Non-Profit-Organisationen, die über Social Media-Kanäle und Websites Spenden akquirieren und Personendaten gewinnen, müssen bereits diverse Datenschutz-Regeln beachten. In der Schweiz kommt es bald zu einer Verschärfung des Datenschutzes.
Im Rahmen des europäischen Datenschutztags vom 28. Januar 2020 plädierten die Datenschützer von Bund und Kantonen für einen besseren Schutz der Privatsphäre. Und sie machten Druck aufs Bundesparlament: Die seit 2017 laufende Revision des Schweizer Datenschutzgesetzes müsse in der kommenden Märzsession endlich über die Bühne.
Annäherung an EU-Datenschutz-Grundverordnung ist Pflicht
Aufgrund völkerrechtlicher Verpflichtungen muss die Schweiz die Datenschutzkonvention des Europarates erfüllen. Sie erfordert eine Orientierung an der EU-Datenschutz-Grundverordnung (EU-DSGVO). Eine Annäherung des Schweizer Datenschutzes ist wichtig, damit die Europäische Union die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt. Nur so bleibt die grenzüberschreitende Datenübermittlung ohne zusätzliche Vorkehrungen möglich. Das überarbeitete Datenschutzgesetz der Schweiz wird sich daher stark an der europäischen DSGVO und deren Prinzipien orientieren. Der Schutz des Individuums wird in der Schweiz voraussichtlich aber nicht so umfassend ausfallen.
Strafen gegen Verantwortliche bis zu 250 000 Franken
Gewisse Verfehlungen im Datenschutz sollen in der Schweiz neu mit Bussen bis zu 250’000 Franken bestraft werden können. Diese sind persönlich, d.h. gebüsst werden die in den Organisationen verantwortlichen Personen und nicht wie unter der DSGVO die Organisationen. Bei Vereinen ist das in der Regel der Vereinsvorstand oder bei Stiftungen der Stiftungsrat. Soweit eine Schweizer Organisation sich auf den EWR-Raum ausrichtet, kann es sinnvoll sein, zusätzlich zur schweizerischen Datenschutzverordnung auch die strengeren und weitergehenderen Regeln der EU zu befolgen.
Klare Verantwortlichkeiten und Pflichtenhefte sind zentral
Wichtig: Die Verantwortlichkeiten im Datenschutz müssen klar geregelt sein mit entsprechenden Pflichtenheften. Interne und externe Ressourcen für den Datenschutz müssen budgetiert werden. Es gilt zudem, entsprechende Schutzmassnahmen zu treffen und regelmässig über den Datenschutz zu rapportieren und Empfehlungen umzusetzen. Verletzungen der Datensicherheit sind so rasch als möglich dem EDÖB zu melden. Auskunfts- und Löschbegehren müssen in der Regel innert Monatsfrist erledigt werden. Mitarbeitende müssen zum Thema Datenschutz regelmässig geschult werden. Auf das neu vorgeschriebene Inventar der Datenbearbeitungen werden erfahrungsgemäss selbst kleine und einfach überblickbare Organisationen nicht verzichten können. Zudem wird die Pflicht zur Information der betroffenen Personen deutlich ausgebaut.
Datenschutz auch auf Online-Netzwerken befolgen
Online-Netzwerke wie Linkedin, Facebook, Instagram, aber auch Websites registrieren in der Regel jeden Klick, welcher ein Benutzer tätigt. Das bedeutet, dass diese Netzwerke bzw. Organisationen wissen, wer sich für was interessiert. Diese Informationen verkaufen sie zum Teil an Werbefirmen. Fundraiser, die eine Social Media-Plattform nutzen, sollten sich bewusst sein, dass sie mitverantwortlich für die mit einem Spendenaufruf auf diesen Plattformen erhobenen Daten sein können. Laut dem Schweizer IT-Juristen und Datenschutzexperten David Rosenthal ist einer der wichtigsten Punkte, dass die Benutzer laut dem neuen Schweizer Datenschutzgesetz darüber informiert werden müssen, ob anhand ihrer Angaben und Social-Media-Tätigkeiten, Profile über sie erstellt werden, durch wen und wie, damit sie entscheiden können, ob sie das wollen.
Zurückhaltung bei Amnesty International Schweiz
Beat Gerber von Amnesty International Schweiz kritisiert den Datenschutz auf Social Media-Plattformen: «Wir von Amnesty International Schweiz sind aus Datenschutzgründen beim Social-Marketing und Fundraising allgemein sehr zurückhaltend und nutzen die entsprechenden Möglichkeiten nicht umfassend. So setzen wir zum Beispiel keine Tracking-Pixel ein und werden neue Spendenfunktionen sorgfältig analysieren, bevor wir eine Verwendung in Erwägung ziehen.»
Beim Monitoring des Nutzerverhaltens Grenzen setzen
Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte sagt, dass beim Social Media-Monitoring gewisse Grenzen zu respektieren sind und nicht alles umgesetzt werden darf, was technisch möglich ist. Es ist eine Beschränkung auf die Analyse von öffentlichen Meinungen und Kommentaren vorzunehmen, um Trends und Entwicklungen aufspüren zu können. Auf eine Analyse oder Speicherung von personenbezogenen Daten ist zu verzichten.
Publikation auf Fundraiso.ch; Autor: Bernhard Bircher-Suits, FundCom
Tipps zum Datenschutz auf Websites und Social Media-Plattformen
- Organisationen orientieren sich mit Vorteil nicht nur an der Schweizerischen, sondern auch an der EU-Datenschutz-Grundverordnung.
- Alle Verfahren, welche Personendaten enthalten, sollten in einer Organisation bekannt und in den Grundzügen dokumentiert sein.
- Bei der Erfassung von Informationen mittels Social Media-Monitoring kommt es unweigerlich zur Bearbeitung von Personendaten. Diese ist jedoch auf das für die Auswertungszwecke nötige Minimum zu beschränken und so rasch wie möglich zu löschen oder zu anonymisieren.
- Die Resultate des Monitorings dürfen keine Rückschlüsse auf einzelne Personen mehr erlauben.
- Nichtöffentliche Daten aus geschlossenen Benutzergruppen resp. Freundeskreisen dürfen nicht einbezogen werden.
- Die Mitglieder von Social Media-Plattformen müssen darüber informiert werden, dass Monitoring-Tools eingesetzt bzw. Daten über sie erhoben werden, wie und von wem.
- Monitoring-Möglichkeiten nur einsetzen, wenn sie nachweislich DSGVO-konform sind.
- Fundraiser auf Social Media-Plattformen tragen eine Mitverantwortung für die Einhaltung der Datenschutzverordnung bzw. an den von den Online-Plattformen erhobenen Nutzerdaten.
- Auf eigenen Social Media-Auftritten sollten die Datenschutzrichtlinien der eigenen Organisation verlinkt sein.
- Beim Einsatz von Cookies, die nicht zwingend nötig sind (z.B. zwecks Tracking), sollte geprüft werden, ob eine Einwilligung der Benutzer nötig ist; informiert werden muss auf jeden Fall, inkl. Angaben zur Lebensdauer des Cookie und von wem es ggf. stammt.
- Auf swissfundraising.org finden Swissfundraising-Mitglieder ein Praxishandbuch zum Thema «Datenschutz im Fundraising».
[/smart_editor_module_wysiwyg]