Superheld im ClubDesk-Outfit fliegt durchs Wolken-Titelbild

Vereinswissen 18 Min. Lesezeit Andreas Kling

VereinswissenDatenschutzregelungen für Schweizer Vereine – Worauf ihr achten solltet

Ob Sportclub, Musikverein oder Kulturinitiative – wer Personendaten bearbeitet, unterliegt den gesetzlichen Pflichten des Schweizer Datenschutzgesetzes (DSG). Da in der Schweiz der gesamte Vorstand für die Einhaltung der Datenschutzvorschriften verantwortlich ist, gehört ein rechtssicherer Umgang mit Mitgliederdaten heute zur zentralen Managementaufgabe für jedes Vorstandsmitglied. Dieser Ratgeber bietet eine fundierte Übersicht, wie Personendaten gesetzeskonform erhoben, die Datensicherheit durch technische Massnahmen garantiert und Informationspflichten professionell erfüllt werden. Praxiserprobte Tipps unterstützen Vereine dabei, die Privatsphäre ihrer Mitglieder zu schützen und die Vereinsadministration datenschutzkonform für die Zukunft aufzustellen.

Das Wichtigste in Kürze

  • Interne Abläufe und Sicherheit: Vereine in der Schweiz sind angehalten, interne Abläufe zu definieren und umzusetzen, die die Datensicherheit und den Datenschutz sicherstellen und den Umgang mit allen Personendaten transparent gestalten. 
  • Aktualität und Zweckbindung: Es ist unerlässlich, regelmässig zu kontrollieren, ob Daten noch aktuell sind und auch wirklich noch gebraucht werden. Die Daten dürfen nur so lange wie nötig aufbewahrt werden, d.h. solange ein Zweck für die Bearbeitung besteht, und sind anschliessend sicher zu vernichten. 
  • Transparenz: Gestaltet den Umgang mit Personendaten transparent. Eure Mitglieder müssen wissen, welche Daten ihr sammelt und wofür (z.B. durch eine Datenschutzerklärung auf der Webseite oder im Beitrittsformular). 
  • Umgang mit sensiblen Daten: Bei der Bearbeitung von sensiblen Informationen wie Gesundheitsdaten oder Ethnie ist meist eine explizite Zustimmung der betreffenden Personen notwendig, die klar und eindeutig eingeholt werden muss.
  • Datenweitergabe und Dienstleister: Gebt ihr Daten an Dritte weiter (z.B. Dachverband, Druckerei)? Für die Weitergabe an einen Verband ist eine Grundlage in den Statuten oder eine Einwilligung der Mitglieder erforderlich. Bei externen Dienstleistern müsst ihr die Datensicherheit vertraglich absichern.
  • Verantwortlichkeiten und Schulung: Regelmässige Schulungen helfen dabei, ein Datenschutzbewusstsein zu etablieren. Anders als in der EU muss man in der Schweiz auch für grosse Vereine keine/n Datenschutzberater*in bzw. Datenschutzbeauftragte*n bestimmen. Es empfiehlt sich aber dennoch, intern eine Ansprechperson zu definieren sowie in der Datenschutzerklärung eine Kontaktmöglichkeit für Fragen zum Datenschutz zu nennen.
  • Bei der Vereinsgründung in der Schweiz empfiehlt es sich, den Datenschutz von Anfang an korrekt anzugehen, speziell in den Statuten. Die Ratgeber „Verein gründen“ und „Vereinsstatuten“ helfen euch massgeblich dabei, an alles Wichtige zu denken.
Ein Rentner erledigt Vereinsarbeit am Laptop

Korrekte Verwaltung von Mitgliederdaten

Ihr seid in der Schweiz gefordert, eurem Verein eine einfache und effiziente Verwaltung der Mitgliederinformationen, Sponsoren, Spender*innen, usw. zu ermöglichen und gleichzeitig den Datenschutz einzuhalten. Dabei ist es ausschlaggebend, eure internen Prozesse so auszurichten, dass Unberechtigte keinen Zugriff auf solche Daten haben, Helfer*innen und Mitarbeiter*innen des Vereins aber die notwendigen Daten einsehen oder bearbeiten können, die sie für ihre Aufgaben im Verein benötigen.

Nur notwendige Daten erheben

Beim Datenschutz gilt das Prinzip: So viel wie nötig, so wenig wie möglich. Ihr solltet daher nur diejenigen Daten eurer Mitglieder, Sponsoren, Spender*innen, usw. speichern, die ihr für die Erreichung des Vereinszwecks wirklich benötigt. Während Name, Adresse, Geburtsdatum, Lizenznummer und E-Mail für die Vereinsarbeit meist unerlässlich sind, solltet ihr auf das Sammeln von „Nice-to-have“-Informationen verzichten. Fragt euch bei jedem Datenfeld kritisch: Brauchen wir diese Information zwingend für die Mitgliederverwaltung, die Mitgliederrechnung oder den Spielbetrieb? Wenn ein Datum keinen klaren Verwendungszweck hat, darf es gemäss dem revidierten Datenschutzgesetz (DSG) gar nicht erst erhoben werden. Eine schlanke Datensammlung minimiert zudem das Risiko bei einem allfälligen Datenverlust und sorgt für mehr Übersicht.

Software-Tipp
Mit ClubDesk könnt ihr eure Mitglieder-Datenfelder ganz einfach selbst definieren und so sicherstellen, dass alle im Vorstand nur die Informationen erfassen, die für euren Verein relevant sind. So bleibt ihr gesetzeskonform, vermeidet unnötigen Datenballast und behaltet den Fokus auf die wirklich wichtigen Informationen.

Schutz vor Datendiebstahl

Um die Daten eurer Vereinsmitglieder gegen unbefugten Zugriff zu sichern, ist es wichtig, angemessene Prozesse zu implementieren, technische Sicherheitsmassnahmen zu ergreifen, und diese in den sogenannten technischen und organisatorischen Massnahmen (TOM) zu dokumentieren. Die Führung eines Bearbeitungsverzeichnisses ist in der Schweiz keine Pflicht (erst ab 250 Mitarbeitenden). Es ist aber trotzdem sehr zu empfehlen, ein Bearbeitungsverzeichnis zu erstellen, da es hilft, die Übersicht zu behalten. Ansonsten wird es schwierig, die gesetzlich geforderten Massnahmen wirklich umzusetzen.

Sollten Mitgliederdaten beispielsweise auf einem privaten Rechner gespeichert sein, dann ist es essenziell, Richtlinien zur Datensicherung festzulegen. Dies könnte bedeuten, dass die Festplatte verschlüsselt werden muss, oder der Computer automatisch in den Sperrmodus übergeht, wenn er einige Minuten nicht benutzt wird (um zu verhindern, dass jemand unbefugt Zugang erhält, falls der Computer etwa im Zug liegen gelassen wird). Oder es sollte festgelegt werden, dass auch Datensicherungen (Backups) verschlüsselt und sicher aufbewahrt werden sowie entsprechende Virenprogramme zu installieren sind.

Auch beim Versand von Mitgliederdaten per E-Mail, z.B. an den/die Vereinskassierer*in oder bei einem Amtswechsel, müssen sichere Übertragungswege gewährleistet sein. Hierfür sollten spezifische Prozesse definiert, regelmässig geschult und am besten auch dokumentiert werden. Im Falle eines Datenmissbrauchs solltet ihr nachweisen können, welche Sicherheitsmassnahmen ihr festgelegt habt und wie diese umgesetzt wurden.

Zugriffsbeschränkungen

In eurem Verein sollte jede Person nur diejenigen Mitgliederdaten sehen, die sie für ihre Arbeit wirklich braucht. Wenn jemand nur fürs Aktualisieren von Kontaktdaten zuständig ist, muss er/sie nicht wissen, wer seine Beiträge noch nicht gezahlt hat. Und Trainer*innen der Jugendmannschaft sollten natürlich nur Infos über diese Spieler*innen haben. Es darf auch nicht möglich sein, dass die Partnerin des Kassierers mal eben eine Excel-Liste öffnet und sieht, wer mit den Beiträgen hinterherhinkt.

Wenn jemand aus einem Vereinsamt ausscheidet, müsst ihr dafür klare Prozesse haben - zum Beispiel für das sichere Entfernen der Daten vom Computer der Person. Ausserdem solltet ihr genau dokumentieren, zu welchen Online-Diensten (wie zum Beispiel Dropbox, Google Docs oder die Vereinswebseite) die Person Zugang hatte und insbesondere dafür sorgen, dass die Zugänge bei einem Austritt entfernt werden.

Löschpflicht: Daten nach Vereinsaustritt entfernen

Personendaten dürfen nicht unbegrenzt oder „auf Vorrat“ gespeichert werden. Sobald ein Mitglied aus dem Verein austritt und die Daten für den ursprünglichen Zweck nicht mehr benötigt werden, müssen sie nach dem Schweizer Datenschutzgesetz Art. 6 Abs. 4 gelöscht werden.

Beachtet dabei aber die gesetzlichen Aufbewahrungsfristen für Rechnungen, Buchungsbelege, usw. (OR Art. 959 Abs. 1): Unterlagen für die Buchhaltung (wie Mitgliederrechnungen) müssen in der Schweiz 10 Jahre lang aufbewahrt werden.

Vereine, die im Handelsregister eingetragen sind, müssen gemäss Art. 61a Abs. 3 ZGB Mitgliederdaten 5 Jahre über den Austritt hinaus aufbewahren.

Tipp: Bestimmte Daten, wie Name, Eintritt, Austritt dürfen jedoch länger gespeichert werden, wenn dies in euren Statuten oder der Datenschutzerklärung ausdrücklich vorgesehen ist – etwa um die Vereinsgeschichte zu dokumentieren. Wollt ihr auch die E-Mail und Telefonnummer länger speichern, habt ihr die Möglichkeit, austretende Mitglieder aktiv zu fragen, ob sie in einer Liste ehemaliger Mitglieder verbleiben möchten, damit ihr sie künftig zu besonderen Anlässen wie Vereinsfesten und Ehemaligentreffen einladen oder für Sponsorenläufe kontaktieren könnt.

Software-Tipp
In ClubDesk lässt sich der Status eines Mitglieds einfach auf „Ehemalig“ setzen oder die Person mit einem Klick komplett löschen. Da alle Daten zentral an einem Ort liegen, müsst ihr bei der Löschung nicht mühsam verschiedene Listen bereinigen. So stellt ihr sicher, dass bei einem Austritt wirklich alle nicht mehr benötigten Daten zuverlässig und restlos entfernt werden.

Auskunft über Löschung von Daten

Ihr solltet immer genau Bescheid wissen und euren Mitgliedern auf Anfrage transparent machen können, welche persönlichen Daten ihr von ihnen speichert, wo diese gespeichert sind und zu welchem Zweck sie genutzt werden. Das geht am besten mit einer allgemeinen Datenschutzerklärung. Es ist wichtig, dass ihr klare Richtlinien festlegt, wer Zugriff auf welche Daten hat – darf die Chorleiterin beispielsweise die Anwesenheit bei Proben dokumentieren? Zudem müsst ihr im Griff haben, an welchen Orten alle Daten gespeichert sind und wie ihr vorgeht, wenn jemand die Löschung seiner Daten fordert, um sicherzustellen, dass diese wirklich restlos entfernt werden.

Software-Tipp

Der Datenschutz lässt sich mit einer modernen Komplettlösung wie ClubDesk wesentlich leichter bewerkstelligen als mit vielen verstreuten Einzelprogrammen. 

  • Eure Mitgliederdaten liegen sicher in einem professionellen Rechenzentrum, geschützt durch aktuelle Technologien (Firewalls, Backups, Einbruchschutz, TOMs). Dabei behaltet ihr jederzeit die volle Kontrolle über die Berechtigungen: 
  • Ihr legt individuell fest, wer welche Daten einsehen darf – egal ob Kassier*in, Trainer*in oder Präsident*in. Tritt jemand aus oder wechselt die Funktion, lässt sich der Zugriff auf vertrauliche Daten mit nur einem Klick sofort entziehen. 
  • Da alle Informationen zentral an einem Ort verwaltet werden, könnt ihr Personendaten bei Bedarf zudem in wenigen Sekunden restlos löschen.

Halter eure Datenschutzregeln entweder in den Statuten oder in einer Datenschutzerklärung fest. Eine Mustervorlage von VitaminB, wie das in den Statuten aussehen könnte, findet ihr im ClubDesk Vereinswissens-Ratgeber "Vereinsstatuten" im Kapitel "Vorlagen: Musterstatuten für euren Verein". Eine Mustervorlage für eine Datenschutzerklärung findet ihr in der Academy Library von SwissOlympic unter dem Titel "Mustervorlage Datenschutzerklärung"

Drei Männer schauen auf einen Laptop

Wann gilt EU-Recht für Schweizer Vereine?

Zwischen der europäischen DSGVO und der Schweizer DSG bestehen etliche Unterschiede. 

So müssen zum Beispiel grössere Vereine nach DSGVO eine/n Datenschutzberater*in bzw. Datenschutzbeauftragte*n ernennen und die Veröffentlichung von Fotos oder Videos von Mitgliedern wird anders gehandhabt.

Wenn ihr mit eurem Verein keine Personen in der EU ansprecht (etwa mit Werbung oder Vereinsveranstaltungen) und deren Verhalten nicht beobachtet, dann gilt nur das Schweizer Datenschutzrecht. 

Als Tipp gilt es, nachfolgende Punkte zu beachten:

  • Sprecht auf eurer Werbung, Webseite, Social Media Kanälen, usw. nicht gezielt Personen in der EU an (veröffentlicht also z.B. keine Mitgliederbeiträge oder Kursangebote in Euro statt in Schweizer Franken und bietet keine Lieferung von Waren in die EU an, z.B. Versand von Fanartikeln).
  • Wertet auf eurer Webseite nicht das Nutzerverhalten von Personen aus der EU aus (z.B. mit Google Analytics)

Sobald ihr aktiv Personen aus der EU ansprecht (z.B. wenn der Verein länderübergreifend aktiv ist) und deren Personendaten bearbeitet oder deren Verhalten im Internet verfolgt (Monitoring), gilt es, die DSGVO einzuhalten. Wenn ihr mehr zum Datenschutzrecht für Vereine wissen wollt, die der europäischen DSGVO unterliegen, könnt ihr euch den ClubDesk Vereinswissens-Ratgeber "Datenschutz im Verein – Deutschland und Österreich" durchlesen.

Implementierung der Datenschutzvorschriften

Datenschutz bedeutet mehr als nur die Sammlung von Einwilligungen. Es geht darum, aktiv zu steuern, welche Daten erhoben, wie und wie lange sie behalten und wie sie sicher vernichtet werden. Das geht aus dem Bundesgesetz über den Datenschutz (Art. 6 DSG) hervor. In eurem Verein solltet Ihr regelmässig überprüfen, ob die aufbewahrten Informationen noch benötigt werden und ob diese noch dem aktuellen Stand entsprechen. Eine ständige Beschäftigung mit den gespeicherten Daten und ein bewusstes Informationsmanagement sind für den Datenschutz unerlässlich.

Datenschutz bei vertraglichen Beziehungen

Nehmen Mitglieder Leistungen eures Vereins in Anspruch, indem sie beispielsweise an Proben oder Turnieren teilnehmen, ist die Bearbeitung und Speicherung der entsprechenden Daten zur Erfüllung der Mitgliedschaft (Vertrag) erforderlich und damit erlaubt (Art. 31a DSG). Achtet aber darauf, nur die notwendigen Informationen zu erfassen und diese nicht länger zu speichern als nötig. Auf diese Weise schützt Ihr die Mitglieder und stellt sicher, dass euer Verein die Anforderungen des DSG erfüllt.

Transparenz im Datenschutz

Es ist das Recht eines jeden Vereinsmitglieds, nachvollziehen zu können, welche Personendaten über ihn bzw. sie erfasst und zu welchem Zweck diese bearbeitet werden. Offenheit in diesen Belangen bildet das Fundament für einen soliden Datenschutz. Es ist die Aufgabe eures Vereins, transparent und nachvollziehbar darzulegen, auf welche Weise personenbezogene Informationen gehandhabt werden und zu welchen Zwecken sie bearbeitet werden. Ausserdem ist es notwendig, dass die Mitglieder über ihre datenschutzrechtlichen Ansprüche umfassend informiert werden.

Datenschutzerklärung für Vereine: Mitglieder richtig informieren

Normalerweise klärt ihr eure Mitglieder über den Datenschutz in der Datenschutzerklärung (DSE) eures Vereins auf. Wenn ihr sicherstellen wollt, dass auch potenzielle Neumitglieder schon vor ihrem Beitritt einen Einblick in euren Datenschutz bekommen, ist es empfehlenswert, diese Erklärung auf der Webseite eures Vereins zugänglich zu machen. Datenbearbeitungszwecke können zudem auch in den Statuten festgehalten werden. Dies kann insbesondere sinnvoll sein, wenn Daten an Dritte wie beispielsweise einen Dachverband weitergegeben werden. Ausführliche Informationen zum Thema Vereinsstatuten findet ihr übrigens im ClubDesk Vereinswissens-Ratgeber “Vereinsstatuten”.

Software-Tipp
Wenn ihr eure Vereinswebseite mit ClubDesk gestaltet, bekommt ihr einen vorgefertigten Datenschutzhinweis, der leicht an die speziellen Bedürfnisse eures Vereins angepasst werden kann. Dieser Vorschlag enthält auch einen Link zu einem Datenschutzgenerator, der speziell für Schweizer Vereine konzipiert ist.

Datenschutzhinweis und Cookie-Banner für die Vereinswebseite

Vergesst nicht, dass ihr die Besucher eurer Vereinswebseite darüber aufklären müsst, welche Cookies verwendet werden, welche Analysetools zum Einsatz kommen und zu welchem Zweck Daten gespeichert werden.

ClubDesk bietet euch auch hier praktische Unterstützung, indem es in einer mit ClubDesk erstellen Webseite einen fertigen Cookie-Banner und ein Muster für Datenschutzhinweise bereit stellt.

Drei Frauen sitzen im Cafe und arbeiten gemeinsam am Laptop

Veröffentlichung und Weitergabe von Vereinsdaten

In Zeiten von Social Media und einem omnipräsenten Internet ist das Bewusstsein für den Wert von Privatsphäre und Anonymität in der digitalen Welt bei vielen Leuten wesentlich stärker ins Bewusstsein gerückt. Dem solltet ihr Rechnung tragen und eure Mitglieder gut darüber informieren, welche Daten, Bilder, usw. wo veröffentlicht werden könnten.

Personendaten

Wenn ihr plant, Daten von Mitgliedern auf eurer Webseite zu teilen, egal ob für die Öffentlichkeit oder nur sichtbar für Vereinsmitglieder, müsst ihr vorher die Betroffenen darüber informieren und je nach Konstellation eine Einwilligung einholen. Dies betrifft auch die Weitergabe an Dritte, z.B. einen Dachverband. Dies könnt ihr einfach umsetzen, indem ihr das in die Statuten aufnehmt. Der Text könnte z.B. so lauten:

Der SC Musterverein speichert von seinen Mitgliedern nur Personendaten, die für die Erfüllung des Vereinszwecks benötigt werden und sorgt angemessen für die Sicherheit. Folgende Mitglieder-Informationen werden den anderen Vereinsmitgliedern bekannt gegeben (z.B. in dem nur Mitgliedern zugänglichen Bereich der Vereinswebseite): Name, Adresse, Telefonnummer, E-Mail, … (alles angeben)

Das Teilen von Kontaktinformationen mit anderen Mitgliedern ist unter anderem dadurch gerechtfertigt, dass der Verein den Mitgliedern die Möglichkeit geben sollte, eine ausserordentliche Mitgliederversammlung einzuberufen. 

Detaillierte Informationen zum Thema Vereinsstatuten sowie praktische Muster-Vorlagen für Statuten (als kostenlosen Download) findet ihr im ClubDesk Vereinswissens-Ratgeber “Vereinsstatuten”.

Fotos und Filme auf der Vereinswebseite und Social Media

Bei der Veröffentlichung von Fotos und Filmen gilt es zwei rechtliche Sachen zu beachten. Einerseits das Urheberrecht des Fotografen (seit April 2020 durch den sogenannten Lichtbildschutz auch für alltägliche Schnappschüsse von Hobbyfotografen gültig) und andererseits die Rechte der abgebildeten Personen (das Recht am eigenen Bild nach Art. 28 ZGB). Daher empfiehlt es sich, dass ihr ein klares Bildreglement erstellt und dann eure bestehenden Mitglieder informiert.

Was in einem Bildreglement stehen sollte:
Im Bildreglement sollte unter anderem festgehalten sein, dass der Verein die ihm von Mitgliedern übergebenen Bilder (Videos, Grafiken...) kostenlos, unbeschränkt lang, in jedem Land und in allen Medien (Webseite, Instagram, Vereinsmagazin...) nutzen darf. Zudem sollte das Reglement festhalten, dass die Mitglieder dem Verein eine generelle Bildfreigabe erteilen, der Verein also Bilder von Mitgliedern kostenlos, unbeschränkt lang, in jedem Land und in allen Medien (Webseite, Instagram, Vereinsmagazin...) veröffentlichen darf. Wichtig: Haltet vertraglich fest, dass die Teilnahme an einem Anlass als Einverständnis für allgemeine Übersichts- und Gruppenaufnahmen gilt.

Es sollte auch geregelt werden, wie und wann Personen fotografiert werden dürfen (z.B. Fotos von Sportveranstaltungen). Je nach Konstellation (insbesondere bei Einzelportraits oder Bildern mit Kindern) ist es zwingend nötig, vorgängig die Einwilligung einzuholen oder dem Vereinsmitglied die einfache Möglichkeit zu geben, der Erstellung von Fotos zu widersprechen (Opt-out). 

Für die Erstellung eines „Reglements für Urheberrecht von Bildern“ für Vereine bietet Vitamin B, die Fachstelle für Vereine, eine super Anleitung zum Download an.

Sorgfältiger Umgang mit besonders schützenswerten Personendaten

Daten von besonderer Sensibilität, wie etwa gesundheitliche Informationen, bedingen eine spezielle Handhabung nach dem Schweizer Datenschutzgesetz (DSG). Diese dürfen meist nur mit ausdrücklicher Einwilligung der betroffenen Person erfasst werden (Art. 6 Abs. 7 DSG). Euer Verein ist dazu verpflichtet, in solchen Fällen besonders sorgfältig vorzugehen und sicherzustellen, dass die Einholung der Einwilligung von Mitgliedern freiwillig und informiert erfolgt. Hier holt ihr am besten den Rat eines Datenschutzexperten bzw. -Expertin ein.

Zu den besonders schützenswerten Daten gehören:

  • Gesundheitsdaten (z.B. Allergien, Unverträglichkeiten, Verletzungen) sowie Daten über die Intimsphäre
  • Personendaten, aus denen die Zugehörigkeit zu einer Rasse oder Ethnie , politische Meinungen, religiöse oder weltanschauliche Ansichten oder Tätigkeiten hervorgehen
  • Gewerkschaftliche Ansichten oder Tätigkeiten
  • Genetische Daten sowie biometrische Daten, die eine natürliche Person eindeutig identifizieren
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen (z.B. ein Strafregisterauszug für Trainer im Jugendsport)
  • Daten über Massnahmen der sozialen Hilfe (z.B. wenn der Verein Mitgliedern mit geringem Einkommen den Beitrag erlässt)
Vier junge Erwachsene sprechen an Stehtisch über Datenschutz im Verein

Korrekter Umgang mit Mitgliederverzeichnissen

Ein klassisches Beispiel für die Bearbeitung von Personendaten innerhalb eines Vereins sind Mitgliederverzeichnisse. Es ist gesetzlich vorgeschrieben (Zweckbindungs- und Verhältnismässigkeitsprinzip gemäss Art. 6 DSG), genau festzulegen, wer innerhalb eures Vereins Einsicht in diese Verzeichnisse hat und für welche Zwecke sie verwendet werden dürfen (Need-to-Know-Prinzip). Die Weitergabe oder gar Veröffentlichung dieser Verzeichnisse muss streng überwacht und auf das absolut Notwendige beschränkt werden, um Datenschutzverletzungen vorzubeugen.

Software-Tipp
Eine Vereinssoftware wie ClubDesk ermöglicht es euch, unkompliziert zu bestimmen, wer Zugang zu bestimmten Mitgliederdaten hat (Rollen- und Berechtigungskonzept). Es ist jedoch wichtig, eure Vorstandsmitglieder und Helfenden auf Folgendes aufmerksam zu machen: Die Daten sind zwar innerhalb von ClubDesk sicher, sobald sie jedoch auf einen privaten PC heruntergeladen (Datenexport) oder per E-Mail versendet werden (d.h. ohne geeignete Sicherheitsvorkehrungen wie Anonymisierung, Verschlüsselung oder Passwortschutz), dann ist diese gesetzlich geforderte Datensicherheit (Art. 8 DSG) allenfalls nicht mehr gewährleistet.

Datenschutz in Vereinen umfasst deutlich mehr als nur die Einhaltung von rechtlichen Anforderungen. Es handelt sich um eine verantwortungsvolle Informationsverwaltung, die das Vertrauen der Mitglieder stärkt. Ein Verein sollte neben der öffentlichen Datenschutzerklärung idealerweise auch über eine interne Datenschutzrichtlinie verfügen, die aktiv umgesetzt wird. Dies schliesst regelmässige Datenschutzschulungen für den Vorstand und alle Personen, die mit Mitgliederdaten arbeiten, ein.

Regelmässige Datenschutzschulungen

Datenschutzschulungen sind essenziell, um ein fundiertes Verständnis für den Umgang mit Personendaten in eurem Verein aufzubauen. Aufgrund der Komplexität des Themas ist es notwendig, fortlaufend über die damit verbundenen Rechte und Pflichten gemäss Schweizer Datenschutzgesetz (DSG) aufzuklären. Durch interne Workshops oder das Bereitstellen von Informationsmaterialien könnt ihr in eurem Verein das Datenschutzbewusstsein schärfen und mögliche Verstösse vermeiden.

Organisiert ab und zu ein Treffen oder Online-Meeting mit den Personen, die im Verein Zugriff auf Personendaten Zugriff haben und besprecht jedes Mal ein anderes Thema aus diesem Ratgeber. Geht in einem Meeting z.B. die unten aufgeführten "Wichtigsten technischen Massnahmen" durch und im nächsten die "Wichtigsten organisatorischen Massnahmen". Haltet eure Besprechungen schriftlich fest, auch, damit ihr eure Datenschutzrichtlinien neuen Vorstandsmitgliedern und Helfenden effizient vermitteln könnt.

Ein ausführliches und gut gegliedertes Dokument, das sich hervorragend als Grundlage für interne Schulungen eignet, findet ihr bei vitamin B, der Fachstelle für Vereine: PDF herunterladen

Vereinsmitglieder sitzen in einer Versammlung

Technische und organisatorische Datenschutzmassnahmen

Es ist für euren Verein unerlässlich, nicht nur organisatorische, sondern auch technische Massnahmen (TOMs) zu treffen. Dies wird in Artikel 8 des DSG vorgeschrieben. Dazu gehört etwa die Verschlüsselung von Daten, die Verwendung sicherer Passwörter und der Schutz gegen unbefugten Zugriff. Die technische Ausstattung des Vereins muss den aktuellen Datenschutzanforderungen entsprechen und regelmässig auf den neuesten Stand gebracht werden.

Software-Tipp
Mit einer modernen Vereinssoftware wie ClubDesk könnt ihr eine Reihe dieser gesetzlich geforderten Massnahmen auslagern, da diese von ClubDesk übernommen werden, jedoch nicht alle. Es ist weiterhin wichtig, dass ihr euch intern um Aspekte wie die sichere Verwahrung von Passwörtern und die Richtlinien zur Veröffentlichung von Daten kümmert.

Die wichtigsten technischen Massnahmen (TOMs nach Art. 8 DSG)

Um die Datensicherheit im Verein zu gewährleisten, müssen angemessene technische Massnahmen ergriffen werden. Die folgende Übersicht zeigt die wichtigsten Bereiche:

Technische Massnahme Umsetzung & Regeln für den Verein
Firewalls & sicheres WLAN Für den Schutz eurer Daten ist es essentiell, dass alle Computer – auch die privaten, auf denen Vorstandsmitglieder und Helfende Vereinsdaten speichern – moderne und professionell verwaltete Firewalls verwenden. Zusätzlich müsst ihr euer WLAN sicher konfigurieren – nutzt hierfür den aktuellen WPA3-Standard und starke Passwörter.
Zutrittskontrolle (Physischer Schutz) Nicht nur der Netzwerkzugriff, sondern auch der physische Zugang zu Computern und Backup-Festplatten, auf denen Personendaten gespeichert sind, muss kontrolliert werden. Idealerweise bewahrt ihr sie in sicheren Räumlichkeiten oder abschliessbaren Schränken auf, zu denen nur berechtigte Personen Zugang haben.
Zugriffsrechte & Passwortschutz Durch die Vergabe von individuellen Passwörtern, die Festlegung von Zugriffsrollen und die Zuordnung zu Nutzergruppen könnt ihr genau bestimmen, wer auf welche Daten zugreifen darf (Need-to-Know-Prinzip). Stellt sicher, dass nur berechtigte Personen Zugriff haben (also keine Familienmitglieder der Präsidentin oder des Kassiers) und dass die verwendeten Passwörter sicher sind (z. B. mindestens 10 Zeichen lang, Buchstaben, Zahlen und Sonderzeichen enthalten).
Verschlüsselung Um eure Daten vor unautorisiertem Zugriff zu schützen, sollten sie sowohl bei der Speicherung (z. B. Festplattenverschlüsselung) als auch bei der Übertragung verschlüsselt werden. Sorgt dafür, dass alle Verantwortlichen sichere Verschlüsselungsmethoden verwenden.
Sicherheitskopien (Backups) Regelmässige Backups sind unverzichtbar, um eure Daten auch nach einem Systemausfall oder einem Cyberangriff (wie Ransomware) wiederherstellen zu können. Vergesst nicht, auch eure Backups sicher (und idealerweise offline) zu speichern, zu verschlüsseln und sie datenschutzkonform zu vernichten, wenn Daten gelöscht werden müssen.

Software-Tipp
Glücklicherweise könnt ihr euch mit einer Online-Vereinssoftware wie ClubDesk eine Menge Arbeit und technische Massnahmen einsparen. Denn die Vereinsdaten bei ClubDesk werden ausschliesslich im professionellen Rechenzentrum gespeichert und sind dadurch nach allen Regeln der Kunst gesichert. Zusätzlich werden täglich Backups erstellt und es ist auch nicht möglich, auf Mitgliederdaten ohne sicheres Passwort zuzugreifen. Zudem ist es praktisch nicht erforderlich, Daten zu versenden oder an andere Personen weiterzugeben. Also müsst ihr auch keine komplexen Regeln aufstellen, wie Daten bei einer Weitergabe sicher vom alten Rechner gelöscht oder vor dem Versand verschlüsselt werden müssen. Für die Vergabe der Zugriffsrechte und sichere Passwörter eurer Mitglieder bleibt der Verein jedoch weiterhin verantwortlich.

Die wichtigsten organisatorischen Massnahmen

Neben der Technik müsst ihr auch die Abläufe in eurem Verein regeln. Diese organisatorischen Massnahmen stellen sicher, dass alle Beteiligten wissen, wie sie mit Personendaten rechtmässig umgehen müssen:

Organisatorische Massnahme Umsetzung & Regeln für den Verein
Interne Verfahren und Richtlinien Stellt sicher, dass euer Verein klare Regeln für den Umgang mit Daten festlegt, diese (z.B. in einem Datenschutzreglement) gut dokumentiert und dass jede Person, die mit den Daten hantiert, genau weiss, was erlaubt ist und was nicht (Zweckbindung). Dazu gehört auch, dass ihr im Blick habt, wie wichtig es ist, Daten sicher zu behandeln. Denkt an klare Passwortregeln (wie Länge und Sonderzeichen) und daran, wie ihr mit dem Veröffentlichen von Infos und Fotos umgeht.
Sensibilisierung und Schulungen Sorgt dafür, dass alle, die mit euren Vereinsdaten arbeiten (Vorstand, Trainer, Helfende), umfassend zum Thema Datenschutz informiert sind. Erinnert eure Vereinskollegen regelmässig daran, wie wichtig es ist, Sicherheitsmassnahmen einzuhalten, starke Passwörter zu nutzen und Daten verschlüsselt zu halten. Gefahren wie Phishing und Spoofing (Cyberkriminalität) sind ebenfalls relevant, besonders wenn Personendaten lokal gespeichert sind.
Auftragsbearbeitungsverträge (ABV) Wenn ihr externe Dienste nutzt, um persönliche Daten zu speichern oder weiterzuleiten, müsst ihr vertraglich sicherstellen, dass diese Dienste euren Daten den nötigen Schutz bieten (gemäss Art. 9 DSG). Das passiert zum Beispiel automatisch bei ClubDesk durch die Vereinbarung zur Auftragsbearbeitung, die Teil der Allgemeinen Geschäftsbedingungen ist. Wenn ihr noch andere Tools wie Cloudspeicher oder Webseitenanbieter nutzt, dann prüft, dass auch diese die nötigen Verträge bieten.
Risikoanalyse und Überprüfung Überprüft eure Massnahmen und Prozesse regelmässig. Stellt sicher, dass sie immer aktuell sind und den aktuellen Bedrohungen und technischen Möglichkeiten entsprechen. So bleibt euer Verein sicher und ihr seid immer einen Schritt voraus.

Software-Tipp
Die Verwendung einer Vereins-Software wie ClubDesk vereinfacht eure organisatorischer Massnahmen enorm. Scheidet jemand aus dem Vorstand aus, entzieht ihr die Zugriffsrechte mit nur einem Klick. Im Gegensatz zu verstreuten Softwaretools und lokalen Daten erspart ihr euch so die aufwendige Dokumentation von Zugängen, unsichere Datenübergaben per E-Mail und die mühsame Kontrolle, ob Daten auf privaten Rechnern wirklich datenschutzkonform (irreversibel) gelöscht wurden. All das löst ClubDesk automatisch für euch.

Ein Mann sitzt nachdenklich vor seinem Laptop

Der Umgang mit Datenschutzverletzungen

Auch bei grösstmöglicher Sorgfalt kann es zu Verletzungen der Datensicherheit kommen, z.B. durch einen Hackerangriff, Fehlversand von E-Mails oder einen verlorenen USB-Stick. In solch einem Fall sollte euer Verein einen Massnahmenplan für Datenpannen bereithalten. Dieser Plan definiert die Schritte, die bei einer Datenschutzverletzung zu befolgen sind, einschliesslich der gesetzlichen Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), falls ein hohes Risiko für die Persönlichkeitsrechte besteht (Art. 24 DSG), und die Information der betroffenen Mitglieder. Ein schnelles und rechtssicheres Vorgehen in solchen Situationen ist entscheidend, um das Vertrauen der Mitglieder aufrechtzuerhalten, Bussen zu vermeiden und potenzielle Schäden zu begrenzen.

Protokollierung und Rechenschaftspflicht

Gemäss dem DSG ist es erforderlich, dass Verantwortliche in der Schweiz die Vorgehensweisen zum Datenschutz und die Befolgung der entsprechenden Richtlinien nachweisen kann. Dies erfolgt idealerweise über eine Dokumentation der Datenbearbeitungsvorgänge (ein sogenanntes Verzeichnis der Bearbeitungstätigkeiten), ihrer rechtlichen Grundlagen und der implementierten Sicherheitsmassnahmen.

Wichtig: Auch wenn kleine Vereine (unter 250 Mitarbeitende) oft von der strikten gesetzlichen Pflicht zur Führung dieses Verzeichnisses befreit sind, ist das Führen eines solchen Dokuments als interne Kontrollmassnahme und zur sauberen Erfüllung von Auskunftsbegehren empfehlenswert. Die Protokollierung dient im Ernstfall nicht nur der Rechenschaft gegenüber Aufsichtsbehörden (EDÖB), sondern schützt auch den Vorstand.

Eine Liste der wichtigsten Punkte, die ihr in einem solchen Verzeichnis dokumentieren solltet, findet ihr im Bundesgesetz über den Datenschutz in Artikel 12 DSG.

Banner \"Zeit für den Datenschutz\"

Download: DSG-Leitfaden für Vereine

Checkliste zum Download
Verantwortliche Person für Datenschutz bestimmen

Legt fest, wer bei euch im Verein sich um das Thema Datenschutz kümmert und für angemessene technische und organisatorische Massnahmen verantwortlich ist.

Nur notwendige Daten speichern

Stellt sicher, dass ausschliesslich erforderliche Daten (Datensparsamkeit) erfasst werden und die Dauer der Speicherung sich sowohl nach dem Bedarf als auch nach den gesetzlichen Anforderungen richtet (Löschkonzept).

Sicherstellung der Datensicherheit

Implementiert und aktualisiert regelmässig Schutzmassnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten (TOMs).

Prozesse für Datenschutz und Datensicherheit dokumentieren

Erstellt ein Bearbeitungsverzeichnis mit Infos zu Verantwortlichkeiten, Zugriffsberechtigungen und Zwecke der Datenbearbeitung, wie in Artikel 12 DSG vorgesehen.

Zugriffsrechte festlegen

Stellt sicher, dass jede Person nur die Daten sieht, die für seine/ihre Arbeit notwendig sind (Need-to-Know-Prinzip).

Mitglieder über Datenbearbeitung informieren

Informiert neue Mitglieder schriftlich bei ihrem Eintritt über die Datenbearbeitung (welche Daten, wozu, wo gespeichert und veröffentlicht werden) und haltet bestehende Mitglieder über Änderungen auf dem Laufenden. Veröffentlicht eine Datenschutzerklärung auf eurer Webseite und fasst eine Statutenänderung ins Auge.

Vorstand und Mitarbeitende des Vereins schulen

Stellt sicher, dass alle Personen, die im Verein mit Mitgliederdaten arbeiten, geschult werden und sich an das DSG halten.

Auftragsverarbeitungsverträge (AVV)

Schliesst Auftragsverarbeitungsverträge mit externen Dienstleistern ab oder integriert Datenschutzvereinbarungen in Dienstleisterverträgen und überprüft deren Datenschutzmassnahmen regelmässig.

Meldepflicht bei Datenschutzverletzungen

Etabliert ein Verfahren zur schnellen Benachrichtigung an Mitglieder und Behörden.

Schweizer Recht oder EU-Recht

Überprüft, ob ihr euch zusätzlich an die europäische DSGVO halten müsst oder ob ausschliesslich das Schweizer DSG gilt (siehe Kapitel "Wann gilt EU-Recht für Schweizer Vereine?")

Zusammenfassung: Datenschutz im Verein

Der Datenschutz stellt für Vereine in der Schweiz einen dynamischen Prozess dar, der durchdachte Organisation und immer wieder eine Optimierung verlangt. Es ist entscheidend, eine Balance zu schaffen zwischen einer effizienten Vereinsverwaltung und der Wahrung der Privatsphäre sowie dem Schutz der Personendaten der Vereinsmitglieder. Ein vorausschauendes Handeln und die aktive Sensibilisierung der Mitglieder sind ausschlaggebend für den Erfolg. Softwarelösungen wie ClubDesk können die Einhaltung der Datenschutzgesetze (DSG) bei der Bearbeitung von Mitgliederdaten enorm erleichtern.

Häufige Fragen zum Datenschutz im Verein

Was versteht man unter dem DSG und inwiefern ist es für Schweizer Vereine relevant?

Das DSG ist das aktuelle Datenschutzgesetz der Schweiz, das den Schutz der Persönlichkeit  und die rechtmässige Bearbeitung von Personendaten regelt. Es ist für Vereine in der Schweiz zwingend relevant, da sie (also private Verantwortliche) verpflichtet sind, die Vorgaben zum Schutz von Mitglieder- und anderen Personendaten einzuhalten und entsprechende Datenschutzmassnahmen (TOMs) zu implementieren.

Was fällt unter den Begriff "Personendaten"?

Als Personendaten gelten sämtliche Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie beispielsweise Name, Adresse, E-Mail-Adresse, Telefonnummer und Fotos. Zusätzlich unterscheidet das Gesetz die "besonders schützenswerten Personendaten" (z.B. Gesundheitsdaten oder Religionszugehörigkeit), für die strengere Regeln gelten.

Ist die Ernennung eines Datenschutzbeauftragten bzw. Datenschutzberaters für Vereine obligatorisch?

Es ist in der Schweiz nicht verpflichtend, einen Datenschutzberater bzw. Datenschutzbeauftragen zu ernennen. Allerdings wird es empfohlen, eine verantwortliche Person im Vorstand zu benennen, an die sich z.B. Mitglieder bei Fragen zu ihren Daten oder mit Löschungsanträgen wenden können. Dies erhöht das Vertrauen in eurem Verein und stellt sicher, dass Betroffenenanfragen fristgerecht bearbeitet werden.

Wie ist die Einwilligung zur Datenbearbeitung von Vereinsmitgliedern einzuholen?

Ein grosser Vorteil des Schweizer Rechts: Die Einwilligung ist nur in ausgewählten Fällen notwendig (z.B. bei besonders schützenswerten Daten oder der Weitergabe an unbeteiligte Dritte). Die reguläre Datenbearbeitung für den Vereinszweck ist bereits durch den “Vertrag” der Mitgliedschaft (Art. 31 DSG) gerechtfertigt. Sofern eine Einwilligung dennoch erforderlich ist, muss diese freiwillig erfolgen und das Mitglied ist vorab angemessen über die Datenbearbeitung zu informieren. Dies kann beispielsweise mittels eines Anmeldeformulars geschehen, das auf die Datenschutzerklärung verweist, und mit der die Einwilligung durch Unterschrift oder digitales Opt-in erfolgt.

Welche Schritte müssen Vereine unternehmen, um Datensicherheit zu garantieren?

Vereine sind gesetzlich angehalten, angemessene technische und organisatorische Massnahmen (TOMs gemäss Art. 8 DSG) zu treffen, um die Sicherheit der bearbeiteten Daten zu wahren. Dazu zählen unter anderem die verschlüsselte Aufbewahrung der Daten, die Regelung von Zugriffsrechten, die regelmässige Aktualisierung von Software sowie die Durchführung von Sensibilisierungs-Schulungen für die Vorstandsmitglieder und Helfende.

Tipp: Eine moderne Vereinssoftware wie ClubDesk nimmt euch viele dieser technischen Massnahmen automatisch ab.

Über welche Rechte verfügen Mitglieder hinsichtlich ihrer Daten?

Mitglieder besitzen sogenannte Betroffenenrechte. Dazu gehören das Recht, Auskunft über ihre gespeicherten Personendaten zu erhalten (Auskunftsrecht), Korrekturen falscher Daten zu beantragen, die Löschung ihrer Daten zu verlangen (sofern keine Aufbewahrungspflichten dagegensprechen) und, unter bestimmten Umständen, einer Datenbearbeitung zu widersprechen.

Weitere hilfreiche Informationen zum Thema Datenschutz für Vereine findet man auf der Webseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.

Über den Autor:

Andreas Kling

Andreas Kling

Ob Sekretär oder Präsident – Andreas hatte in diversen Vereinen schon so ziemlich jede Rolle inne und hat sich in den letzten 35 Jahren vornehmlich mit der Führung und Digitalisierung von Unternehmen und Vereinen beschäftigt.

Zur Übersicht

Das könnte dich auch interessieren

Mehrere Personen stehen um einen Tisch und erarbeiten etwas an einem Laptop

Vereinsstatuten - Statuten für Vereine in der Schweiz: Inhalt, Anleitung und Vorlagen

Vereinswissen 11 Min. Lesezeit Andreas Kling

Weiterlesen …
Drei junge Männer schauen lachend auf einen Laptop

Verein gründen in der Schweiz – So geht Vereinsgründung richtig!

Vereinswissen 14 Min. Lesezeit Matthias Probst

Weiterlesen …

Steuern für Vereine und Stiftungen in der Schweiz

Vereinswissen 10 Min. Lesezeit Andreas Kling

Weiterlesen …

ClubDesk bietet viel mehr als nur Mitgliederverwaltung

Icon Mitglieder erfassen und verwalten

Mitgliederverwaltung
Mitgliederdaten DSGVO-Konform erfassen, filtern und verwalten. Mehr erfahren >

Icon Website erstellen

Vereinshomepage
Moderne und mobilfähige Vereinswebsite erstellen. Mehr erfahren >

Icon Kalender mit Haken

Terminkalender
Vereinstermine für Trainings und Sitzungen planen und organisieren. Mehr erfahren >

Icon Rechnungen und Buchhaltung

Finanzen
Rechnungen und Buchhaltung einfach erstellen und verwalten. Mehr erfahren >

Icon Vereinsdokumente ablegen

Vereinsdokumente
Vereinsdokumente wie Verträge & Satzungen zentral ablegen. Mehr erfahren >

Icon E-Mails und Briefe

E-Mails & Briefe
Automatische Adressverwaltung für den Versand von Mails & Briefen. Mehr erfahren >