VereinswissenDatenschutzregelungen für Vereine – Worauf ihr achten solltet

Bei der Gründung oder der Verwaltung eines Schweizer Vereins stellt sich häufig die Frage nach dem richtigen Umgang mit den datenschutzrechtlichen Pflichten. Obwohl Datenschutz häufig als Aufgabe wahrgenommen wird, die primär Unternehmen betrifft, ist das Thema auch im Bereich des Vereinswesens von grosser Bedeutung. Das Datenschutzrecht findet auch auf Vereine Anwendung. Vom lokalen Buchclub über den Sportverein bis hin zur Kulturinitiative ist jeder gefordert, sich mit dem sicheren Umgang mit Personendaten auseinanderzusetzen. 

Mit dem revidierten Schweizer Datenschutzgesetz (DSG) sind die Anforderungen an den Datenschutz in der Schweiz im September 2023 präzisiert worden. Es ist unerlässlich, dass auch Vereine diesen Anforderungen nachkommen. Es gilt, das Bewusstsein dafür zu schärfen, welche personenbezogenen Informationen gesammelt, wie diese bearbeitet und gesichert werden und wie ein ausreichender Schutz der Privatsphäre der Vereinsmitglieder sichergestellt werden kann. Dafür ist in der Schweiz der gesamte Vorstand verantwortlich. Erfahrt jetzt alles über den Datenschutz für euren Verein und profitiert von unseren Tipps, wie Ihr eure Mitglieder- und andere Personendaten gesetzeskonform schützen könnt.

Das Wichtigste in Kürze

  • Vereine sind angehalten, interne Abläufe zu definieren und umzusetzen, die die Datensicherheit und den Datenschutz sicherstellen und den Umgang mit allen Personendaten transparent gestalten. Könnt ihr gewährleisten, dass eure Vereinsdaten vor Datenverlust und Datendiebstahl geschützt sind? 
  • Es ist unerlässlich, regelmässig zu kontrollieren, ob Daten noch aktuell sind und auch wirklich noch gebraucht werden. Die Daten dürfen nur so lange wie nötig aufbewahrt werden, d.h. solange ein Zweck für die Bearbeitung besteht, und sind anschliessend sicher zu vernichten. Habt ihr den Überblick, wo eure Daten überall gespeichert sind? Ist gewährleistet, dass Personendaten tatsächlich überall gelöscht werden, wenn kein Bearbeitungszweck mehr besteht, oder jemand aus dem Vorstand austritt und daher keinen Zugriff mehr auf diese Daten haben darf?
  • Mitglieder müssen über Datenerfassung, Nutzung und ihre diesbezüglichen Rechte informiert werden. Dabei ist Transparenz das A und O. Habt ihr eure Mitglieder darüber informiert, wo und zu welchem Zweck ihr welche Daten speichert und bearbeitet? Ein gängiger Grund wäre zum Beispiel, um die Jahresmitgliederbeiträge in Rechnung stellen zu können.
  • Bei der Bearbeitung von sensiblen Informationen wie Gesundheitsdaten oder Ethnie ist meist eine explizite Zustimmung der betreffenden Personen notwendig, die klar und eindeutig eingeholt werden muss.
  • Regelmässige Schulungen helfen dabei, ein Datenschutzbewusstsein zu etablieren. Anders als in der EU muss man in der Schweiz auch für grosse Vereine keine*n Datenschutzbeauftragte*n bestimmen. Es empfiehlt sich aber dennoch, intern eine Ansprechperson zu definieren sowie in der Datenschutzerklärung eine Kontaktmöglichkeit für Fragen zum Datenschutz zu nennen.

Korrekte Verwaltung von Mitgliederdaten in Vereinen

Ihr seid gefordert, eurem Verein eine einfache und effiziente Verwaltung der Mitgliederinformationen zu ermöglichen und gleichzeitig den Datenschutz einzuhalten. Dabei ist es ausschlaggebend, eure internen Prozesse so auszurichten, dass Unberechtigte keinen Zugriff auf solche Daten haben, Helfer und Mitarbeiter des Vereins aber die notwendigen Daten einsehen oder bearbeiten können, die sie für ihre Aufgaben im Verein benötigen. Der Zugriff ist jeweils auf das Notwendige zu begrenzen. 

Schutz vor Datendiebstahl

Um die Daten eurer Vereinsmitglieder gegen unbefugten Zugriff zu sichern, ist es wichtig, angemessene Prozesse zu implementieren, technische Sicherheitsmassnahmen zu ergreifen, und diese in den sogenannten technischen und organisatorischen Massnahmen (TOM) zu dokumentieren. Die Führung eines Bearbeitungsverzeichnisses ist in der Schweiz keine Pflicht (erst ab 250 Mitarbeitenden). Es ist aber trotzdem sehr zu empfehlen, ein Bearbeitungsverzeichnis zu erstellen, da es hilft, die Übersicht zu behalten. Ansonsten wird es schwierig, die gesetzlich geforderten Massnahmen wirklich umzusetzen.

Sollten Mitgliederdaten beispielsweise auf einem privaten Rechner gespeichert sein, dann ist es essenziell, Richtlinien zur Datensicherung festzulegen. Dies könnte bedeuten, dass die Festplatte verschlüsselt werden muss, oder der Computer automatisch in den Sperrmodus übergeht, wenn er einige Minuten nicht benutzt wird (um zu verhindern, dass jemand unbefugt Zugang erhält, falls der Computer etwa im Zug liegen gelassen wird). Oder es sollte festgelegt werden, dass auch Datensicherungen (Backups) verschlüsselt und sicher aufbewahrt werden sowie entsprechende Virenprogramme zu installieren sind.

Auch beim Versand von Mitgliederdaten per E-Mail, etwa an die Vereinskassiererin oder bei einem Amtswechsel, müssen sichere Übertragungswege gewährleistet sein. Hierfür sollten spezifische Prozesse definiert, regelmässig geschult und am besten auch dokumentiert werden. Im Falle eines Datenmissbrauchs solltet ihr nachweisen können, welche Sicherheitsmassnahmen ihr festgelegt habt und wie diese umgesetzt wurden.

Software-Tipp
Ihr könnt die Anforderungen an den Datenschutz viel leichter erfüllen, wenn ihr eine moderne Online-Vereinssoftware wie ClubDesk nutzt. Mit ClubDesk seid ihr auf der sicheren Seite, denn hier sind höchste technische Schutzmassnahmen Standard – von professionellen Firewalls bis hin zu sicheren Backups. Zusätzlich profitiert ihr von den technischen und organisatorischen Massnahmen (TOM), die ClubDesk bietet. Da die Daten in der Cloud gespeichert sind, können alle Beteiligten – von der Präsidentin bis zum Trainer – einfach auf die für sie relevante Informationen zugreifen. Das bedeutet, dass ihr nur in seltenen Fällen Mitgliederdaten versenden müsst.

Zugriffsbeschränkungen

In eurem Verein sollte jede Person nur diejenigen Mitgliederdaten sehen, die sie für ihre Arbeit wirklich braucht. Wenn jemand nur fürs Aktualisieren von Kontaktdaten zuständig ist, muss er nicht wissen, wer seine Beiträge noch nicht gezahlt hat. Und der Trainer der Jugendmannschaft sollte natürlich nur Infos über diese Spieler haben. Es darf auch nicht möglich sein, dass die Partnerin des Kassierers mal eben eine Excel-Liste öffnet und sieht, wer mit den Beiträgen hinterherhinkt.

Wenn jemand aus einem Vereinsamt ausscheidet, müsst ihr dafür klare Prozesse haben - zum Beispiel für das sichere Entfernen der Daten vom Computer der Person. Ausserdem solltet ihr genau dokumentieren, zu welchen Online-Diensten (wie zum Beispiel Dropbox, Google Docs oder die Vereinswebseite) die Person Zugang hatte und insbesondere dafür sorgen, dass die Zugänge bei einem Austritt entfernt werden.

Software-Tipp
Die Nutzung einer modernen Online-Software wie ClubDesk vereinfacht solche Prozesse erheblich. Mit ClubDesk ist es unmöglich, dass jemand aus demselben Haushalt ohne Passwort auf Mitgliederdaten zugreifen kann. Ihr könnt ganz einfach steuern, wer in eurem Verein Zugang zu welchen Daten hat, so dass jeder nur die Informationen sieht, die er für seine Aufgaben benötigt. Alle Zugriffsrechte – ob für Mitgliederdaten, Vereinsdokumente, die Webseite oder Rechnungen – werden zentral in einer Lösung verwaltet. Tritt also jemand aus dem Vorstand zurück, müsst ihr die Zugriffsrechte nur an einer Stelle ändern und der Zugang zu allen vertraulichen Daten wird sofort entzogen. Dadurch ist es auch nicht notwendig, Daten weiterzugeben oder zu löschen. Für die sichere Verwahrung des Passworts bleibt das jeweilige Vorstandsmitglied selbst verantwortlich. 

Auskunft über Löschung von Daten

Ihr solltet immer genau Bescheid wissen und euren Mitgliedern auf Anfrage transparent machen können, welche persönlichen Daten ihr von ihnen speichert, wo diese gespeichert sind und zu welchem Zweck sie genutzt werden. Das geht am besten mit einer allgemeinen Datenschutzerklärung. Es ist wichtig, dass ihr klare Richtlinien festlegt, wer Zugriff auf welche Daten hat – darf die Chorleiterin beispielsweise die Anwesenheit bei Proben dokumentieren? Zudem müsst ihr im Griff haben, an welchen Orten alle Daten gespeichert sind und wie ihr vorgeht, wenn jemand die Löschung seiner Daten fordert, um sicherzustellen, dass diese wirklich restlos entfernt werden.

Software-Tipp
Mit ClubDesk wird die Kontaktverwaltung zentralisiert, sodass ihr euch nicht mehr mit verschiedenen Excel-Tabellen, Finanzsoftware, Website-Lösungen oder Online-Speicherdiensten herumschlagen müsst, in denen Mitgliederdaten oder Zugangsinformationen verstreut gespeichert sind. Das Löschen aller Personendaten einer Person ist somit nur ein Klick entfernt. Da es nur eine zentrale Datenbank gibt, habt ihr einen klaren Überblick darüber, welche Daten gespeichert sind, wo sie sich befinden und wer für deren Sicherheit zuständig ist. Diese Informationen sind in den technischen und organisatorischen Massnahmen (TOMs) festgehalten. Die TOMs sind Teil der Auftragsverarbeitungsvereinbarung, die Vereine abschliessen, wenn sie ClubDesk einsetzen.

Wann gilt Europäisches Recht für Schweizer Vereine? 

Zwischen der europäischen DSGVO und der Schweizer revDSG bestehen etliche Unterschiede. So müssen zum Beispiel grössere Vereine nach DSGVO eine*n Datenschutzbeauftragte*n ernennen und die Veröffentlichung von Fotos, Videos von Mitgliedern wird anders gehandhabt.

Wenn ihr mit eurem Verein keine Personen in der EU ansprecht (bspw. mit Werbung oder Vereinsveranstaltungen), dann gilt nur das Schweizer Datenschutzrecht.

Als Tipp gilt es nachfolgende Punkte zu beachten:

  • Sprecht auf eurer Werbung, Webseite, Social Media usw. nicht gezielt Personen in der EU an (veröffentlicht also z.B. keine Mitgliederbeiträge oder Kursangebote in Euro statt in Schweizer Franken).
  • Wertet auf eurer Webseite nicht das Nutzerverhalten von Personen aus der EU aus (z.B. mit Google Analytics)

Sobald ihr aktiv Personen aus der EU ansprecht (z.B. der Verein ist länderübergreifend aktiv) und deren Personendaten bearbeitet, gilt es, die DSGVO einzuhalten. Wenn ihr mehr zum Datenschutzrecht für Vereine wissen wollt, die der europäischen DSGVO unterliegen, könnt ihr unseren Vereinstipp zur DSGVO lesen («Datenschutz im Verein – Deutschland und Österreich»).

Implementierung der Datenschutzvorschriften

Datenschutz bedeutet mehr als nur die Sammlung von Zustimmungen. Es geht darum, aktiv zu steuern, welche Daten erhoben, wie und wie lange sie behalten und wie sie sicher vernichtet werden. In eurem Verein solltet Ihr regelmässig überprüfen, ob die aufbewahrten Informationen noch benötigt werden und ob diese noch dem aktuellen Stand entsprechen. Eine ständige Beschäftigung mit den gespeicherten Daten und ein bewusstes Informationsmanagement sind für den Datenschutz unerlässlich.

Datenschutz im Kontext vertraglicher Beziehungen

Nehmen Mitglieder Leistungen eures Vereins in Anspruch, indem sie beispielsweise an Proben oder Turnieren teilnehmen, ist die Bearbeitung und Speicherung der entsprechenden Daten von grosser Wichtigkeit für den Verein und damit erlaubt. Achtet aber darauf, nur die notwendigen Informationen zu erfassen und diese nicht länger zu speichern als nötig. Auf diese Weise schützt Ihr die Mitglieder und stellt sicher, dass euer Verein die Anforderungen des DSG erfüllt.

Transparenz im Datenschutz 

Es ist das Recht eines jeden Vereinsmitglieds, nachvollziehen zu können, welche Personendaten über ihn bzw. sie erfasst und zu welchem Zweck diese bearbeitet werden. Offenheit in diesen Belangen bildet das Fundament für einen soliden Datenschutz. Es ist die Aufgabe eures Vereins, transparent und nachvollziehbar darzulegen, auf welche Weise personenbezogene Informationen gehandhabt werden und zu welchen Zwecken sie bearbeitet werden. Ausserdem ist es notwendig, dass die Mitglieder über ihre datenschutzrechtlichen Ansprüche umfassend informiert werden.

Mitglieder mit Datenschutzhinweisen informieren

Normalerweise klärt ihr eure Mitglieder über den Datenschutz in den Datenschutzhinweisen eures Vereins auf. Wenn ihr sicherstellen wollt, dass auch potenzielle Neumitglieder schon vor ihrem Beitritt einen Einblick in euren Datenschutz bekommen, ist es empfehlenswert, diese Hinweise auf der Webseite eures Vereins zugänglich zu machen. Datenbearbeitungszwecke können zudem auch in den Statuten festgehalten werden. Dies kann insbesondere sinnvoll sein, wenn Daten an Dritte wie beispielsweise einen Dachverband weitergegeben werden.

Software-Tipp
Wenn ihr eure Vereinswebseite mit ClubDesk gestaltet, bekommt ihr einen vorgefertigten Datenschutzhinweis, der leicht an die speziellen Bedürfnisse eures Vereins angepasst werden kann. Dieser Vorschlag enthält auch einen Link zu einem Datenschutzgenerator, der speziell für Schweizer Vereine konzipiert ist.

Datenschutzhinweis für Besucher der Vereinswebseite

Vergesst nicht, dass ihr die Besucher eurer Vereinswebseite darüber aufklären müsst, welche Cookies verwendet werden, welche Analysetools zum Einsatz kommen und zu welchem Zweck Daten gespeichert werden.

Software-Tipp
ClubDesk bietet euch praktische Unterstützung, indem es in einer mit ClubDesk erstellen Webseite einen fertigen Cookie-Banner und ein Muster für Datenschutzhinweise bereit stellt.

Veröffentlichung und Weitergabe

In Zeiten von Social Medien und einem omnipräsenten Internet ist das Bewusstsein für den Wert von Privatsphäre und Anonymität in der digitalen Welt bei vielen Leuten wesentlich stärker ins Bewusstsein gerückt. Dem solltet ihr Rechnung tragen und eure Mitglieder gut darüber informieren, welche Daten, Bilder, usw. wo veröffentlicht werden könnten.

Personendaten

Wenn ihr plant, Daten von Mitgliedern auf eurer Webseite zu teilen, egal ob für die Öffentlichkeit oder nur sichtbar für Vereinsmitglieder, müsst ihr vorher die Betroffenen darüber informieren und je nach Konstellation eine Einwilligung einholen. Dies betrifft auch die Weitergabe an Dritte, z.B. einen Dachverband. Dies könnt ihr einfach umsetzen, indem ihr das in die Statuten aufnehmt. Der Text könnte z.B. so lauten:

Der SC Musterverein speichert von seinen Mitgliedern nur Personendaten, die für die Erfüllung des Vereinszwecks benötigt werden und sorgt angemessen für die Sicherheit. Folgende Mitglieder-Informationen werden den anderen Vereinsmitgliedern bekannt gegeben (z.B. in dem nur Mitgliedern zugänglichen Bereich der Vereinswebseite): Name, Adresse, Telefonnnummer, E-Mail, … (alles angeben)

Das Teilen von Kontaktinformationen mit anderen Mitgliedern ist unter anderem dadurch gerechtfertigt, dass der Verein den Mitgliedern die Möglichkeit geben sollte, eine ausserordentliche Mitgliederversammlung einzuberufen. 

Hier könnt ihr Musterstatuten herunterladen, die von „vitamin B“, der Fachstelle für Vereine, bereitgestellt wurden und die sehr gute Textvorschläge zum Datenschutz enthalten und das Thema Datenveröffentlichung gesetztes-konform abdecken (Abschnitt 13). 

Download: Muster Vereins-Statuten inkl. Datenschutz und Einverständnis für Datenveröffentlichung

Fotos und Filme

Bei der Veröffentlichung von Fotos und Filmen gilt es zwei Sachen zu beachten. Einerseits die Rechte des Fotografen, die seit 2020 auch für Hobbyfotografen gelten und andererseits die Rechte der abgebildeten Personen (das Recht am eigenen Bild). Daher empfiehlt es sich, dass ihr ein „Reglement für Urheberrecht von Bildern“ erstellt und dann eure bestehenden Mitglieder informiert. 

Im Reglement sollte unter anderem festgehalten sein, dass der Verein die ihm von Mitgliedern übergebenen Bilder (Videos, Grafiken...) kostenlos, unbeschränkt lang, in jedem Land und in allen Medien (Webseite, Instagram, Vereinsmagazin...) nutzen darf. Zudem sollte das Reglement festhalten, dass die Mitglieder dem Verein eine generelle Bildfreigabe erteilen, der Verein also Bilder von Mitgliedern kostenlos, unbeschränkt lang, in jedem Land, in allen Medien (Webseite, Instagram, Vereinsmagazin...) veröffentlichen darf und dass die Teilnahme an einem Anlass als Einverständnis gilt.

Es sollte auch geregelt, wie und wann Personen fotografiert werden dürfen (z.B. Fotos von Sportveranstaltungen). Je nach Konstellation ist vorgängig, die Einwilligung einholen oder dem Vereinsmitglied die Möglichkeit zu geben, der Erstellung von Fotos zu widersprechen. 

Für die Erstellung eines „Reglements für Urheberrecht von Bildern“ für Vereine bietet „vitamin B“, die Fachstelle für Vereine, eine Anleitung zum Download an. 

Sorgfältiger Umgang mit sensiblen Daten

Daten von besonderer Sensibilität, wie beispielsweise gesundheitliche Informationen, bedingen eine spezielle Handhabung. Diese dürfen meist nur mit der expliziten Zustimmung der betroffenen Person erfasst werden. Euer Verein ist dazu verpflichtet, in solchen Fällen besonders sorgfältig vorzugehen und sicherzustellen, dass die Einholung der Einwilligung von Mitgliedern freiwillig und informiert erfolgt. Hier holt ihr am besten den Rat eines Datenrechtexperten bzw. -expertin ein.

Zu den besonders schützenswerten Daten gehören:

  • Gesundheitsdaten (z.B. Allergien, Unverträglichkeiten, Verletzungen)
  • Personendaten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen
  • Gewerkschaftszugehörigkeit
  • genetische Daten, biometrische Daten, die ausschliesslich zur eindeutigen Identifizierung einer natürlichen Person bearbeitet werden
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person

Verantwortungsvoller Umgang mit Mitgliederverzeichnissen 

Ein Beispiel für die Arbeit mit Personendaten innerhalb eines Vereins sind Mitgliederverzeichnisse. Es ist wichtig, genau festzulegen, wer innerhalb eures Vereins Einsicht in diese Verzeichnisse hat und für welche Zwecke sie verwendet werden dürfen. Die Weitergabe dieser Verzeichnisse muss streng überwacht werden, um Datenschutzverletzungen vorzubeugen.

Software-Tipp
Eine Vereinssoftware wie ClubDesk ermöglicht es euch, unkompliziert zu bestimmen, wer Zugang zu bestimmten Mitgliederdaten hat. Es ist jedoch wichtig, eure Vereinsmitarbeiter auf Folgendes aufmerksam zu machen: Die Daten sind zwar innerhalb von ClubDesk sicher, sobald sie jedoch auf einen privaten PC heruntergeladen oder per E-Mail versendet werden (d.h. ohne geeignete Sicherheitsvorkehrungen wie Anonymisierung, Verschlüsselung oder Passwortschutz), dann ist diese Sicherheit allenfalls nicht mehr gewährleistet.

Datenschutz in Vereinen umfasst deutlich mehr als nur die Einhaltung von rechtlichen Anforderungen. Es handelt sich um eine verantwortungsvolle Informationsverwaltung, die das Vertrauen der Mitglieder stärkt. Ein Verein sollte über eine Datenschutzrichtlinie verfügen, die aktiv umgesetzt wird. Dies schliesst regelmässige Datenschutzschulungen für die Verantwortlichen ein.

Die Bedeutung regelmässiger Datenschutzschulungen 

Datenschutzschulungen sind essenziell, um ein fundiertes Verständnis für den Umgang mit Personendaten in eurem Verein. Aufgrund der Komplexität des Themas ist es notwendig, fortlaufend über die damit verbundenen Rechte und Pflichten aufzuklären. Durch interne Workshops oder das Bereitstellen von Informationsmaterialien könnt ihr in eurem Verein das Datenschutzbewusstsein schärfen und mögliche Verstösse vermeiden.

Organisiert ab und zu ein Treffen oder Online-Meeting mit den Personen, die im Verein Zugriff auf Personendaten Zugriff haben und besprecht jedes Mal ein anderes Thema aus diesem Ratgeber. Geht in einem Meeting z.B. die unten aufgeführten «Wichtigsten technischen Massnahmen» durch und im nächsten die «Wichtigsten organisatorischen Massnahmen». Haltet eure Besprechungen schriftlich fest, auch damit ihr eure Massnahmen neuen Vereinsmitarbeitenden effizient vermitteln könnt.

Ein ausführliches und gut gegliedertes Dokument, das sich gut als Grundlage für Schulungen eignet, findet ihr bei «vitamin B»: PDF herunterladen

Technische und organisatorische Datenschutzmassnahmen

Es ist für euren Verein unerlässlich, nicht nur organisatorische, sondern auch technische Massnahmen (TOMs) zu treffen. Dies wird in Artikel 7 der revDSG vorgeschrieben. Dazu gehört etwa die Verschlüsselung von Daten, die Verwendung sicherer Passwörter und der Schutz gegen unbefugten Zugriff. Die technische Ausstattung des Vereins muss den Datenschutzanforderungen entsprechen und regelmässig auf den neuesten Stand gebracht werden.

Software-Tipp
Mit einer modernen Vereinssoftware wie ClubDesk könnt ihr eine Reihe von Massnahmen auslagern, da diese von ClubDesk übernommen werden, jedoch nicht alle. Es ist wichtig, dass ihr euch um Aspekte wie die Sicherheit von Passwörtern und die Richtlinien zur Veröffentlichung von Daten kümmert.

Die wichtigsten technischen Massnahmen

Firewalls & WLAN
Für den Schutz eurer Daten ist es essenziell, dass alle Computer – auch die privaten, auf denen Vereinsmitarbeiter Vereinsdaten speichern – moderne und professionell verwaltete Firewalls verwenden. Zusätzlich müsst ihr euer WLAN sicher konfigurieren – nutzt beispielsweise den WPA2-Standard und starke Passwörter.

Zutrittskontrolle
Nicht nur der Netzwerkzugriff, sondern auch der physische Zugang zu Computern und auch Backup-Festplatten usw., auf denen Personendaten gespeichert sind, muss kontrolliert werden. Idealerweise bewahrt ihr sie in sicheren Räumlichkeiten auf, zu denen nur berechtigte Personen Zugang haben.

Zugriffsrechte
Durch die Vergabe von Passwörtern, die Festlegung von Zugriffsrollen und die Zuordnung zu Nutzergruppen könnt ihr genau bestimmen, wer auf welche Daten zugreifen darf. Stellt sicher, dass nur berechtigte Personen Zugriff haben (also keine Familienmitglieder der Präsidentin oder des Kassierers) und dass die verwendeten Passwörter sicher sind (z.B. mindestens 10 Zeichen lang sind, Buchstaben, Zahlen und Sonderzeichen enthalten).

Verschlüsselung
Um eure Daten vor unautorisiertem Zugriff zu schützen, sollten sie verschlüsselt gespeichert und übertragen werden. Sorgt dafür, dass alle Mitarbeitenden sichere Verschlüsselungsmethoden und starke Passwörter verwenden.

Sicherheitskopien
Regelmässige Backups sind unverzichtbar, um eure Daten auch nach einem Systemausfall oder einem Cyberangriff wiederherstellen zu können. Vergesst nicht, auch eure Backups sicher zu speichern und zu verschlüsseln, und aktualisiert sie entsprechend, wenn Daten gelöscht werden.

Software-Tipp
Glücklicherweise könnt ihr euch mit einer Online-Vereinssoftware wie ClubDesk eine Menge Arbeit und Massnahmen einsparen. Denn die Vereinsdaten bei ClubDesk werden ausschliesslich im Rechenzentrum gespeichert und sind dadurch nach allen Regeln der Kunst gesichert. Zusätzlich werden täglich Backups erstellt und es ist auch nicht möglich, auf Mitgliederdaten ohne Passwort zuzugreifen. Zudem ist es nicht erforderlich, Daten zu versenden oder an andere Personen weiterzugeben. Also müsst ihr auch keine Regeln aufstellen, wie Daten bei einer Weitergabe sicher vom alten Rechner gelöscht oder vor dem Versand verschlüsselt werden müssen.

Die wichtigsten organisatorischen Massnahmen

Verfahren und Richtlinien
Stellt sicher, dass euer Verein klare Regeln für den Umgang mit Daten festlegt, diese auch gut dokumentiert und dass jeder, der mit den Daten hantiert, genau weiss, was erlaubt ist und was nicht. Dazu gehört auch, dass ihr im Blick habt, wie wichtig es ist, Daten sicher zu behandeln. Denkt an klare Passwortregeln (wie Länge und Sonderzeichen) und daran, wie ihr mit dem Veröffentlichen von Infos und Fotos umgeht. 

Infos und Schulungen
Sorgt dafür, dass alle, die mit euren Vereinsdaten arbeiten, umfassend zum Thema Datenschutz informiert sind. Erinnert eure Teammitglieder regelmässig daran, wie wichtig es ist, Sicherheitsmassnahmen einzuhalten, starke Passwörter zu nutzen und Daten verschlüsselt zu halten. Phishing und Spoofing sind ebenfalls relevant, wenn Personendaten lokal gespeichert sind.

Auftragsverarbeitungsvereinbarungen
Wenn ihr externe Dienste nutzt, um persönliche Daten zu speichern oder weiterzuleiten, müsst ihr sicherstellen, dass diese Dienste euren Daten den nötigen Schutz bieten. Das passiert zum Beispiel automatisch bei ClubDesk durch die Auftragsverarbeitungsvereinbarung, die Teil der Allgemeinen Geschäftsbedingungen ist. Wenn ihr noch andere Tools wie Cloudspeicher oder Webseitenanbieter nutzt, dann prüft, dass auch diese die nötigen Vereinbarungen bieten.

Risikoanalyse
Überprüft eure Massnahmen und Prozesse regelmässig. Stellt sicher, dass sie immer aktuell sind, und den aktuellen Bedrohungen und technischen Möglichkeiten entsprechen. So bleibt euer Verein sicher und ihr seid immer einen Schritt voraus.

Software-Tipp
Die Verwendung einer Vereinssoftware wie ClubDesk vereinfacht erheblich das Definieren und Dokumentieren organisatorischer Massnahmen. Wenn jemand aus dem Vorstand ausscheidet, müsst ihr die Zugriffsrechte dieser Person einfach an einer zentralen Stelle in ClubDesk ändern. Arbeitet ihr hingegen mit verschiedenen Softwaretools und lokal gespeicherten Daten, ist es wichtig, genau zu dokumentieren, wer Zugang zu welchen Diensten und Daten hat. So könnt ihr bei einem Austritt nachvollziehen, wo Zugriffsrechte zu deaktivieren sind und wer dafür verantwortlich ist – gegebenenfalls mit einer detaillierten Anleitung zur Deaktivierung. Ausserdem könnt ihr so sicherstellen, dass ausscheidende Personen vertrauliche Daten sicher an ihre Nachfolger übergeben, beispielsweise durch die Anwendung von Verschlüsselungsregeln bei E-Mail-Versand, und dass alle persönlichen Daten von ihrem privaten Rechner vollständig gelöscht werden. All das erspart ihr euch mit ClubDesk.

Der Umgang mit Datenschutzverletzungen

Auch bei grösstmöglicher Sorgfalt kann es zu Verstössen im Bereich des Datenschutzes kommen. In solch einem Fall sollte euer Verein einen Massnahmenplan für Datenpannen bereithalten. Dieser Plan definiert die Schritte, die bei einer Datenschutzverletzung zu befolgen sind, einschliesslich der Benachrichtigung der Verantwortlichen und der Information der betroffenen Mitglieder. Ein schnelles und sicheres Vorgehen in solchen Situationen ist entscheidend, um das Vertrauen der Mitglieder aufrechtzuerhalten und potenzielle Schäden zu begrenzen.

Protokollierung und Rechenschaftspflicht

Gemäss des DSG ist es erforderlich, dass euer Verein die Vorgehensweisen zum Datenschutz und die Befolgung der entsprechenden Richtlinien nachweisen kann. Dies erfordert eine Dokumentation der Datenbearbeitungsvorgänge, ihrer rechtlichen Grundlagen und der implementierten Sicherheitsmassnahmen. Die Protokollierung dient nicht nur der Rechenschaft gegenüber Aufsichtsbehörden, sondern auch als interne Kontrollmassnahme.

Eine Liste der wichtigsten Punke, die ihr dokumentieren müsst, findet ihr im Bundesgesetz
über den Datenschutz in Kapitel 2 Abschnitt 1 Artikel 12

revDSG-Leitfaden für euren Verein zum Download

Verantwortliche Person

Legt fest, wer bei euch im Verein sich um das Thema Datenschutz kümmert und für angemessene technische und organisatorische Massnahmen verantwortlich ist.

Nur notwendige Daten speichern

Stellt sicher, dass ausschliesslich erforderliche Daten erfasst werden und dass die Dauer der Speicherung sich sowohl nach dem Bedarf als auch nach den gesetzlichen Anforderungen richtet.

Sicherstellung der Datensicherheit

Implementiert und aktualisiert regelmässig Schutzmassnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten.

Prozesse für Datenschutz und Datensicherheit dokumentieren

Erstellt ein Verzeichnis, das Auskunft gibt über Verantwortlichkeiten, Zugriffsberechtigungen und die Zwecke der Datenbearbeitung, wie in Artikel 12 DSG vorgesehen.

Zugriffsrechte festlegen

Stellt sicher, dass jede*r nur die Daten sieht, die für die Arbeit notwendig sind.

Mitglieder über Datenbearbeitung informieren

Informiert neue Mitglieder schriftlich bei ihrem Eintritt über die Datenbearbeitung (welche Daten, wozu, wo gespeichert und veröffentlicht werden) und haltet bestehende Mitglieder über Änderungen auf dem Laufenden. Veröffentlicht Datenschutzhinweise auf eurer Webseite und fasst eine Statutenänderung ins Auge.

Vorstand und Mitarbeiter*innen des Vereins schulen

Stellt sicher, dass alle Personen, die im Verein mit Mitgliederdaten arbeiten, über das revDSG informiert sind und sich an dieses halten.

Auftragsverarbeitungsverträge (AVV)

Schliesst Auftragsverarbeitungsverträge mit externen Dienstleistern ab oder integriert Datenschutzvereinbarungen in Dienstleiserverträgen und überprüft deren Datenschutzmassnahmen regelmässig.

Meldepflicht bei Datenschutzverletzungen

Etabliert ein Verfahren für eine schnelle Reaktion und Benachrichtigung bei Datenschutzverletzungen sowohl an Mitglieder als auch an Aufsichtsbehörden.

Schweizer Recht oder EU-Recht

Überprüft, ob ihr euch nur an die Schweizer resDSG oder auch an die europäische DSGVO halten müsst (siehe Kapitel «Wann gilt Europäisches Recht für Schweizer Vereine?»)

Zusammenfassung: Datenschutz im Verein

Der Datenschutz stellt für Vereine einen dynamischen Prozess dar, der durchdachte Organisation und immer wieder eine Optimierung verlangt. Es ist entscheidend, eine Balance zu schaffen zwischen einer effizienten Vereinsverwaltung und der Wahrung der Privatsphäre sowie dem Schutz der Daten der Vereinsmitglieder. Ein vorausschauendes Handeln und die aktive Teilnahme der Mitglieder sind ausschlaggebend für den Erfolg. Softwarelösungen wie ClubDesk können die Einhaltung der Datenschutzgesetze bei der Bearbeitung von Mitgliederdaten enorm erleichtern.

Häufige Fragen zum Datenschutz im Verein

Ihr habt noch Fragen zum Thema Datenschutz im Verein? Die häufigsten Fragen beantworten wir euch hier:

Was versteht man unter dem DSG und inwiefern ist es für Vereine relevant?

Das DSG ist das Datenschutzgesetz der Schweiz, das ähnlich wie die europäische DSGVO den Datenschutz und die Bearbeitung von Personendaten regelt. Es ist für Vereine in der Schweiz relevant, da sie verpflichtet sind, die Vorgaben zum Schutz von Mitglieder- und anderen Personendaten einzuhalten und entsprechende Datenschutzmassnahmen zu implementieren.

Was fällt unter den Begriff "Personendaten"?

Als Personendaten gelten sämtliche Angaben, die eine identifizierte oder identifizierbare natürliche Person betreffen, wie beispielsweise Name, Adresse, E-Mail-Adresse, Telefonnummer und Fotos.

Ist die Ernennung eines Datenschutzbeauftragten für Vereine obligatorisch?

Es ist nicht verpflichtend, einen Datenschutzbeauftragten zu ernennen. Allerdings wird es empfohlen, eine Person zu benennen, an die sich z.B. Mitglieder bei Fragen zu ihren Daten oder mit Löschungsanträgen wenden können. Dies erhöht das Vertrauen in eurem Verein.

Wie ist die Einwilligung zur Datenbearbeitung von Vereinsmitgliedern einzuholen?

Die Einwilligung ist nur in bestimmten Fällen notwendig. Sofern eine Einwilligung erforderlich ist, muss diese freiwillig erfolgen und das Mitglied ist vorab angemessen über die Datenbearbeitung zu informieren. Dies kann beispielsweise mittels eines Anmeldeformulars geschehen, das auf eine Datenschutzerklärung verweist, und mit der die Einwilligung durch Unterschrift oder digital durch Aktivieren einer Checkbox erfolgt.

Welche Schritte müssen Vereine unternehmen, um Datensicherheit zu garantieren?

Vereine sind angehalten, angemessene technische und organisatorische Massnahmen zu treffen, um die Sicherheit der bearbeiteten Daten zu wahren. Dazu zählen unter anderem die sichere Aufbewahrung der Daten, die regelmässige Aktualisierung von Software sowie die Durchführung von Schulungen für die Vorstandsmitglieder und die Mitarbeiter des Vereins.

Über welche Rechte verfügen Mitglieder hinsichtlich ihrer Daten?

Mitglieder besitzen das Recht, Auskunft über ihre gespeicherten Personendaten zu erhalten, Korrekturen zu beantragen, die Löschung ihrer Daten zu verlangen und unter bestimmten Umständen einer Datenbearbeitung zu widersprechen.

Zur News-Übersicht

ClubDesk-Partner Deutschland

Deutscher Tennis Bund Logo

Als größter Tennisverband der Welt empfiehlt der Deutsche Tennis Bund, ClubDesk für die Vereinsverwaltung zu verwenden. Mehr >

Niedersächsischen Turner-Bund Logo

Nach Evaluation mehrerer Vereinssoftware-Lösungen hat sich der Niedersächsische Turnerbund aus Hannover für ClubDesk entschieden: „Wir empfehlen ClubDesk als eine sehr gute Lösung.“. Mehr >

Sport-Thieme Logo

Deutschlands Nr. 1 im Versand­handel für Sportgeräte empfiehlt all seinen Kunden ClubDesk als Vereinssoftware. Mehr >

Volksbank eG Logo

"Volksbank eG – Die Gestalterbank" empfiehlt allen Kunden ClubDesk im Rahmen ihres Mehrwertprogramms für Vereine. Mehr >

Kneipp-Bund Logo

Kneipp aus Bad Wörishofen – die größte unabhängige, private Gesundheitsorganisation Deutschlands empfiehlt ClubDesk. Mehr >