Datenschutzrevision – Unsicherheit in der Schweiz

Darum geht's: Fundraising, Schweiz, DSGVO, Datenschutz, DSG

Geht es um den Datenschutz, haben Schweizer Organisationen mit administrativem Mehraufwand zu kämpfen, da sie zwei unterschiedliche Regularien beachten müssen – zum einen die DSGVO und zum anderen das nicht revidierte DSG der Schweiz. Was bedeutet das in der Praxis, was muss beachtet werden und wo kann man sich als Fundraiser informieren?

Der Bundesrat der Schweiz stellte Anfang Mai 2018 fest, dass die aktuelle Situation Rechtsunsicherheit schaffe. Die Schweiz hinke mit ihren Bemühungen um eine Revision des Schweizer Bundesgesetz über den Datenschutz (DSG) um Jahre hinterher. Damit gemeinnützige Organisationen den grenzüberschreitenden Datenaustausch gewährleisten können, empfiehlt proFonds, der schweizerische Dachverband der gemeinnützigen Stiftungen und Vereine, fundiert abzuklären, ob sie in den Anwendungsbereich der EU-DSGVO fallen.

Swissfundraising, der Berufsverband für Fundraiser, veröffentlichte im April 2018 ein Praxis-Handbuch zur Revision der europäischen und schweizerischen Datenschutzgesetze – ein kommentierter Katalog von Fallbeispielen aus NPO und Fundraising in Zusammenarbeit mit der Wirtschaftskanzlei Homburger. „Das Praxis-Handbuch ist als Orientierunghilfe für Schweizer Organisationen gedacht – damit sie sich frühzeitig und strukturiert vorbereiten und möglichst effektiv handeln können“, so Ruth Wagner, Swissfundraising-Vorstand.

DSGVO und DSG

Die DSGVO ist eine Verordnung der Europäischen Union (EU) und seit dem 25. Mai 2018 in Kraft, mit der neue Bestimmungen zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht werden zum Schutz personenbezogener Daten innerhalb der EU. Die DSGVO greift ebenso auf Organisationen und Unternehmen mit Sitz in Drittstaaten wie der Schweiz (DSGVO Art. 3 Abs. 2 Bst. a und Abs. 2 Bst. b).

Auch wenn der neue Schweizer Datenschutz (DSG) aller Wahrscheinlichkeit erst 2019 verabschiedet wird – mit einer Umsetzungsfrist von zwei Jahren –, die Richtlinien der DSGVO sind von zahlreichen Schweizer Organisationen umzusetzen, wenngleich in ähnlicher aber oftmals abgeschwächter Form.

Wen die DSGVO betrifft

Schweizer Organisationen fallen in den Anwendungsbereich, wenn sie eine (Zweig-)Niederlassung oder Tochtergesellschaft in einem EU- oder EWR-Land haben oder Dienstleistungen oder Produkte offensichtlich an Personen aus der EU bzw. dem EWR anbieten. Laut des Praxis-Handbuchs von Swissfundraising ist das Entgegennehmen von Spenden keine Dienstleistung.

Alle Schweizer Organisationen müssen prüfen und entsprechende Anpassungen vornehmen, wenn sie durch Datenverarbeitung das Verhalten von Personen aus der EU/dem EWR beobachten. Hierunter fallen Internetaktivitäten zur Profilerstellung wie Profiling oder Tracking, um persönliche Vorlieben und Verhaltensweisen zu analysieren.

Wenn eine Schweizer Organisation mit Dienstleistern aus der EU zusammenarbeitet und die Dienstleister im Auftrag der Organisation personenbezogene Daten einsehen oder verarbeiten, unterliegen sie als Auftragsbearbeiter (Schweizer Begriff) der DSGVO. „Auch wenn beispielsweise der Provider, der im Auftrag einer Organisation Personendaten bearbeitet, im EWR ist, muss er einen Auftragsdatenbearbeitungsvertrag abschließen, der den Anforderungen von Artikel 28 DSGVO entspricht, das heißt bestimmte im Gesetz definierte Punkte regelt. Seit 20. Juli 2018 gilt die DSGVO auch im EWR, so auch in Liechtenstein“, betont David Rosenthal, Konsulent bei der Homburger AG.

DSGVO und E-Privacy

Neben der DSGVO wird auch immer die E-Privacy-Verordnung (ePV) genannt, die den Umgang mit personenbezogenen Daten und Nutzerprofilen in der elektronischen Kommunikation regelt (Permission Marketing). Diese Verordnung soll die DSGVO ergänzen, wird aber vom EU-Parlament erst Ende 2018 oder 2019 verabschiedet und nach einer zweijährigen Übergangsfrist wirksam in Kraft treten. Bis dahin bestehen in der Schweiz wie auch in der EU weiterhin die klassischen Datenschutzgesetze. Für die Schweiz gelten:

• Transparenz und Pflicht zur Information, Widerspruchs- und Löschfrist über das Schweizer Datenschutzrecht (DSG)
• Einwilligung bei elektronischer Werbung, Impressumspflicht bei Online-Shops über das UWG (Gesetz gegen den unlauteren Wettbewerb)
• Pflicht zur Information beim Einsatz personenbezogener Cookies/Geo-Daten/Webbugs über das FMG (Fernmeldegesetz)
• In der EU decken im Allgemeinen E-Privacy-Richtlinien (bald E-Privacy-Verordnung) Regelungen aus dem UWG, FMG, TMG ab.

Sanktionen eher die Ausnahme

Im Vergleich zur DSGVO sind Einwilligungen nach Schweizer Recht geradezu moderat. So dürfen in der Schweiz Kästchen vorangekreuzt sein, Double-Opt-In ist keine Pflicht – wobei immer mehr Organisationen dazu übergehen, dies umzusetzen, um Missbräuchen vorzubeugen. In der Schweiz sind nicht-personenbezogene Statistiken erlaubt, es besteht lediglich eine Informationspflicht bei personenbezogenen Cookies. In der EU braucht es hingegen die Einwilligung bei permanenten Cookies.

Eine gänzliche Übernahme der europäischen Richtlinien wird wohl für die Schweiz nicht notwendig sein. „Und an den Grundsätzen der Datenbearbeitung ändert sich nichts. Neue Datenschutzgesetze verlangen mehr Dokumentation, Governance und Transparenz. Was die DSGVO verlangt, wird auch bald das Schweizer Recht verlangen. Sanktionen werden in der Schweiz aber die Ausnahme sein. Niemand kann den Datenschutz immer einhalten – daher ‚risikobasiert‘ handeln“, so David Rosenthal. In der EU als auch in der Schweiz bleibt die Eigenverantwortung jeder einzelnen Person zentral.

Weitere Informationen zur DSGVO gibt es bei Sozialmarketing.de. proFonds hat für seine Mitglieder eine Checkliste und eine Musterdatenschutzerklärung erstellt. 

Text: Katja Prescher
Foto: mirpic/Fotolia.com

Der Artikel ist in der Ausgabe 5/2018 des Fundraiser-Magazins erschienen.