Datenschutz
Frage
Was gibt es zur Aufbewahrungspflicht von Mitgliederdaten zu beachten? Müssen wir z.B. Rechnungen für gestellte Jahresbeiträge anonymisieren?
Antwort
Daten müssen gelöscht werden, sobald sie zur Bearbeitung nicht mehr erforderlich sind und keine gesetzliche Aufbewahrungspflicht besteht. Solange noch offene Forderungen oder z.B. ein Rechtsstreit bestehen, müssen die Daten nicht gelöscht werden. Weiter besteht etwa im Bereich der Buchführung eine 10-jährige Aufbewahrungspflicht für Jahresberichte, Jahresrechnungen, Buchungsbelege und Revisionsberichte (vgl. Art. 958f OR). Enthalten solche Dokumente Personendaten, dürfen sie erst nach Ablauf der Frist gelöscht werden. Neuerdings müssen Vereine, die zur Eintragung im Handelsregister verpflichtet sind, ein Mitgliederverzeichnis führen. Sie müssen die Angaben über jedes Mitglied während fünf Jahren nach dem Austritt des Mitglieds aufbewahren (vgl. Art. 61a ZGB).
Frage
Vereine nehmen eine Zunahme der Auskunftsersuchen über die Datenbearbeitung wahr. Was ist dabei zu beachten?
Antwort
Die Auskunftspflicht wurde ebenfalls neu geregelt. Die Vereine sollten sich darauf vorbereiten und den Ablauf bei Auskunftsersuchen definieren. Zunächst muss die Identität der Auskunft ersuchenden Person ermittelt werden (z.B. mittels ID). Danach muss der Person mitgeteilt werden, welche Daten über sie zu welchen Zwecken bearbeitet werden, wie lange diese aufbewahrt werden und woher die Daten stammen. Gegebenenfalls ist mitzuteilen, welche Empfänger:innen welche Daten erhalten (z.B. Dachverband, Druckerei usw.). Die Auskunft sollte in der Regel schriftlich innert 30 Tagen kostenlos erteilt werden.
Frage
Darf bei einer brieflichen Abstimmung gefordert werden, dass die Mitglieder mit Vorname, Name und Unterschrift antworten müssen?
Antwort
Sie müssen sicherstellen, dass nur berechtigte Personen an der Abstimmung bzw. an den Wahlen teilnehmen. Deshalb ist es richtig, dass die abstimmenden Personen identifiziert werden können. Bei der Auszählung kann dann eine unabhängige Person diese Wahlzettel zählen und die Resultate werden ohne Zuordnung der Stimmenden erfasst. Wenn Sie eine volle Anonymität z.B. bei Wahlen sicherstellen wollen, müssten Sie separate Stimmausweise erstellen, die mit dem Abstimmungs- bzw. Wahlzettel zurückgeschickt werden müssen (analog politische Wahlen). Dieses Vorgehen würden wir empfehlen, wenn eine Wahl sehr umstritten ist.
Frage
Wie viele Vereine kommunizieren wir über Email, Chat-Tools, elektronische Newsletter und digitale Ablagen. Wie wissen wir als Vorstand, welche digitalen Tools datenschutzrechtlich unbedenklich sind?
Antwort
Der Vorstand muss die Seriosität der Anbieter prüfen und sich vergewissern, dass sie die Datensicherheit gewährleisten (falls der Anbieter Personendaten des Vereins im Rahmen eines Auftrags bearbeitet, z.B. bei einer Cloud-Lösung). Dies tut der Vorstand durch Nachfragen beim Anbieter. Evtl. verfügt der Anbieter auch über bestimmte Qualitätslabels bzw. Zertifizierungen im Bereich des Datenschutzes. Ein Verein muss den Anbieter vertraglich in die Pflicht nehmen, d.h. sich zusichern lassen, dass seriös, sicher und vertraulich mit den Daten umgegangen wird.
Frage
Braucht es wegen dem neuen Datenschutzgesetz eine Anpassung der Statuten?
Antwort
Wir empfehlen, dass Vereine bei einer nächsten Statutenrevision einen Artikel zum Thema Datenschutz aufnehmen. Darin wird geregelt, wie der Verein mit Daten umgeht und wie resp. in welchen Fällen z.B. die zweckmässige Weitergabe von Mitgliederdaten an die anderen Mitglieder erlaubt ist. Zur Unterstützung gibt es in den vitamin B Musterstatuten neu den Art. 13 zum Datenschutz mit Musterformulierungen und Kommentaren: vitaminb.ch/vereinswissen/arbeitshilfen
Frage
Das neue Datenschutzgesetz ist in Kraft. Was müssen Vereine beachten?
Antwort
Das neue Datenschutzgesetz enthält keine spezifischen Bestimmungen für Vereine. Sie müssen aber die zahlreichen neuen Pflichten und Vorgaben des Gesetzes einhalten. Die wichtigste Neuerung ist die Ausweitung der Informationspflicht. Bei der Erhebung von Personendaten müssen Vereine die betroffenen Personen darüber informieren, welche Daten erhoben und zu welchen Zwecken sie bearbeitet werden. In der Praxis wird dieser Informationspflicht in der Regel mit einer Datenschutzerklärung auf der Website nachgekommen.
Frage
Unser Verein ist jetzt auch auf Facebook. Um die Seite attraktiv zu gestalten, möchten wir Fotos von unseren Aktivitäten ins Netzt stellen. Manchmal sind da gut erkennbare Personen abgebildet. Müssen diese angefragt werden? Die Bilder auf unserer Facebookseite können ja nur von „Freunden" angeschaut werden.
Antwort
Fotos gehören zu den schützenswerten Personendaten und dürfen grundsätzlich nur mit Einwilligung der abgebildeten Personen verwendet werden. Auch wenn man auf Facebook die Zugänglichkeiten einschränken kann, ist es trotzdem ein offenes Medium, dessen Reiz ja gerade darin besteht, dass immer mehr Personen immer mehr Einblicke gewinnen. Zudem ist ein Verein ja daran interessiert, möglichst viele „Freunde" zu haben.
Ich rate deshalb, keine Fotos ohne Einwilligung der betreffenden Personen zu veröffentlichen. Die Anfrage an die Vereinsmitglieder bietet gleichzeitig die Gelegenheit, mit diesen in Kontakt zu treten.
Generell sind Aufnahmen zu verwenden, auf denen die Menschen nur bedingt oder in einer Menge erkennbar sind. Weiter sollen die Fotos nicht mit dem Namen der Abgebildeten versehen werden und keine Bilder verwendet werden, die persönlichkeitsverletzend sind oder Rückschlüsse auf religiöse oder politische Einstellungen zulassen, Drogenkonsum oder kriminelle Handlungen zeigen, Sozialhilfebezug dokumentieren, etc.
Selbstverständlich sind Bilder auf Antrag der Abgebildeten sofort zu löschen.
Frage
Ein Mitglied möchte eine ausserordentliche Mitgliederversammlung einberufen und hat uns darum gebeten, ihm die Kontaktdaten aller Mitglieder auszuhändigen. Dürfen wir das?
Antwort
Wenn ein Fünftel (resp. je nach Statuten weniger) der Mitglieder eine ausserordentliche Mitgliederversammlung verlangt, muss der Vorstand diese einberufen. In der Praxis bedeutet dies, dass die vereinsinterne Weitergabe von Mitgliederdaten in diesem Fall erlaubt ist, da sie zur Ausübung von Mitgliedschaftsrechten benötigt werden, nämlich zur Einberufung einer ausserordentlichen Mitgliederversammlung (Art. 64 Abs. 3 ZGB). In diesem Fall sollten aber nur so viele Daten herausgegeben werden, wie zur Ausübung dieses Rechts wirklich nötig ist (z.B. Namen und Adressen). Die weitergegebenen Daten dürfen vom Mitglied einzig für diesen Zweck genutzt und müssen anschliessend vernichtet werden, worauf das entsprechende Mitglied ausdrücklich hinzuweisen ist. Alternativ zur Herausgabe der Daten kann der Vorstand anbieten, die Informationen im Namen des Mitglieds an die anderen Mitglieder zu verschicken.
Frage
Wer ist in unserem Verein für den Datenschutz zuständig?
Antwort
Ein Verein verfügt über viele Personendaten, hauptsächlich seiner Mitglieder. Damit muss er sorgfältig umgehen. Der Vereinsvorstand trägt die
Verantwortung für den datenschutzkonformen Umgang mit diesen Daten. Er ist namentlich dafür verantwortlich, dass der Verein über eine Datenschutzerklärung verfügt und die Mitgliederdaten konsequent vor Missbräuchen schützt.