einem Magazin oder auf der Website, prüft der Vorstand Kontext und Ziel der Veröffentlichung und evaluiert damit, ob sie zweckmässig ist. Im Anschluss informiert er die Mitglieder darüber. Die Veröffentlichung von Daten im Internet birgt ein erhöhtes Risiko einer Persönlichkeitsverletzung. Die veröffentlichten Informationen werden weltweit zugänglich, und die betroffenen Personen haben keine Kontrolle darüber, wie ihre Daten verwendet werden. Was einmal im Internet veröffentlicht wurde, kann praktisch nicht mehr gelöscht werden. Es ist daher oft sinnvoller, den Zugang zu den Mitgliederdaten auf einen begrenzten Personenkreis in einem geschützten Bereich auf der Website zu beschränken.
Fallbeispiel:
Die Veröffentlichung des Protokolls der Generalversammlung auf der Website hat zur Folge, dass eine unbegrenzte Anzahl von Personen auf der ganzen Welt Zugang zum Inhalt des Protokolls hat. Da Sie das Protokoll nur an Ihre Mitglieder versenden müssen, würde die Veröffentlichung im Internet eine unverhältnismässige Bearbeitung von Personendaten darstellen. Die Alternative eines Zugangs zum Inhalt des Protokolls, der auf Ihre Mitglieder beschränkt ist, wäre eher angemessen.
Die wichtigsten Neuerungen (Rechte und Pflichten)
Verstärkung der Pflicht auf Datenminimierung
Gemäss dem Grundsatz der Verhältnismässigkeit (vgl. Art. 6 Abs. 2 DSG) dürfen nur diejenigen Personendaten bearbeitet werden, die für den Zweck der Bearbeitung geeignet und nötig sind. Zudem muss ein angemessenes Verhältnis zwischen dem Zweck und dem verwendeten Mittel bestehen, und die Rechte der betroffenen Personen sind soweit wie möglich zu wahren. Der Grundsatz der Verhältnismässigkeit überschneidet sich teilweise mit den neu eingeführten Grundsätzen des «Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen», welche in Artikel 7 DSG konkretisiert werden.
Gemäss dieser Pflicht müssen die Bearbeitungen von Personendaten in Vereinen und Verbänden so ausgestaltet werden, dass diese auf das Mindestmass beschränkt sind, welches im Hinblick auf den Verwendungszweck nötig ist, soweit die betroffene Person nicht etwas anderes bestimmt.
Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind und keine gesetzliche Aufbewahrungspflicht besteht. Eine solche Pflicht ist etwa die 10-jährige Aufbewahrungspflicht für Jahresberichte, Jahresrechnungen und Buchungsbelege.
Informationspflicht bei der Beschaffung von Personendaten
Die Informationspflicht gemäss Art. 19 des DSG betrifft alle Datenbearbeitungen und soll die Transparenz bei der Datenbearbeitung verbessern, wodurch auch die Rechte der betroffenen Personen gestärkt werden. Insbesondere muss über die Identität und die Kontaktdaten des Verantwortlichen, die Beschaffung von Personendaten, die Bearbeitungszwecke und weitere Angaben gemäss Art. 19 Abs. 2 DSG informiert werden.
Die Information hat bei der Erhebung von Personendaten bei der betroffenen Person zu erfolgen. Die Informationspflicht gilt auch, wenn die Daten nicht direkt bei den betroffenen Personen beschafft werden. Die Information muss in präziser, transparenter, verständlicher und leicht zugänglicher Form mitgeteilt werden. Je sensibler die bearbeiteten Personendaten sind und je grösser das Risiko einer Persönlichkeitsverletzung ist, desto höher sind die Anforderungen an den Umfang und Detailierungsgrad der Information an die betroffenen Personen.
In der Praxis hat sich bewährt, alle gemäss dem Transparenzgebot relevanten Informationen über die Datenbeschaffung und die weiteren Datenbearbeitungen in separaten Datenschutzhinweisen resp. -bestimmungen zu formulieren und dann zum Beispiel auf der Webseite des Vereins bzw. des Verbandes zu publizieren. Im Rahmen von Datenbeschaffungen kann dann auf diese allgemein zugänglichen Informationen verwiesen werden.
Im Zusammenhang mit Webseiten werden diese Hinweise als Datenschutzerklärungen bezeichnet. Werden Personendaten auf einer Webseite beschafft (beispielsweise mittels eines Kontaktformulars), ist es möglich, in einer (mehrstufig gestalteten) Datenschutzerklärung zu informieren. Der Verantwortliche muss bei der Wahl der Informationsform sicherstellen, dass die betroffenen Personen die wichtigsten Informationen auf der ersten Kommunikationsstufe erhalten.
Für weitere Informationen verweisen wir auf die bereits auf unserer Webseite publizierten Informationen:
Müssen alle Mitglieder aufgrund des neuen Gesetzes über bereits erfasste Daten informiert werden?
Mit Inkrafttreten des neuen Datenschutzgesetzes sind die Grundsätze der Datenbearbeitung im Wesentlichen dieselben geblieben (vgl. oben). Daraus folgt, dass die Verantwortlichen die betroffenen Personen nicht erneut über bereits vor dem 1. September 2023 bestehende Datenbearbeitungen informieren müssen, sofern diese bereits erkennbaren war und sie sich nicht verändert haben.
Stärkung der Betroffenenrechte
Personen, deren Personendaten bearbeitet werden, haben das Recht, Auskunft über ihre eigenen Daten zu erhalten. Diese Auskunft muss in der Regel innert 30 Tagen und ohne Kostenfolge für die Betroffenen erfolgen. Ferner besteht auch das Recht der Personen, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu verlangen. Vereine und Verbände müssen den betroffenen Personen eine einfache Möglichkeit bieten, wie sie ihre Rechte wahrnehmen können. Darum ist die Bereitstellung der Informationen nach Art. 19 DSG so wichtig. Die Informationen zu diesen Rechten können beispielsweise auf der eigenen Website platziert werden mit Nennung einer Kontaktadresse.
Pflicht, eine Datenschutz-Folgenabschätzung vorzunehmen
Werden neue Datenbearbeitungen geplant, welche potenziell ein hohes Risiko für die betroffenen Personen haben können, muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Darin sind sowohl das genaue Vorhaben zu dokumentieren als auch entsprechende Massnahmen zum Schutz der betroffenen Personen zu prüfen. Nach Absatz 2 von Artikel 22 DSG kann sich das hohe Risiko bei der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergeben. Je umfangreicher die Bearbeitung und je sensibler die bearbeiteten Daten sind, desto eher ist ein hohes Risiko anzunehmen.
Bei relativ kleinen Organisationen, wie es Vereine sein können, ist es nicht immer klar, ob eine solche Analyse durchgeführt werden sollte. Deshalb ist es ratsam, eine Risikovorprüfung durchzuführen, um eine konkretere Vorstellung von den Datenbearbeitungen und Risiken zu erhalten und so auf einer objektiveren Grundlage beurteilen zu können, ob eine DSFA durchzuführen ist.
Für weitere Informationen zur Durchführung einer DSFA verweisen wir auf die bereits auf unserer Webseite publizierten Informationen:
Pflicht, ein Bearbeitungsreglement zu erstellen
Gemäss Artikel 5 der Verordnung über den Datenschutz (DSV) müssen private Verantwortliche und die Auftragsbearbeiter ein Reglement erstellen, wenn sie automatisiert (d.h. nicht nur in analoger Form, sondern mit Hilfe von Computern, Smartphones, Tablets oder Kameras).besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder ein Profiling mit hohem Risiko durchführen.
Der Ausdruck «in grossem Umfang» bezieht sich auf Fälle, in denen besonders schützenswerte Personendaten nicht bloss vereinzelt bearbeitet werden. Eine umfangreiche Bearbeitung liegt unter anderem vor, wenn es sich bei der Bearbeitung der besonders schützenswerten Personendaten um eine Haupttätigkeit des Vereins handelt. Vereine in den Bereichen Gesundheit und Sozialwesen (typischerweise Patientenverbände) dürften von dieser Pflicht betroffen sein.
Ein Profiling mit hohem Risiko ist eine Bearbeitung, welche eine Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt, d.h. ein vollständiges Bild einer Person vermittelt, z.B. Informationen aus Gesundheitsanwendungen wie Fitnesstracker, die eine hohe Anzahl verschiedener Daten zusammenstellen und verknüpfen.
Pflicht, ein Verzeichnis der Bearbeitungstätigkeiten zu führen
Der Verantwortliche wie auch alle Auftragsdatenbearbeiter sind verpflichtet, ein Verzeichnis über ihre Bearbeitungstätigkeiten zu führen. Das Verzeichnis ist eine generelle Beschreibung der Bearbeitungstätigkeiten mit mindestens den in Art. 12 Abs. 2 und 3 DSG aufgezählten Informationen und dient einerseits der Transparenz und andererseits der Dokumentationspflicht.
Vereine und Verbände mit weniger als 250 Mitarbeitenden (inkl. freiwillige Mitarbeitende), deren Bearbeitungen nur geringe Risiken für Persönlichkeitsverletzungen beinhalten, sind grundsätzlich von der Erstellung eines Verzeichnisses befreit, ausser es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder ein Profiling mit hohem Risiko durchgeführt (Artikel 24 Absatz 1 Buchstaben a und b DSV). Vereine in den Bereichen Gesundheit und Sozialwesen (typischerweise Patientenverbände) dürften aufgrund des Kriteriums der Bearbeitung von besonders schützenswerte Personendaten in grossem Umfang von dieser Pflicht betroffen sein. Unabhängig von der Pflicht, ist das Verzeichnis ein hilfreiches Mittel, um ausreichende Kenntnis über die Bearbeitungsprozesse im eigenen Verein zu haben.
Anerkennung von Verhaltenskodizes von Berufs-, Branchen- und Wirtschaftsverbänden
Berufs-, Branchen- und Wirtschaftsverbände, die nach ihren Statuten zur Wahrnehmung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind, können Verhaltenskodizes vorlegen, welche Aspekte des DSG für ihren jeweiligen Bereich präzisieren und helfen, die datenschutzrechtlichen Normen richtig anzuwenden (Artikel 11 DSG). Zum Beispiel können Ausführungen helfen, das «hohe Risiko» gemäss Artikel 22 Absatz 1 zu umschreiben. Die ausgearbeiteten Kodizes können dem EDÖB zur Stellungnahme gebührenpflichtig vorgelegt werden, es besteht jedoch keine Verpflichtung dazu.
Welche Daten dürfen im Zusammenhang mit einer Breitensportveranstaltung bearbeitet werden?
Das Smartphone und die Soziale Netzwerken haben die Aufnahme und Veröffentlichung von Fotos Teil unseres Alltags gemacht. Was gilt zu beachten?
Suchmaschinen machen Informationen, die im Internet veröffentlicht wurden, für jedermann zugänglich. Wie ist hier die Rechtslage?
Schauen Sie in unsere FAQ oder rufen Sie unsere Hotline an.
Nach dem Datenschutzgesetz kann jede Person vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
Hier erfahren Sie weiteres über Neuerungen beim Datenschutzgesetz, das am 1.9.2023 in Kraft getreten ist.