In Kürze tritt in der Schweiz das neue Datenschutzgesetz in Kraft. Der Stichtag 1. September 2023 bedeutet auch für StiftungSchweiz einige grössere Änderungen, die nicht über Nacht umgesetzt waren. In diesem Beitrag zeigen wir Ihnen, welche Vorbereitungen wir unternommen haben und wie Datenschutz bei StiftungSchweiz praktisch umgesetzt wird. Wir möchten Ihnen zudem aufzeigen, dass Datenschutz kein blosses Schlagwort, sondern eine Haltung ist, die StiftungSchweiz aktiv lebt. Es ist uns ein Anliegen, durch eine sorgfältige Vorbereitung den Datenschutz für unsere Nutzer:innen effektiv zu gewährleisten.
Vorbereitung und ein Aussenblick
Um sicherzustellen, dass wir bei unseren Bemühungen auf die richtigen Elemente fokussieren, haben wir bereits im vergangenen Herbst eine externe Prüfung durchführen lassen. Ein Experte hat unser Dateninventar und unsere Datenbearbeitung im Lichte der europäischen Datenschutzbestimmungen begutachtet und festgestellt, dass das Risiko gemäss dieser Datenschutzfolgenabschätzung generell nicht als hoch einzustufen sei.
Durch diese Prüfung wurden auch die Lücken aufgedeckt, die es mit Blick auf die neuen Bestimmungen zu füllen galt – damit war unsere To-Do-Liste gut gefüllt. Die für den Datenschutz wichtige Grundsatzfrage, ob besonders schützenswerten Personendaten wie beispielsweise genetische und biometrische Daten bearbeitet werden, kann frühzeitig beantwortet werden. Gleichzeitig hat die erste Einschätzung uns aber auch geholfen, die Umsetzung des Datenschutzes mit Augenmass anzugehen und abschätzen zu können, wo der Vorbereitungsaufwand kleiner, wo er grösser sein würde.
Beim Datenschutz ist ein Aussenblick immer eine gute Idee – eine punktuelle Begleitung reicht aber meist, und Angebote sind leicht zu finden. Bei Bedarf unterstützt Sie ein Experte auch bei der Erstellung oder Überarbeitung von Datenschutzdokumenten wie der Datenschutzerklärung, zudem gibt es spannende Angebote wie das Datenschutz Self Assessment Tool (DSAT) oder den Datenschutzgenerator von Datenschutzpartner im Netz, doch dazu später.
Datenleitbild: Ethik als Grundlage für datengetriebene Entscheidungen
Wir haben uns entschieden, zuerst einen Schritt zurückzumachen. Denn unabhängig von den Pflichten, welche das Datenschutzgesetz mit sich bringt, ist jetzt die perfekte Gelegenheit, sich grundsätzliche Gedanken zum Umgang mit Daten zu machen.
Im März dieses Jahres haben wir deshalb in einem Datenleitbild unseren allgemeinen Umgang mit Daten definiert. Es dient als Leitfaden für datengetriebene Entscheidungen. Dieses Dokument unterstreicht unsere Verantwortung gegenüber unseren Nutzer:innen und Stakeholdern und zeigt, dass Datenschutz für uns nicht nur eine Pflicht, sondern eine Herzensangelegenheit ist. Das Leitbild ist kein zwingendes Element des Datenschutzes, aber ein sinnvolles und hilfreiches – und damit wärmstens zur Nachahmung empfohlen (lassen Sie uns wissen, falls wir Sie dabei begleiten dürfen).
Im Kern: das Inventar der Daten und Datenverarbeitungen
Ein zentraler Eckpfeiler und meist der Startpunkt der Beschäftigung mit dem Datenschutz ist das Dateninventar:
Eine sorgfältige Vorbereitung beginnt mit einer umfassenden Inventarisierung der gesammelten Daten und der Bearbeitungsvorgänge, die mit diesen Daten stattfinden. Identifizieren Sie alle Datenkategorien, die Sie verarbeiten, und dokumentieren Sie den Umfang sowie den Zweck der Datenverarbeitung in Ihrem Unternehmen. Dazu gehört auch die beim Datenschutz wichtige Frage, wer auf diese Daten als Empfänger:in Zugriff erhält. Halten Sie zudem fest, welche Software sie pro Kategorie einsetzen – auf diesen Punkt kommen wir noch zurück.
Für StiftungSchweiz haben wir 15 Kategorien von Datenbearbeitungen definiert, die in einem ausführlichen Dokument von über 20 Seiten festgehalten sind. Kategorien sind beispielsweise die Personaladministration, unsere Kundendatenverwaltung oder der Kundensupport, aber auch die elektronische Vertragsunterzeichnung oder die Dokumentenablage, die in unserem Fall über Microsoft Office 365 bewerkstelligt wird. Die Wahl der Kategorien ist etwas Denkarbeit, denn es sollten so wenig Kategorien wie möglich und so viele wie nötig werden – und nötig wird eine zusätzliche Kategorie in der Regel eben erst dann, wenn mit Blick auf die betroffenen Daten, Empfänger:in oder verwendete Software ein Spezialfall sichtbar wird.
Wenn keine besonders schützenswerten Personendaten bearbeitet werden und kein Profiling mit hohem Risiko durchgeführt wird, müssen in der Schweiz nur Unternehmen und Organisationen mit 250 Mitarbeitenden oder mehr ein Inventar über sämtliche Bearbeitungen führen. Der Aufwand lohnt sich aber auch für kleinere Unternehmen: Die detaillierte Inventarisierung ermöglicht ein tiefes Verständnis der Art und Weise, wie Daten gesammelt, gespeichert und verwendet werden. Nur dadurch können wir sicherstellen, dass kein wesentliches Detail übersehen wird und alle Daten gemäss einem angemessenen Datenschutzstandard behandelt werden. Und das, so denken wir bei StiftungSchweiz, ist auch mit nur einem Dutzend Mitarbeitenden klar unser Anspruch.
Anspruchsvoll, aber entscheidend: die Folgeabschätzung
Auf Basis des Inventars gilt es anschliessend, pro Kategorie eine Datenschutzfolgenabschätzung durchzuführen, um potenzielle Risiken für die Privatsphäre zu identifizieren und Massnahmen zur Minimierung dieser Risiken zu entwickeln. Besonders bei umfangreichen Datenverarbeitungen ist dies eine entscheidende Massnahme, die auch von Online-Tools unterstützt wird, zum Beispiel durch das Open Source Privacy Impact Assessment PIA des französischen Anbieters CNIL.
Wir haben für diesen Schritt auf die hilfreiche Templatesammlung des ebenfalls kostenlos zugänglichen «Datenschutz Selfassessment Tools DSAT» zurückgegriffen. Denn viele Elemente des Schweizerischen Datenschutzes funktionieren nach dem Prinzip der Selbst-Deklaration. Mit anderen Worten: Jede:r muss selbst entscheiden, wie genau er:sie es nimmt und welchen Anspruch er:sie hat, ist aber auch selbst für seine:ihre Deklaration und Einschätzung verantwortlich. Die Formulare von dsat.ch erlauben dabei auch sehr pragmatische Einschätzungen. Sie sind übrigens kostenlos, weil der Autor und Jurist David Rosenthal der Überzeugung ist, dass der Datenschutz in der Schweiz kosteneffizient und vor allem vernünftig betrieben werden sollte – eine Überzeugung, die wir auch bei StiftungSchweiz vertreten.
Anhand des Inventars wird anschliessend auch die technische Infrastruktur auf Datenschutzkonformität und Sicherheitslücken geprüft. Es gilt, geeignete Sicherheitsmassnahmen wie Verschlüsselung, Zugriffskontrollen und regelmässige Sicherheitsupdates zu definieren, um die Integrität und Vertraulichkeit der Daten zu gewährleisten. Diese Massnahmen können entweder generell für das Unternehmen festgeschrieben werden, oder auch nur für einzelne Kategorien. Zudem schafft die im Inventar enthaltene Liste der eingesetzten Software den nötigen Überblick für die Frage, wo Daten gespeichert und bearbeitet werden. Pro Software sollten Sie nämlich wissen, ob dies in der Schweiz oder innerhalb des Europäischen Wirtschaftsraums geschieht, oder ausserhalb und damit in der Regel in den USA. Wir kommen auf diesen Punkt noch zurück.
Datenschutzweisung: Schulung für umfassendes Bewusstsein
Der Unterschied vom neuen zum alten Datenschutzgesetz liegt vor allem bei der Konsequenz der Umsetzung – und der Durchsetzung. Das heisst: In der Schweiz ist die Bearbeitung von Daten bei einer entsprechenden Deklaration und aktiven Kommunikation an die Betroffenen weiterhin in den meisten Fällen rechtens. Werden Daten jedoch über den eigentlichen Zweck hinaus gesammelt, werden sie unsachgemäss gespeichert oder ungenügend geschützt oder wird der Datenschutz ganz einfach nur behauptet, aber nicht umgesetzt, dann gilt es künftig ernst. Und zwar, anders als etwa in Deutschland, vor allem für das Management und die Geschäftsführung persönlich. Im Falle von StiftungSchweiz ist das der CEO – und Autor dieses Blogposts.
Bei einem unzureichenden Datenschutz fällt der erste Verdacht oft auf technische Lücken (auf die wir noch zu sprechen kommen). Ebenso entscheidend ist aber der Faktor Mensch. In vielen sogenannten Datenschutzvorfällen, bei denen der Datenschutz also verletzt wurde, war der Auslöser nicht ein technisches, sondern ein menschliches Versagen.
Wir sind der Überzeugung, dass Datenschutz nicht nur auf dem Papier existieren sollte. Deshalb haben wir eine Datenschutzweisung entwickelt, die nicht nur präzise und klar ist, sondern auch von allen Mitarbeitenden verstanden wird. Die Schulung unserer Mitarbeitenden ist ein zentraler Baustein, um das nötige Bewusstsein für den Datenschutz zu schaffen: Eine erste Runde hat stattgefunden und weitere werden folgen. Dies trägt dazu bei, dass ALLE Mitarbeitenden in unserer Organisation verantwortungsbewusst mit Daten umgeht und Datenschutz zu einer gelebten Kultur wird. Übrigens haben die Datenschutzweisung direkt in unsere Allgemeinen Anstellungsbedingungen integriert, so dass sie einen integralen Bestandteil der Arbeitsverträge bilden.
Software: Unsere Auftragsbearbeiter
Neben der Schulung der Mitarbeitenden ist vor allem eine weitere Frage für eine sorgsame Umsetzung des Datenschutzes entscheidend: die Wahl der Software, die Sie zur Bearbeitung Ihrer Daten einsetzen. Im Verständnis des Datenschutzes findet dabei oft ein sogenanntes Outsourcing statt und der Anbieter der Software ist dann ein sogenannter Auftragsbearbeiter – und weil heutzutage meist eine ganze Flotte von verschiedenen Tools und Lösungen im Einsatz sind, gibt es auch eine lange Liste von Auftragsbearbeitern.
Und auch Auftragsbearbeiter nimmt das Datenschutzgesetzt in die Pflicht. Zu jedem Auftragsbearbeiter ist nämlich ein sogenannter Auftragsverarbeitungsvertrag AVV fällig (oft auch Englisch: Data Processing Agreement DPA). Die meisten seriösen Anbieter stellen diesen Vertrag übrigens direkt auf ihrer Webseite zur Verfügung. Falls Daten ausserhalb der Schweiz oder des Europäischen Wirtschaftsraumes (sowie einiger sogenannt sicheren Drittstaaten) gespeichert werden, wird es noch etwas komplizierter. Das ist besonders bei Software der Fall, welche die Daten in den USA speichern. Dann muss ein angemessener Schutz über sogenannte Standarddatenschutzklauseln erstellt werden, deren Beschaffung sich etwas aufwändiger gestalten kann. Auch hier gilt: Bei seriösen Anbietern aus den USA werden diese automatisch eingesetzt, allerdings nicht immer mit ausdrücklichem Bezug auf die Schweiz. Mit dem neuen Data Privacy Framework DPF wird dieser Punkt zudem in Kürze auch aus schweizerischer Sicht an Brisanz verlieren.
Transparente Datenschutzerklärung: Verständliche Kommunikation nach aussen
Last but not least macht der Datenschutz eine präzise, aber auch klare und verständliche Datenschutzerklärung auf der Website erforderlich. Das ist in unserem Fall leichter gesagt als getan, da wir für ein gutes Nutzererlebnis unserer Website eine grössere Zahl von Diensten einsetzen, wie dies bei jeder modernen Plattform heute der Fall ist. Wir haben uns deshalb auf den von Steiger Legal, der Anwaltskanzlei von Rechtsanwalt Martin Steiger, mitentwickelten Datenschutz-Generator verlassen, der einem gegen ein kleines Entgelt eine solche Datenschutzerklärung generiert. Einerseits stellt dieses Vorgehen sicher, dass wir keine Datenbearbeitung vergessen haben und unsere Nutzer:innen vollständig darüber in Kenntnis setzen, was mit ihren Daten geschieht. Andererseits ist die Erstellung eines solchen Dokuments auf dem nötigen Präzisionslevel für Nicht-Jurist:innen schlicht nicht realistisch.
Übrigens: in der Schweiz sind gemäss Einschätzung namhafter Jurist:innen weiterhin keine Cookie-Banner erforderich. Diese sind weiterhin nur zwingend, wenn das europäische Telekommunikationsrecht eingehalten werden muss oder wenn man freiwillige Auswahlmöglichkeiten anbieten möchte. Da stiftungschweiz.ch auf den Schweizer Markt ausgerichtet ist und im Datenleitbild bereits eine sorgfältige Abwägung vornimmt, stellen wir uns auf den Standpunkt, dass dies für uns nicht nötig ist.
Checkpoint Datenschutz: Wo stehen Sie?
Die sorgfältige Vorbereitung von StiftungSchweiz auf die neuen Datenschutzbestimmungen macht deutlich, dass wir Datenschutz nicht als Mühsal, sondern als Chance sehen. Wir sind bereit, unsere Datenschutzpraktiken stetig zu verbessern und auf diese Weise eine vertrauensvolle Basis für unsere Organisation und unsere Stakeholder zu bauen.
Ebenso sind wir bereit, unser gesammeltes Wissen über Datenschutz und die nötigen Massnahmen auch an gemeinnützige Organisationen weiterzugeben. Unser neuer Service «Checkpoint Datenschutz» unterstützt Sie dabei, allfälligen Handlungsbedarf zu erkennen und die wichtigsten Massnahmen einzuleiten. Wir unterstützen Sie bei der Ausgestaltung Ihrer Datenschutzweisung ebenso wie beim Aufbau eines Inventars der Datenverarbeitungen und machen Ihnen den Start mit Templates einfach. An diese Templates stellen wir hohe Anforderungen, weil wir sie auch für uns selbst einsetzen. Auch für die Erarbeitung ihrer Schulungsunterlagen unterstützen wir Sie gerne.
Und unser Fazit? In einem Satz: der Prozess war anspruchsvoll, aber lehrreich und sehr anregend. Wir haben viel gelernt und wissen, dass wir auch weiterhin viel lernen werden, wenn wir künftig Schwachstellen erkennen und unser Datenschutz optimieren. Uns ist bewusst geworden, dass wir zwar einen soliden Datenschutz implementiert, aber gleichzeitig auch noch viel Potenzial für Verbesserungen haben. Zum Beispiel wollen wir die Zahl der eingesetzten Tools tendenziell reduzieren, statt laufend zu erweitern – und gleichzeitig das Nutzungserlebnis kontinuierlich verbessern. Das ist schon fast die Quadratur des Kreises. Auch regelmässige Schulungen sind übrigens unerlässlich, um das Bewusstsein für Datenschutzfragen zu schärfen, Mitarbeitende stets auf dem aktuellen Stand zu halten und sie zudem zu Kompliz:innen zu machen, die ihrerseits Potenziale für Verbesserungen identifizieren und selbständig vorschlagen. Denn nur wenn Datenschutz aktiv gelebt wird, kann er effektiv wirken. Daten sind ein wertvolles Gut, das wir bei StiftungSchweiz schützen wollen – und zwar ganz unabhängig von den gesetzlichen Bestimmungen, die wir selbstverständlich einhalten wollen. Indem wir kontinuierlich daran arbeiten, unseren Datenschutz zu verbessern, schaffen wir gleichzeitig das Vertrauen unserer Kundinnen, Partner und Nutzenden. Denn davon lebt ein Online-Portal wie stiftungschweiz.ch.