Seit dem Inkrafttreten des neuen Datenschutzgesetzes (nDSG) in der Schweiz herrscht in vielen Vereinsvorständen und bei Kleinunternehmern eine spürbare Verunsicherung. Die Schlagzeilen sind voll von potenziellen Bussen, komplizierten Vorschriften und der Angst, im Ehrenamt plötzlich mit einem Bein im juristischen Minenfeld zu stehen. Man hört von Pflichten zur Datenschutzerklärung, von den Rechten der Mitglieder und von den Gefahren durch Datenpannen. Die Sorge ist verständlich: Wie soll man das alles neben dem eigentlichen Vereinszweck noch stemmen?
Die üblichen Ratschläge erschöpfen sich oft in einer langen Liste von To-dos, die mehr Fragen aufwerfen, als sie beantworten. Doch was wäre, wenn der Schlüssel nicht darin liegt, zu einem Datenschutzjuristen zu werden, sondern darin, einige grundlegende Prinzipien der digitalen Sorgfaltspflicht zu verstehen? Wenn es weniger um die panische Vermeidung von Strafen ginge, sondern vielmehr um den Aufbau von Datensouveränität – der Fähigkeit, die Daten Ihres Vereins bewusst und sicher zu verwalten?
Dieser Leitfaden bricht mit der Panikmache. Er übersetzt die Anforderungen des nDSG in die Vereinspraxis. Wir betrachten das Gesetz nicht als Feind, sondern als Leitplanke, die Ihnen hilft, das Vertrauen Ihrer Mitglieder zu stärken. Denn am Ende ist ein guter Datenschutz vor allem eines: die neue Vertrauenswährung im digitalen Zeitalter.
Anstatt Sie mit Paragrafen zu überfordern, führen wir Sie durch die acht häufigsten und wichtigsten Fragen aus dem Vereinsalltag. Wir zeigen Ihnen, wo die wirklichen Risiken liegen und wie Sie diese mit pragmatischen Lösungen in den Griff bekommen.
Sommaire : Ihr Wegweiser durch den nDSG-Dschungel für Vereine
- Welche 3 Punkte müssen zwingend auf Ihrer Website stehen, um abmahn-sicher zu sein?
- Dürfen Sie die Mitgliederliste noch per E-Mail an alle versenden?
- Warum haften Sie, wenn Ihr Newsletter-Tool in den USA Daten verliert?
- Wie reagieren Sie korrekt, wenn ein Mitglied „alle meine Daten“ sehen will?
- Wann müssen Sie den EDÖB informieren: Sofort oder erst nach Prüfung?
- Der Fehler bei der Providerwahl, der Sie im Notfall den Support kostet
- Wie verhindert der Bund, dass Ihre Bewegungsdaten zentral gespeichert werden?
- Warum sollten Sie als KMU Ihre Daten im „Fort Knox“ Schweiz hosten?
Welche 3 Punkte müssen zwingend auf Ihrer Website stehen, um abmahn-sicher zu sein?
Ihre Website ist das digitale Schaufenster Ihres Vereins und oft der erste Ort, an dem die Einhaltung des nDSG geprüft wird. Keine Sorge, Sie müssen keine juristische Abhandlung verfassen. Es geht um Transparenz und klare Verantwortlichkeiten. Drei Elemente sind dabei essenziell und bilden die absolute Grundlage für einen konformen Webauftritt.
Erstens, die Datenschutzerklärung (DSE). Sie ist das Herzstück Ihrer Datenschutzkommunikation. Wichtig ist, dass sie als eigenständige Seite existiert und nicht im Impressum versteckt wird. Ein Link in der Fusszeile jeder Seite ist die Standardlösung. In der DSE erklären Sie verständlich, welche Daten Sie (z.B. über Kontaktformulare oder Analyse-Tools wie Google Analytics) zu welchem Zweck erheben und wie lange Sie diese speichern. Vorlagen gibt es viele, passen Sie diese aber unbedingt an die tatsächlichen Gegebenheiten Ihres Vereins an.
Zweitens, das Impressum. Hier muss eine verantwortliche Person aus dem Verein mit einer Schweizer Adresse genannt sein – typischerweise der Präsident oder die Präsidentin. Geben Sie hier nicht den externen Webmaster an. Die rechtliche Verantwortung für die Datenbearbeitung liegt immer beim Vorstand, nicht beim technischen Dienstleister. Dies klarzustellen, ist ein zentraler Punkt der Verantwortungskette.
Drittens, der Cookie-Hinweis. Obwohl nach Schweizer Recht nicht immer zwingend eine aktive Einwilligung (Opt-in) für alle Cookies erforderlich ist, hat sich ein Banner als Best Practice etabliert. Er informiert die Besucher über die Verwendung von Cookies und verweist auf die Datenschutzerklärung für Details. Dies schafft nicht nur Rechtssicherheit, sondern auch Vertrauen bei den Nutzern. Die potenzielle Strafe für die Missachtung dieser Pflichten ist erheblich; so kann die maximale Busse für vorsätzliche Verletzungen der Informationspflichten bis zu 250’000 CHF betragen. Diese drei einfachen Schritte sind Ihre erste Verteidigungslinie und zeigen, dass Sie das Thema ernst nehmen.
Dürfen Sie die Mitgliederliste noch per E-Mail an alle versenden?
Die kurze und klare Antwort lautet: Nein, das sollten Sie unter allen Umständen vermeiden. Der Versand einer Excel- oder PDF-Liste mit Namen, Adressen, Telefonnummern und vielleicht sogar Geburtsdaten per E-Mail an einen grossen Verteiler ist aus Sicht des neuen Datenschutzgesetzes ein Albtraum. Sobald die E-Mail versendet ist, haben Sie jegliche Kontrolle über die Daten verloren. Wer leitet die Liste weiter? Wo wird sie gespeichert? Wer löscht sie, wenn sie veraltet ist? Sie können es nicht mehr steuern.
Dieses Vorgehen verletzt mehrere Grundprinzipien des nDSG, insbesondere die Datensicherheit und den Grundsatz der Datenminimierung. Sie geben potenziell allen Empfängern mehr Informationen, als diese für ihren Zweck benötigen. Stattdessen verlangt das Gesetz einen risikobasierten Ansatz, der den Schutz von Personendaten sicherstellt. Die gute Nachricht ist, dass es heute einfache und sichere Alternativen gibt, die speziell für Vereine entwickelt wurden.
Die beste Lösung ist die Verwendung einer zentralen Vereinssoftware oder eines geschützten Mitgliederbereichs auf Ihrer Website. Plattformen wie ClubDesk zeigen, wie es geht: Jedes Mitglied erhält einen persönlichen Login und sieht nur die Daten, für die es eine Berechtigung hat. Der Vorstand kann detailliert festlegen, wer Zugriff auf welche Informationen hat (Rollen- und Rechtesystem). So kann ein Trainer die Kontaktdaten seiner Mannschaft einsehen, aber nicht die Bankverbindung anderer Mitglieder. Dies ist ein Paradebeispiel für die Umsetzung der „Privacy by Design“-Anforderung des Gesetzes.
Fallbeispiel: ClubDesk als sichere Vereinslösung
ClubDesk zeigt, wie Vereine mit einer zentralen Vereinssoftware die neuen nDSG-Vorgaben erfüllen können: Durch ein Rollen- und Rechtesystem wird bestimmt, wer Zugriff auf welche Mitgliederdaten erhält. Statt unsicherer E-Mail-Versände können Mitgliederlisten in einem geschützten Mitgliederbereich bereitgestellt werden, wo nur berechtigte Personen nach Login Zugriff haben.
Der Umstieg von unsicheren Excel-Listen auf ein solches System ist nicht nur ein Gewinn für den Datenschutz, sondern professionalisiert auch die gesamte Vereinsverwaltung. Es ist der entscheidende Schritt, um die digitale Sorgfaltspflicht im Umgang mit Mitgliederdaten zu erfüllen und die Kontrolle zu behalten.
Eine Analyse von Vitamin B, der Fachstelle für Vereinsarbeit, zeigt die Risiken verschiedener Methoden auf und empfiehlt klar den Einsatz geschützter Bereiche.
| Methode | nDSG-Konformität | Risiko | Empfehlung |
|---|---|---|---|
| E-Mail mit Excel-Anhang | Nicht konform | Hoch | Vermeiden |
| Passwortgeschützte PDF | Bedingt konform | Mittel | Übergangslösung |
| Geschützter Mitgliederbereich | Konform | Niedrig | Best Practice |
| Schweizer Cloud-Lösung | Konform | Niedrig | Empfohlen |
Warum haften Sie, wenn Ihr Newsletter-Tool in den USA Daten verliert?
Diese Frage berührt einen der komplexesten, aber wichtigsten Aspekte des nDSG: die Verantwortungskette bei der Übermittlung von Daten ins Ausland, insbesondere in Länder ohne „angemessenes“ Datenschutzniveau wie die USA. Wenn Sie als Verein ein Newsletter-Tool (z.B. Mailchimp) oder ein Analyse-Tool (z.B. Google Analytics) verwenden, dessen Server in den USA stehen, bleiben Sie für die Sicherheit dieser Daten verantwortlich. Sie sind der „Verantwortliche“, das Tool ist Ihr „Auftragsbearbeiter“.
Das Problem: Nach aktueller Rechtslage gelten die USA nicht als sicheres Drittland. Der Grund dafür sind Gesetze wie der CLOUD Act, der es US-Behörden erlaubt, unter bestimmten Umständen auf Daten von US-Unternehmen zuzugreifen, selbst wenn diese Daten auf Servern in Europa gespeichert sind. Dies widerspricht den Grundrechten, die das Schweizer und europäische Datenschutzrecht schützen. Verliert Ihr US-Anbieter also Daten oder werden diese von Behörden eingesehen, haften Sie in der Schweiz gegenüber Ihren Mitgliedern, da Sie die Daten in ein unsicheres Umfeld transferiert haben.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) formuliert die Situation klar. Wie der EDÖB festhält, ist die Beurteilung der Angemessenheit eine fortlaufende Aufgabe:
Ab dem 1. September 2023 ist es Aufgabe des Bundesrates, über die Angemessenheit eines Staates gemäss des neuen Schweizer Datenschutzgesetzes zu entscheiden. Er wird bestimmen, ob die USA zu gegebener Zeit in die Liste aufgenommen werden.
– EDÖB, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Solange dieser Angemessenheitsbeschluss für die USA fehlt, bewegen Sie sich in einer rechtlichen Grauzone. Die potenziellen Konsequenzen sind nicht zu unterschätzen. Zwar sind Bussen in der Schweiz für Vereine noch unwahrscheinlich, doch im EU-Raum, wo die DSGVO gilt, sind die Strafen drastisch; so beträgt die maximale DSGVO-Busse bei Datenschutzverletzungen im EU-Raum 4% des Jahresumsatzes oder 20 Millionen Euro. Dies dient als Warnung, die Thematik ernst zu nehmen. Die sicherste Lösung ist daher, wo immer möglich auf Anbieter mit Serverstandort in der Schweiz oder der EU zu setzen. Dies vereinfacht die Einhaltung des nDSG massiv und gibt Ihnen die Kontrolle zurück – ein Kernaspekt der Datensouveränität.
Wie reagieren Sie korrekt, wenn ein Mitglied „alle meine Daten“ sehen will?
Das Auskunftsrecht ist ein zentrales Recht im nDSG. Jedes Mitglied kann von Ihnen verlangen zu wissen, welche Daten Sie über es gespeichert haben. Eine solche Anfrage kann per E-Mail oder sogar mündlich erfolgen und löst eine klare Prozesskette aus. Panik ist hier der falsche Ratgeber; Professionalität und ein strukturierter Ablauf sind gefragt. Der Schlüssel liegt in der Vorbereitung, denn Sie haben grundsätzlich 30 Tage Zeit, um die Anfrage kostenlos zu beantworten.
Der erste Schritt ist immer die Identitätsprüfung. Bitten Sie die anfragende Person, sich eindeutig zu identifizieren (z.B. durch Vorzeigen eines Ausweises), bevor Sie Daten herausgeben. Sie müssen sicherstellen, dass Sie die Informationen nicht an eine unberechtigte Person senden. Anschliessend beginnt die „Schatzsuche“: Sie müssen alle Orte durchsuchen, an denen Sie Daten zu dieser Person gespeichert haben. Das umfasst die Mitgliederdatenbank, E-Mail-Korrespondenzen, Buchhaltungsunterlagen, Anmeldelisten von Events und sogar Fotos auf der Website oder in Social-Media-Kanälen.
Wichtig ist jedoch zu wissen, dass das Auskunftsrecht nicht absolut ist. Sie müssen nicht alles offenlegen. Reine interne Notizen oder Wertungen des Vorstands, die nicht Teil eines offiziellen Dossiers sind (z.B. „Mitglied X ist unzuverlässig bei Helfereinsätzen“), fallen in der Regel nicht darunter. Ebenso sind Informationen ausgenommen, die die Rechte Dritter verletzen würden (z.B. vertrauliche Informationen über andere Personen in einer E-Mail-Konversation). Die Kunst besteht darin, eine vollständige, aber korrekt gefilterte Auskunft zu erteilen.
Fallbeispiel: Rechtliche Grenzen des Auskunftsrechts
Laut Schweizer Datenschutzrecht müssen Vereine nicht alle Informationen herausgeben: Interne Vorstandsnotizen wie ‚Mitglied X ist unzuverlässig‘ fallen nicht unter das Auskunftsrecht, da sie als interne Bewertungen gelten. Auch rechtlich geschützte Informationen oder Daten, die Rechte Dritter verletzen würden, müssen nicht offengelegt werden.
Die Daten sollten in einem gängigen elektronischen Format (z.B. als PDF oder Excel-Export) bereitgestellt werden. Eine saubere Dokumentation dieses Prozesses ist Gold wert und beweist Ihre Professionalität im Umgang mit der neuen Gesetzgebung.
Ihr Plan für ein Auskunftsbegehren: Die 5 Schritte
- Identität prüfen: Fordern Sie einen eindeutigen Nachweis (z.B. Ausweiskopie) an, um sicherzustellen, dass Sie die Daten der richtigen Person geben.
- Daten zusammentragen: Durchsuchen Sie systematisch alle Systeme (Mitgliederdatenbank, E-Mails, Buchhaltung, Fotos) nach Daten der anfragenden Person.
- Auskunft fristgerecht erteilen: Stellen Sie die gesammelten Informationen innerhalb von 30 Tagen kostenlos zusammen.
- Daten bereitstellen: Übermitteln Sie die Auskunft in einem gängigen, lesbaren Format wie PDF oder einer Excel-Tabelle.
- Informationen filtern: Schliessen Sie rein interne Notizen des Vorstands und Daten, die die Rechte Dritter verletzen, von der Auskunft aus.
Wann müssen Sie den EDÖB informieren: Sofort oder erst nach Prüfung?
Eine Datenpanne – im Gesetz als „Verletzung der Datensicherheit“ bezeichnet – ist einer der Momente, in denen schnelles und korrektes Handeln entscheidend ist. Die zentrale Frage lautet: Muss ich den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informieren? Die Antwort hängt von der Schwere des Vorfalls ab. Sie müssen nicht jeden Fehler melden, aber Sie müssen jeden Vorfall bewerten.
Die Meldepflicht an den EDÖB besteht nur dann, wenn die Datenpanne voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Was bedeutet das konkret? Wenn beispielsweise eine unverschlüsselte Festplatte mit der gesamten Mitgliederliste inklusive Gesundheitsdaten oder Bankverbindungen verloren geht, ist das Risiko hoch und eine Meldung zwingend. Wenn Sie jedoch versehentlich einen Newsletter an einen falschen internen Verteiler senden, der nur Namen und E-Mail-Adressen enthält, ist das Risiko in der Regel gering und eine Meldung nicht erforderlich.
Die Herausforderung liegt in dieser Risikobewertung, die Sie unverzüglich nach Bekanntwerden des Vorfalls durchführen müssen. Sie haben keine Zeit zu verlieren. Die gesetzliche Vorgabe für die Meldung von Datenschutzverletzungen an den EDÖB lautet „so schnell wie möglich“. In der Praxis bedeutet dies, dass nach einer kurzen, aber fundierten Erstanalyse die Meldung erfolgen sollte, falls ein hohes Risiko bejaht wird. Es ist besser, einmal zu viel als einmal zu wenig zu melden, wenn Sie unsicher sind. Parallel zur Meldung an den EDÖB müssen Sie unter Umständen auch die betroffenen Personen informieren, damit diese Schutzmassnahmen ergreifen können (z.B. Passwörter ändern).
Entscheidend ist, dass Sie jeden Vorfall, egal ob gemeldet oder nicht, intern dokumentieren. Diese Dokumentation muss den Sachverhalt, die betroffenen Daten, die Auswirkungen und die ergriffenen Massnahmen beschreiben. Dies hilft Ihnen nicht nur bei einer allfälligen späteren Prüfung durch den EDÖB, sondern auch dabei, aus Fehlern zu lernen und Ihre Prozesse zu verbessern. Dieser risikobasierte Ansatz ist der Kern eines modernen Datenschutzmanagements.
Der Fehler bei der Providerwahl, der Sie im Notfall den Support kostet
Die Wahl Ihres Hosting-Providers für die Website oder Ihre Vereins-Cloud ist eine strategische Entscheidung, die weit über den Preis pro Gigabyte hinausgeht. Im Ernstfall – bei einer Datenpanne, einem Hackerangriff oder einem dringenden Auskunftsbegehren – wird die Qualität Ihres Providers zum entscheidenden Faktor. Ein Fehler bei der Auswahl kann Sie nicht nur rechtlich, sondern auch praktisch im Regen stehen lassen.
Stellen Sie sich vor, Ihre Website wird gehackt und Mitgliederdaten sind betroffen. Sie müssen schnell handeln, den Vorfall analysieren und eventuell dem EDÖB melden. Wenn Ihr Provider aber nur einen englischsprachigen Support-Chat in einer anderen Zeitzone anbietet, der die Dringlichkeit und die spezifischen Anforderungen des Schweizer Rechts nicht versteht, verlieren Sie wertvolle Zeit und Nerven. Die digitale Sorgfaltspflicht des Vorstands erstreckt sich auch auf die Auswahl solcher Partner.
Ein Schweizer Hosting-Anbieter bietet hier entscheidende Vorteile. Provider wie Hostpoint garantieren nicht nur den Serverstandort in der Schweiz, was die komplexe Thematik der Drittland-Übermittlung eliminiert. Sie bieten auch Support in den Landessprachen und haben ein grundlegendes Verständnis für die hiesige Rechtslage. Ihre Standardverträge (Auftragsverarbeitungsverträge, AVV) sind in der Regel bereits nDSG-konform. Bei einem Notfall haben Sie einen Ansprechpartner, der Ihre Lage versteht und Ihnen kompetent helfen kann, die richtigen technischen Schritte einzuleiten. Dies ist ein unschätzbarer Vorteil, wenn es darum geht, die Kontrolle zurückzugewinnen.
Bevor Sie sich also für einen Provider entscheiden, stellen Sie die richtigen Fragen. Gehen Sie über den Preisvergleich hinaus und prüfen Sie die „weichen“ Faktoren, die im Notfall hart ins Gewicht fallen. Fragen Sie nach dem garantierten Serverstandort, der Backup-Strategie, dem DDoS-Schutz und der Verfügbarkeit von Notfall-Support in Ihrer Sprache. Ein guter Provider ist ein Partner für Ihre Datensouveränität, kein anonymer Lieferant von Speicherplatz.
Wie verhindert der Bund, dass Ihre Bewegungsdaten zentral gespeichert werden?
Die Frage der zentralen Speicherung von Daten berührt ein Kernprinzip des neuen Datenschutzgesetzes: „Privacy by Default“ (Datenschutz durch Voreinstellung) und die Datenminimierung. Das Gesetz verlangt von jedem, der Personendaten bearbeitet – also auch von Ihrem Verein –, dass Systeme und Prozesse so gestaltet sind, dass standardmässig nur so wenige Daten wie absolut nötig bearbeitet werden.
Der Gesetzestext in Artikel 7, Absatz 3 des nDSG ist hier unmissverständlich. Er legt die Verantwortung klar auf die Seite des Vereins oder Unternehmens:
Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.
– Art. 7 Abs. 3 nDSG, Neues Datenschutzgesetz Schweiz
Was bedeutet das für Ihren Verein? Wenn Sie eine App für ein Turnfest entwickeln, darf diese standardmässig nicht die Bewegungsdaten aller Teilnehmer auf einem zentralen Server aufzeichnen. Eine solche Funktion dürfte nur aktiviert werden, wenn der Teilnehmer aktiv und informiert zustimmt (Opt-in). Ein weiteres Beispiel: Bei der Anmeldung für einen Anlass dürfen Sie standardmässig nur die Daten abfragen, die für die Organisation zwingend notwendig sind (Name, Kontakt). Die Abfrage nach dem Geburtsdatum für eine Altersstatistik wäre eine zusätzliche Bearbeitung, die einer separaten Begründung oder Einwilligung bedarf.
Dieses Prinzip verhindert die anlasslose Sammlung von Daten „auf Vorrat“. Es stärkt die Datensouveränität des Einzelnen und zwingt Organisationen, sich vor der Datenerhebung Gedanken über deren Notwendigkeit zu machen. Die Durchsetzung dieser Prinzipien wurde mit dem nDSG ebenfalls gestärkt. Wie der EDÖB Adrian Lobsiger betont, hat seine Behörde nun mehr Biss:
Das nDSG stattet neu den EDÖB mit Verfügungskompetenz aus, wodurch der EDÖB verbindliche Anordnungen treffen kann. Bisher durfte der EDÖB nur unverbindliche Empfehlungen aussprechen. Die Missachtung einer Verfügung des EDÖB wird ebenfalls unter Strafe gestellt.
– Adrian Lobsiger, EDÖB
Für Vereine bedeutet dies: Denken Sie immer vom Minimum her. Fragen Sie sich bei jeder Datenerhebung: „Brauchen wir das wirklich für diesen Zweck?“ Diese Denkweise ist der beste Schutz vor übermässiger und riskanter Datenspeicherung.
Das Wichtigste in Kürze
- Datensouveränität als Ziel: Sehen Sie das nDSG nicht als Last, sondern als Chance, die Kontrolle über Ihre Vereinsdaten zu erlangen und bewusst zu gestalten.
- Risikobasierter Ansatz: Konzentrieren Sie Ihre Energie auf die Bereiche mit dem höchsten Risiko (z.B. Mitgliederlisten, Gesundheitsdaten) und akzeptieren Sie, dass nicht jeder kleine Fehler eine Katastrophe ist.
- Vertrauen als Währung: Ein transparenter und sicherer Umgang mit Daten ist ein starkes Signal an Ihre Mitglieder und stärkt die Bindung an den Verein.
Warum sollten Sie als KMU Ihre Daten im „Fort Knox“ Schweiz hosten?
Für Vereine und kleine Unternehmen (KMU) ist administrativer Aufwand ein entscheidender Faktor. Das neue Datenschutzgesetz bringt hier einige Pflichten mit sich, wie zum Beispiel die potenzielle Führung eines Verarbeitungsverzeichnisses. Doch das Gesetz sieht auch pragmatische Erleichterungen vor, und die Wahl des Hosting-Standorts spielt dabei eine überraschend grosse Rolle. Das Hosten Ihrer Daten in der Schweiz kann Ihnen viel Bürokratie ersparen.
Ein zentrales Element des nDSG ist die Dokumentationspflicht. Grundsätzlich muss jede Organisation ein Verzeichnis aller ihrer Datenbearbeitungs-Tätigkeiten führen. Dies kann für einen kleinen Verein schnell zu einer aufwändigen Aufgabe werden. Hier greift eine wichtige Ausnahme: Unternehmen mit weniger als 250 Mitarbeitern sind von dieser Pflicht befreit, solange sie keine besonders schützenswerten Daten in grossem Umfang bearbeiten oder ein hohes Risiko für die betroffenen Personen besteht. Für die meisten Turn-, Musik- oder Quartiervereine trifft dies zu.
Der entscheidende Vorteil des Hostings in der Schweiz liegt jedoch in der Vereinfachung der Dokumentation, falls Sie doch ein Verzeichnis führen müssen oder wollen. Jede Übermittlung von Personendaten ins Ausland muss in diesem Verzeichnis speziell dokumentiert werden, inklusive der rechtlichen Grundlage für diesen Transfer. Wenn Sie aber Ihre Website, Ihre E-Mails und Ihre Mitgliederverwaltung bei einem Provider mit Servern in der Schweiz hosten, entfällt dieser gesamte Komplex. Sie haben keine Drittland-Übermittlungen und müssen diese somit auch nicht rechtfertigen oder dokumentieren. Dies reduziert den administrativen Aufwand erheblich.
Fallbeispiel: Verarbeitungsverzeichnis vereinfacht durch Schweizer Hosting
Unternehmen mit weniger als 250 Mitarbeitern sind in der Schweiz von der Pflicht zur Führung eines Verarbeitungsverzeichnisses befreit, ausser sie bearbeiten besonders schützenswerte Daten in grossem Umfang. Durch Hosting in der Schweiz entfällt zudem die komplexe Dokumentation von Drittland-Übermittlungen, was den administrativen Aufwand erheblich reduziert.
Die Schweiz als „Daten-Fort Knox“ zu wählen, ist also nicht nur ein patriotisches Statement oder eine Marketing-Floskel. Es ist eine strategische Entscheidung, die auf dem Prinzip der Risikominimierung und der administrativen Vereinfachung beruht. Sie behalten die volle Kontrolle, unterstehen ausschliesslich dem Schweizer Recht und machen sich das Leben als Vorstand deutlich einfacher. Dies ist der Gipfel der angestrebten Datensouveränität.
Die Umsetzung des neuen Datenschutzgesetzes im Verein ist kein Hexenwerk, sondern eine Frage der richtigen Prioritäten und des gesunden Menschenverstandes. Beginnen Sie noch heute damit, die besprochenen Punkte in Ihrem Vorstand zu diskutieren und einen einfachen Massnahmenplan zu erstellen. Es geht darum, das Ruder selbst in die Hand zu nehmen und das Vertrauen Ihrer Mitglieder aktiv zu gestalten.
Häufige Fragen zum nDSG im Verein
Was gilt als meldepflichtige Datenpanne?
Eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, wie z.B. der Verlust von unverschlüsselten Gesundheitsdaten oder Bankverbindungen. Nicht jeder Fehler ist meldepflichtig.
Muss jeder E-Mail-Fehler gemeldet werden?
Nein. Ein versehentlicher Versand einer E-Mail an einen falschen Verteiler, die keine sensiblen Daten enthält, führt in der Regel nicht zu einem hohen Risiko und ist daher meist nicht an den EDÖB meldepflichtig. Eine interne Dokumentation des Vorfalls ist dennoch ratsam.
Wie lange muss die Dokumentation aufbewahrt werden?
Die Dokumentation von Datensicherheitsverletzungen, einschliesslich der Risikobewertung und der getroffenen Massnahmen, muss mindestens zwei Jahre ab dem Zeitpunkt des Vorfalls aufbewahrt werden.