Version vom 13.06.2023 

Einleitung 

Die Fairgate Vereins- und Verbandssoftware verfolgt das Ziel, die Verwaltungs- und Öffentlichkeitsarbeit eines Verbands oder Vereins mit allen technischen Mitteln zu erleichtern. Fairgate bietet Ihnen eine integrierte, via Internet zugängliche Software-Lösung, welche anhand von Basis- und frei wählbaren Zusatzmodulen den spezifischen Bedürfnissen Ihres Vereins oder Verbands angepasst werden kann.  

Je nach Art und Umfang der Nutzung unserer Fairgate Software, erfassen, sammeln und pflegen Sie zahlreiche Personendaten von Mitgliedern (Post- und E-Mailadresse, Telefonnummer, Geburtsdatum, Fotos, sportliche Leistungen, etc.) über eine vielfach viele Jahre dauernde Mitgliedschaft (Aktive, Passive, Junioren, Sponsoren, etc.) der entsprechenden Person. Während Ihnen die Fairgate Software alle Mittel zur Verfügung stellt, um die Kontaktpflege und Verein-/Verbandsadministration zu erledigen und die Daten sicher aufzubewahren, ist es uns wichtig darauf hinzuweisen, dass die Pflicht zur Einhaltung des Datenschutzgesetzes alleine in der Pflicht und der Verantwortung Ihres Vereins/Verbands und der intern Zuständigen bleibt. 

Der vorliegende Leitfaden für Vereine und Verbände soll Ihnen dazu dienen, Ihnen erste Informationen und Pflichten des Datenschutzrechtes näherzubringen, wobei die Bestimmungen des revidierten Datenschutzgesetztes (Inkraftsetzung: 1. Sept 2023) berücksichtigt sind. Fairgate will Sie und alle von Fairgate betreuten Verbände und Vereine dabei zu unterstützen, sich dem wichtigen Thema Datenschutz im Interesse Ihrer Mitglieder anzunehmen.   

Wichtiger Hinweis: Dieser Leitfaden erhebt nicht den Anspruch auf Vollständigkeit, sondern stellt eine Hilfestellung, aber keine Rechtsberatung dar. Bitte prüfen Sie Ihre Bedürfnisse für Ihren Verein/Verband zusammen mit einer Fachperson in Datenschutzfragen, der Sie auch zur Umsetzung der datenschutzrechtlichen Pflichten beraten kann. Fairgate schliesst jede Haftung für die Inhalte und die Anwendung dieses Leitfadens aus.   

Worum geht es beim Datenschutz? 

Der Datenschutz hat den Zweck, den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Daten bearbeitet werden, zu gewährleisten. Juristische Personen, wie Unternehmen, Vereine, Stiftungen, sind mit dem revidierten Datenschutzrecht (Inkrafttreten 1. Sept 2023) nicht mehr geschützt. 

Gesetze zum Datenschutz gibt es im Europäischen Raum, auf Bundesebene und in den Kantonen. Das Schweizer Bundesgesetz über den Datenschutz (kurz Datenschutzgesetz, DSG, SR 235.19, Link) regelt die Handhabung von Daten, die von Privatpersonen und Bundesorgangen bearbeitet werden.  

Unter Personendaten im Sinne des DSG sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, zu verstehen. Bestimmbar heisst, dass ein Rückschluss auf eine Person ohne erheblichen Aufwand möglich ist (z.B. Name, Vorname, E-Mail, Passkopien etc.). Besonders sensitive, sog. besonders schützenswerte Personendaten, wie z.B. Krankheit, Religion, Hautfarbe, Strafverfahren, sollten möglichst nicht, oder nur auf Basis einer Einwilligung des betreffenden Mitglieds gesammelt werden. 

Des Weiteren sind unter «bearbeiten» von Personendaten sehr umfassende Tätigkeiten gemeint, das heisst jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.  

Unter bestimmten Umständen kann neben dem Schweizer DSG auch die europäische Datenschutzgrundverordnung (DSGVO, Link) anwendbar sein, obwohl Ihr Verein/Verband den Sitz in der Schweiz und nicht in der EU hat. Die DSGVO ist insbesondere dann anwendbar, wenn die Verarbeitung von personenbezogenen Daten damit im Zusammenhang steht, dass den betroffenen Personen in der EU gegen Bezahlung oder unentgeltlich Waren oder Dienstleistungen angeboten werden oder das Verhalten betroffener Personen in einem Mitgliedstaat der EU beobachtet wird (z.B. durch Google Analytics).  

Datenschutz: Was gilt es für Vereine/Verbände zu beachten? 

Ein Verein oder Verband besitzt vielfach umfangreiche Informationen über seine Mitglieder, wie zum Beispiel Namen, Adressen, Geburtsdaten, Telefonnummern, Fotos, Sportergebnisse oder Ranglisten. Es ist daher offensichtlich, dass auch von Ihrem Verein viele und gegebenenfalls auch besonders schützenswerte Personendaten (z.B. Gesundheit, Religion, politische Ansichten, Intimsphäre) bearbeitet werden. Mit diesen Personendaten muss sorgfältig umgegangen werden.  

Wer Personendaten bearbeitet unterliegt den Pflichten des Datenschutzgesetzes. Das bedeutet, dass die Bestimmungen des DSG auch für Vereine/Verbände gelten und das DSG umfassend einhalten werden muss.  

Mit Inkrafttreten des revidierten DSG per 1. September 2023 werden neue Strafbestimmungen eingeführt. Bei Verletzungen von bestimmten datenschutzrechtlichen Bestimmungen sind Bussen bis zu CHF 250’000 vorgesehen. Wichtig zu wissen ist, dass es sich bei den Bussen unter dem revidierten DSG um strafrechtliche Sanktionen handelt, die sich in erster Linie gegen das verantwortliche Individuum richten, also z.B. den verantwortlichen Mitarbeitenden und nicht gegen den Verein/Verband. 

Was sind die wichtigsten Grundsätze für einen Verein/Verband? 

Das DSG sieht eine Reihe Grundsätze vor, wie mit Personendaten umgegangen werden muss. Obwohl alle Grundsätze einzuhalten sind, werden hier eine kleine, zentrale Auswahl angegeben, die ein Vorstand eines Vereins oder Verbands ganz besonders einzuhalten hat:  

• Grundsatz der Zweckbindung: Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden. Bei einem Verein/Verband kann sich der Zweck auch aus den Staturen ergeben. Auch im Anschluss sind die Personendaten nur in direktem Zusammenhang mit dem Zweck bearbeitet werden, soweit es mit diesem vereinbar ist.  

• Grundsatz der Verhältnismässigkeit: Es dürfen nur Daten bearbeitet werden, die zur Erfüllung des Vereinszwecks wirklich notwendig sind. Wenn von den Mitgliedern andere oder weitere Daten beschafft und bearbeitet werden sollen, Daten für andere Zwecke verwendet oder sie (zum Beispiel auf seiner Webseite) veröffentlicht werden sollen, muss der Verein/Verband die Mitglieder vorgängig über die Gründe für die Datenbearbeitung informieren und sie auch darüber in Kenntnis setzen, dass sie die Daten nicht bekanntgeben müssen.

  Empfehlung: Sammeln Sie nur diejenigen Personendaten, welche Sie für den Betrieb des Vereins/Verbands wirklich benötigen. Das heisst, seien Sie sparsam beim Sammeln von Personendaten bzw. verzichten Sie auf unnötiges Sammeln von Daten und nehmen Sie entsprechende technische Einstellungen vor, wie dies in der Software-Lösung von Fairgate über eigens definierbare Datenfelder gemacht werden kann.

• Grundsatz der Transparenz: Die Vereinsmitglieder müssen informiert werden, wenn ihre Personendaten an Dritte oder andere Mitglieder bekanntgegeben werden. Weiter müssen sie bei einer Bekanntgabe über Empfänger und Zweck in Kenntnis gesetzt werden.    

  Empfehlung: Informieren Sie Ihre Mitglieder in genügender Ausführlichkeit darüber, dass Sie Personendaten bearbeiten, welche Arten und Kategorien von Daten Sie bearbeiten, ob Sie Personendaten weitergeben und wie lange Sie die Personendaten bearbeiten. Dies kann in der Datenschutzerklärung publiziert auf Ihrer Webseite erfolgen.

Was ist bei der Beschaffung und Bearbeitung von Personendaten durch Vereine/Verbände besonders zu beachten? 

1. Einwilligung der betroffenen Personen 

In der Schweiz gilt – wie bisher und auch nach revidiertem DSG – der Grundsatz, dass jede Bearbeitung von Personendaten erlaubt ist, solange sie datenschutzkonform ist und die Bearbeitungsgrundsätze eingehalten werden. Es bedarf damit nicht für jede Bearbeitung von Personendaten einen Rechtfertigungsgrund (z.B. eine Einwilligung). 

Das System in der Schweiz unterscheidet sich grundlegend von demjenigen nach der DSGVO in Europa. Nach der DSGVO ist jede Bearbeitung von Personendaten grundsätzlich verboten, ausser sie erfolgt aufgrund einer der Rechtsgrundlagen (Verbot mit Erlaubnisvorbehalt). Die Einwilligung ist auch nach der DSGVO eine mögliche Rechtsgrundlage, welche eine Datenbearbeitung zulässig macht. 

Das heisst, grundsätzlich bedarf es in der Schweiz keiner Einwilligung (und keine andere Rechtfertigung) für die Datenbearbeitung, solange diese nicht widerrechtlich ist. Sofern eine Einwilligung der betroffenen Person erforderlich ist, ist eine solche nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig und eindeutig erfolgt. Die betroffene Person drückt damit ihre Zustimmung zu einer Verletzung der Persönlichkeit aus, die vorliegend durch eine Datenbearbeitung erfolgt. 

In einigen Fällen sieht das Gesetz explizit vor, dass eine Einwilligung vorhanden sein muss (z.B. Transfer von Personendaten in ein Land ohne angemessene Datenschutzgesetzgebung [z.B. USA]).  

Die Einwilligung einer betroffenen Person muss eindeutig sein, so dass aus deren Erklärung der Wille zweifelsfrei hervorgeht. Die Zustimmung muss umso eindeutiger sein, je sensibler die fraglichen Personendaten sind. Dabei ist die Einwilligung an keine Form, wie z.B. Schriftlichkeit gebunden und kann auch elektronisch (z.B. mittels Checkbox im Intranet) erteilt werden. Sollte eine Checkbox verwendet werden, so darf diese nicht standardmässig bereits angeklickt sein. Sie kann auch durch eine stillschweigende Willenserklärung erfolgen. Diese ergibt sich durch ein Verhalten, das als eindeutiger Ausdruck des Willens der betroffenen Person verstanden werden kann. 

2. Information an die betroffenen Personen 

Wie sich aus dem Transparenzgrundsatz ergibt, muss den betroffenen Personen dargelegt werden, wer welche Personendaten zu welchem Zweck über sie bearbeitet. Diese Anforderungen an die Informationspflichten wurden mit dem revidierten Datenschutzrecht (Inkrafttreten: 1. Sept 2023) massgeblich erweitert. Entsprechend wird der Einsatz einer Datenschutzerklärung Pflicht. Die Informationspflicht gilt für Vereine/Verbände in Bereichen, in denen sie für die Datenbearbeitung verantwortlich sind. 

Bei der Datenschutzerklärung handelt es sich um eine Erklärung und keinen Vertrag. Daher ist darauf zu verzichten, dass die Datenschutzerklärung akzeptiert oder ihr zugestimmt wird. Stattdessen bietet sich an, lediglich auf die Datenschutzerklärung hinzuweisen. Sie können beispielsweise unterhalb eines Kontakt- oder Bestellformulars, ohne dass es ein Bestätigungsfeld zum Anklicken bedarf, folgenden Text anzeigen: «Informationen zu unserem Umfang mit Ihren Personendaten finden Sie in unserer Datenschutzerklärung [LINK].»  

Werden auf Ihrer Webseite Cookies, Tracking Tools (z.B. Google Analytics) oder Social Plugins verwendet, so ist dies in der Datenschutzerklärung ebenfalls anzugeben. Die Mitglieder müssen hier in der Schweiz transparent informiert werden, für die EU gilt, dass der Cookie-Banner detailliert darzustellen ist und Möglichkeiten der Ablehnung gegeben werden müssen. (vgl. dazu das Kapital unten «Cookie-Banner auf der Webseite»)  

Betroffene Personen müssen zudem über ihr Recht zur Änderung und Löschung aufgeklärt werden sowie darüber, wo sie sich melden müssen, um ihre eigenen Daten ändern oder löschen zu lassen oder um weitere Auskünfte über ihre Daten zu erhalten. 

3. Datenschutzfreundliche Standardeinstellungen 

Mit der Revision des Datenschutzrechtes wurden auch die Grundsätze "Privacy by Design" (Datenschutz durch Technik) und "Privacy by Default" (Datenschutz durch datenschutzfreundliche Voreinstellungen) werden explizit im Gesetz festgehalten bzw. eingeführt.  

Der Datenschutz durch Technik verlangt, dass Sie Ihre Applikationen u.a. so ausgestalten, dass die Daten standardmässig anonymisiert oder gelöscht werden.  

Datenschutzfreundliche Voreinstellungen bedeuten, dass die Standardeinstellungen in der Software-Lösung von Fairgate durch den Verein/Verband so zu gestalten sind, dass sie möglichst Datenschutz-freundlich sind, das heisst, dass Personendaten sparsam gespeichert und aufbewahrt werden. 

4. Aufbewahrungsdauer und Löschen von Daten 

Basierend auf den Prinzipien der Verhältnis- und Zweckmässigkeit, die verlangen, dass Daten nicht länger als nötig bearbeitet werden, gilt das Recht auf Vergessen. Wie lange die Datenaufbewahrung und Nutzung nötig ist, ergibt sich aus einer sorgfältigen Interessenabwägung im Einzelfall und kann nicht allgemein formuliert werden. 

Ein Beispiel: Sobald ein Empfänger sich vom Newsletter abmeldet, sind sämtliche Daten, auch solche, die zusätzlich zur E-Mail-Adresse gespeichert wurden, zu löschen (z.B. Vor- und Nachname). Ab dem Widerspruch dürfen keine Newsletter mehr zugestellt werden. Die angegebene E-Mail-Adresse kann weiterhin aufbewahrt werden, um zu verhindern, dass aus Versehen ein Newsletter ohne Einwilligung zugestellt wird. 

Da dem Empfänger in jedem Newsletter die Möglichkeit zur Abmeldung geboten werden muss, kann das Vereins-/Verbandsmitglied, das einen Newsletter ohne Einwilligung erhält, diesen jederzeit abbestellen. Ab diesem Zeitpunkt ist eine Zustellung weiterer Newsletter untersagt. 

Sollte der Empfänger die Löschung seines Newsletter- oder Mitgliederprofils beim Verein/Verband beantragen, so ist auch die E-Mail-Adresse zu löschen. Ein datenschutzrechtlicher Löschantrag führt nicht dazu, dass alles über das Mitglied des Vereins/Verbands gelöscht werden muss. Was von Gesetzes wegen aufbewahrt werden muss (z.B. aufgrund der buchhalterischen Aufbewahrungspflicht), darf nicht gelöscht werden. Mit anderen Worten: Solange der Verein/Verband einen gesetzlichen Grund hat, um die Daten aufzubewahren, gehen diese einem Löschbegehren einer betroffenen Person vor. Nach Ablauf der Aufbewahrungsfristen sind die Personendaten jedoch zu löschen. 

Unter Löschen ist der eigentliche, unumkehrbare Löschvorgang oder die Umformatierung von Daten sowie die physische Zerstörung von Datenträgern zu verstehen. Daten gelten jedoch in der Regel bereits dann als gelöscht, wenn sie nicht oder nur noch mit unverhältnismässigen Mitteln wiederhergestellt werden können. 

Auch die Anonymisierung stellt grundsätzlich ein Mittel zur Löschung dar, wobei jedoch sicherzustellen ist, dass niemand ohne unverhältnismässigen Aufwand einen Personenbezug wiederherstellen kann. Personenbezogene Daten werden dadurch anonymisiert, indem deren Personenbezug entfernt wird. 

Wer ist verantwortlich innerhalb eines Vereins/Verbands für die Einhaltung des Datenschutzrechts? 

Der Vorstand des Vereins/Verbandes ist dafür verantwortlich, dass die Daten im Einklang mit den geltenden Datenschutzbestimmungen (DSG und ggf. DSGVO) bearbeitet werden. 

Welche Rolle hat Fairgate für den Verein/Verband in Bezug auf das Datenschutzrecht? 

Fairgate stellt die Software-Lösung bereit und ermöglicht den Betrieb der Software über das Internet. Fairgate ist aus datenschutzrechtlicher Sicht der Auftragsbearbeiter des Vereins/Verbands.  

Der Verein/Verband ist der sog. Verantwortliche («Controller»). Das heisst, die Verantwortung für den Datenschutz bleibt unverändert beim Verein/Verband. Fairgate als Auftragsbearbeiter («Processor») bearbeitet Personendaten als Dienstleister im Auftrag des Vereins/Verbands, nämlich indem Fairgate die Software via Internet zur Verfügung stellt und Support erbringt und dadurch potentiell Zugriff auf die Personendaten hat.  

Der Schutz der Privatsphäre der Kunden von Fairgate und der Mitglieder der von Fairgate betreuten Vereine und Verbände ist uns sehr wichtig. Selbstverständlich hat Fairgate alle notwendigen Schritte unternommen, um datenschutzkonform zu sein. Sie finden in unserer Datenschutzerklärung (Link) weitere Informationen dazu, wie Fairgate Personendaten bearbeitet. Ausserdem sind wir jederzeit bereit, mit unseren Kunden eine Auftragsverarbeitungsvereinbarung («AVV») abzuschliessen. Die AVV kann auf Ihrer Modulbuchungsseite mit Fairgate eingegangen werden (Umsetzung in Arbeit).

Welche Massnahmen sind nun notwendig? 

Fairgate hat mit den eigenen, externen Datenschutzexperten Empfehlungen ausgearbeitet, wie ihr Verein/Verband die geltenden Datenschutzpflichten innert nützlicher Frist umsetzen kann. Zu empfehlen ist, dass jeder Verein/Verband ein kleines Datenschutzprojekt durchführt, um den aktuellen Reifegrad in Sachen Datenschutz zu erheben und notwendigen Massnahmen zu treffen. Zu diesen Massnahmen zum Erreichen der Konformität mit dem Datenschutzrecht gehören folgende, empfohlene Schritte:  

1. Etablieren Sie eine Datenschutzorganisation 

• Je nach Grösse und Struktur des Vereins/Verbands ist zu empfehlen, die Verantwortlichkeiten und Zuständigkeiten zu regeln oder bei Bedarf einen externen Datenschutzberater festzulegen.  

• Interne Weisungen, Richtlinien und Anleitungen über den Umgang mit Personendaten und den Datenschutzpflichten zu erlassen. Ausserdem sind die Personen, welche mit Personendaten in Kontakt kommen, in angemessenem Umfang zu schulen.  

• Erstellen Sie ein Bearbeitungsverzeichnis, woraus ersichtlich ist, zu welchen Bearbeitungszwecken welche Personendaten gesammelt werden, an wen sie weitergegeben werden und wie lange sie gespeichert werden.  

2. Erfüllen Sie die Informationspflicht 

• Entwerfen Sie eine Datenschutzerklärung oder überarbeiten Sie die bestehende. Darin müssen Sie Auskunft geben, wie Sie Personendaten bearbeiten.  

• Machen Sie die Datenschutzerklärung publik und weisen Sie überall auf die Datenschutzerklärung hin, wo Sie Personendaten sammeln (z.B. Webseite, Spendenaktion, Wettbewerbe, etc.). Es genügt, wenn die Datenschutzerklärung auf Ihrer Webseite verlinkt ist und dort einfach gefunden wird. Wir empfehlen, einen Link zur Datenschutzerklärung in den Footer (die Fusszeile) Ihrer Webseite einzufügen. Wir helfen Ihnen, wenn Sie dabei Hilfe brauchen.  

3. Umgang mit Rechten von Betroffenen  

• Es darf jede Person jederzeit anfragen, ob und welche Daten Ihr Verein/Verband über diese Person hat. Ihr Verein/Verband ist von Gesetzes wegen zur Auskunft verpflichtet. Auch Änderungs- oder Löschanträge müssen erfüllt werden. 

• Sehen Sie interne Abläufe und allenfalls Musterschreiben vor, wie man mit derartigen Anfragen umgeht.  

4. Nehmen Sie Ihre Auftragsbearbeiter in die Pflicht 

• Verschaffen Sie sich einen Überblick über die Verträge mit Ihren Dienstleistern.  

• Prüfen Sie die Verträge und schliessen Sie nötigenfalls Auftragsverarbeitungsvereinbarungen (AVV) mit Ihren Dienstleistern ab.  

  Hinweis: Der AVV, den Sie mit Fairgate abgeschlossen haben oder abschliessen können, finden Sie >hier.

• Prüfen Sie, ob Personendaten ins Ausland transferiert werden und sichern Sie sich vertraglich ab, dass diese Bearbeitung durch Dienstleister datenschutzrechtlich konform verläuft. 

5. Datensicherheit 

• Die Daten müssen vor unrechtmässiger Verarbeitung durch Unbefugte geschützt werden. Ebenso müssen die Daten vor versehentlicher Beschädigung oder Verlust geschützt werden. Hierfür müssen geeignete technische, wirtschaftlich zumutbare Massnahmen getroffen werden. 

• Sehen Sie technische und organisatorische Massnahmen (TOM) vor, um die Sicherheit der Personendaten zu gewährleisten.  

Kann mir Fairgate die benötigten Datenschutzdokumente zur Verfügung stellen? 

Leider nein. Da jeder Verein seine eigene Datenbank mit Personendaten aufbaut, Module der Software unterschiedlich nutzt und zusätzlich Drittprodukte einsetzt bzw. anbinden kann (z.B. Raisenow), die nicht von Fairgate stammen und auf wir keinen Einfluss haben, kann Fairgate keine allgemeingültige Datenschutzerklärung zur Verfügung stellen.  

Wir empfehlen Ihnen auf der Basis von im Internet verfügbaren Webseiten die Datenschutzdokumente zu erarbeiten und bei Bedarf Unterstützung von Experten wie Anwälten mit Fachkenntnissen beizuziehen. Bei Bedarf können wir Ihnen Empfehlungen von Fachpersonen abgeben. 

Empfehlungen und Erfahrungen von Fairgate betreffend spezifischer Anwendungsfälle 

1. Versand von Newslettern 

Aus Art. 3 Abs. 1 Bst. O UWG ergibt sich, dass die Zustellung von elektronischen Werbesendungen per E-Mail nur in zwei Fällen zulässig ist: 

1. wenn der Empfänger eine explizite Einwilligung zur Zustellung von elektronischen Werbesendungen erteilt hat (d.h. Anmeldung für Newsletter), oder 

2. wenn mit dem Empfänger bereits ein Vertrag/Mitgliedschaft abgewickelt wurde, der Empfänger die E-Mail-Adresse freiwillig mitgeteilt hat und die Massenwerbung ähnliche Angebote betrifft (d.h. Werbung an Kunden). Dies gilt aber nur, wenn der Empfänger bereits im Rahmen des Vertragsabschlusses oder der Vertragsabwicklung auf die Ablehnungsmöglichkeit in klarer Form hingewiesen wurde und der Massenwerbung nicht widersprochen hat. 

Registriert sich eine Person beispielsweise in einem Webshop oder registriert sie sich für ein Mitgliederprofil eines Vereins/Verbands, willigt aber nicht in den Newsletter-Versand ein, so darf dieser Person, solange sie keine Waren oder Dienstleistungen gekauft hat, auch kein Newsletter zugestellt werden.  

Üblicherweise kann der Empfänger die Einwilligung durch Ankreuzen eines entsprechenden Kästchens (sog. «Checkbox») geben oder indem er bei einem separaten Newsletter-Anmeldeformular seine E-Mail-Adresse angibt («Opt-in»). In was der Empfänger einwilligt, muss für ihn klar ersichtlich sein (Bsp.: «Ich möchte elektronische Werbesendungen von [Verein FC Superkicker] erhalten, z.B. Newsletter per E-Mail/SMS mit Informationen über Neuheiten und Spielberichte. Meine Einwilligung kann ich jederzeit per E-Mail an unsubscribe@xyz.ch mit Wirkung für die Zukunft widerrufen.»).  

Anschliessend lässt man sich die Einwilligung durch den Empfänger durch ein sog. «Double Opt-in»-Verfahren bestätigen, bei dem der Einwilligende nach Angabe seiner E-Mail-Adresse durch eine anschliessende Bestätigungs-E-Mail die Möglichkeit erhält, seine Anmeldung nochmals zu bestätigen. Dies erfolgt in der Regel mit einer E-Mail, die einen Bestätigungslink enthält. Bei einer SMS kann die Bestätigung mit einer kurzen, zustimmenden Textnachricht als Antwort erfolgen.  

Wird eine Checkbox für die Einwilligung verwendet, so darf diese weder vorangekreuzt sein noch sich auf weitere Einwilligungen beziehen (z.B. für AGB). Einziges Pflichtfeld für das Abonnieren eines Newsletters ist die E-Mail-Adresse. Soll der Newsletter über andere Kanäle verbreitet werden, so ist bspw. die Telefonnummer oder Account-Name (z.B. bei Social Media) zu erfragen. Es gilt der Grundsatz der Datensparsamkeit (vgl. dazu «Was sind die wichtigsten Grundsätze für einen Verein/Verband»).  

Zu Beweiszwecken ist es ratsam die Einwilligung zu protokollieren, bspw. anhand eines Zeitstempels in einer Log-Datei oder Datenbank. (Hinweis: Die Software-Lösung von Fairgate hat diese Protokollierung bereits umgesetzt.) 

Da bei einem E-Mail-Newsletter Personendaten bearbeitet werden, muss beim Anmeldeformular ein Hinweis auf die Datenschutzerklärung meist als Link zu finden sein, worin die Angaben über den Versand von Newslettern enthalten sind. Es bedarf jedoch keiner Einwilligung in die Datenschutzerklärung (z.B. durch Aktivieren einer Checkbox). 

2. Intranet, bzw. Bekanntgabe von Mitgliederdaten innerhalb des Vereins 

Die Bekanntgabe von Mitgliederdaten (z. B. Abgabe der Mitgliederliste mit Adressen) an andere Mitglieder ist grundsätzlich nur zulässig, wenn zuvor die Einwilligung jedes einzelnen Mitglieds eingeholt wurde und klar definiert ist, zu welchem Zweck die bekanntgegebenen Daten verwendet werden (z. B., um miteinander Kontakt aufzunehmen; für Vereinsaktivitäten, aber nicht für Kundenwerbung). 

3. Bekanntgabe von Mitgliederdaten an Dritte ausserhalb des Vereins 

Die Bekanntgabe von Mitgliederdaten an Dritte ist nur zulässig, wenn die Mitglieder über den Zweck der Bekanntgabe informiert wurden (z.B. durch die Datenschutzerklärung) und ausdrücklich zugestimmt haben oder die Möglichkeit hatten, im Vorfeld der Bekanntgabe zu widersprechen. Aus der Information muss hervorgehen, welche Daten (Adresse, Geburtsdatum, Telefonnummer usw.) weitergegeben werden, zu welchem Zweck (z. B. Werbung, Lizenzvergabe) und an welche Dritten (Sponsoren, Verband usw.). 

Wenn nötig kann die erwähnte Bekanntgabe in den Statuten oder in einer besonderen Vorschrift vorgesehen sein.  

Die Bekanntgabe von Daten an Dritte ist auch denkbar, wenn dies gesetzlich vorgesehen oder vorgeschrieben ist (z. B. die Bekanntgabe von Daten in einem Strafverfahren). 

Anwendungsfall: Bekanntgabe von Daten an eine Dachorganisation oder einen Verband:  
Die Dachorganisation oder der Verband ist eine vereinsunabhängige juristische Person, die daher in Bezug auf die Mitglieder den Status eines Dritten hat. Die Mitgliederdaten dürfen aus diesem Grund nur dann an die Dachorganisation bekanntgegeben werden, wenn die Betroffenen ihre Einwilligung gegeben haben oder wenn dies in den Statuten vorgesehen ist. 

4. Veröffentlichung von Mitgliederdaten, z.B. auf der Webseite 

Vor einer Veröffentlichung, zum Beispiel in einem Printmedium oder auf der Webseite, muss der Vorstand beurteilen, ob eine Veröffentlichung zweckmässig ist. Die Mitglieder sind darüber zu informieren.  

Die Veröffentlichung von Daten im Internet birgt ein erhöhtes Risiko einer Persönlichkeitsverletzung. Die veröffentlichten Informationen werden weltweit zugänglich, und die betroffenen Personen haben keine Kontrolle darüber, wie ihre Daten verwendet werden. Was einmal im Internet veröffentlicht wurde, kann praktisch nicht mehr gelöscht werden. Es ist daher oft sinnvoller, den Zugang zu den Mitgliederdaten auf einen begrenzten Personenkreis in einem geschützten Bereich auf der Webseite zu beschränken. 

5. Cookie-Banner auf der Webseite 

Das Setzen und Verwenden von sog. Cookies auf Webseiten ist äusserst verbreitet oder gar technisch notwendig, um die Webseite richtig darzustellen. Da durch die Verwendung von Cookies in aller Regeln Personendaten bearbeitet werden, ist der Webseiten-Nutzer über die Verwendung von Cookies zu informieren. Dies ergibt sich aber nicht aus dem DSG, sondern aus dem Fernmeldegesetz, Art. 45c FMG: «Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt […], wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.»  

Die Information kann im Rahmen der Datenschutzerklärung erfolgen. Eine Einwilligung muss nicht eingeholt werden. Zu empfehlen ist, darauf hinzuweisen, wie Cookies im Internet-Browser blockiert oder gelöscht werden können.   

Anders ist es innerhalb der EU bzw. wenn die DSGVO zur Anwendung gelangt. Nach den EU-Bestimmungen der EU-Cookie-Richtlinie braucht es zwingend eine Einwilligung bezüglich Cookies. Sollten Sie Tracking-Dienste oder Cookies auf ihrer Webseite einsetzen, müssen Sie im Falle der Anwendbarkeit von EU-Recht (zur Anwendbarkeit der DSGVO vgl. Frage „Worum geht es beim Datenschutz?“) einen entsprechenden Cookie-Banner einsetzen, um damit den gesetzlichen Anforderungen gerecht zu werden. Ein Cookie Banner nach europäischem Recht ist erst rechtskonform, wenn er unter anderem folgende Anforderungen erfüllt: 

• Allen Cookies, ausser technisch notwendigen muss aktiv zugestimmt werden; 

• Es darf keine Vorauswahl getroffen werden; 

• «Annahme» und «Akzeptieren» sind in gleicher Weise gestaltet und erreichbar; 

• Es muss auf die Datenschutzerklärung verwiesen werden; 

• Die Cookie Einstellungen müssen auch nachträglich angepasst werden können; 

6. Social Media  

Hat Ihr Verein/Verband auch eine Präsenz auf einer Social Media-Plattform, ist zu empfehlen, in Ihrer Datenschutzerklärung darauf hinzuweisen, dass diese Bearbeitung von Personendaten ausserhalb Ihres Verantwortungsbereichs liegt und die jeweiligen Datenschutzbestimmungen der Plattform zur Anwendung gelangen. 

Sollten Sie auf Ihrer Webseite/Intranet-Seite Social-Media-Plugins (z.B. Like Button, Share Button etc.) einsetzen, ist technisch sicherzustellen, dass keine Personendaten der Webseiten-Besucher ohne deren Zustimmung erhoben werden, z.B. via die Zustimmung über einen Cookie-Banner. Darüber hinaus ist über die Verwendung von Social Media Angeboten und die Art des verwendeten Social Plugins in der Datenschutzerklärung zu informieren. 

Quellen und weiterführende Informationen und Links 

• Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): Beschaffung und Verwendung von Personendaten durch Vereine:  
  https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/freizeit_sport/datenbearbeitung_vereine.html 

• Vitamin B: Vereinsthemen Rechtliches: https://www.vitaminb.ch/vereinsthemen/rechtliches/datenschutz 

7. FAQs Stand 28. September 2023

0. Allgemein

Frage: Was bedeutet es, wenn Fairgate als Auftragsverarbeiter agiert?

Antwort: Als Auftragsverarbeiter verarbeiten wir Daten im Auftrag des datenverantwortlichen Vereins und halten uns strikt an die Vorgaben des Vereins. Dies bedeutet, dass wir keine Entscheidungen über den Zweck und die Mittel der Datenverarbeitung treffen und keine Daten speichern, ausser die für die Funktionalität notwendigen.

1. Datenverarbeitung durch Drittanbieter

1.1 Google Analytics

Frage: Wie werden Daten durch Google Analytics erfasst und verarbeitet?

Antwort: Informieren Sie Ihre Kunden darüber, ob und wie Daten durch Google Analytics erfasst werden, falls Sie diese Funktion nutzen. Bei einer positiven Antwort sollte diese Information in Ihrer Datenschutzerklärung enthalten sein. Wir von Fairgate erheben diesbezüglich nicht gesondert Daten.

1.2 Social Media Plattformen

Frage: Welche Daten werden an Plattformen wie Facebook und Instagram übermittelt?

Antwort: Alle integrierten Produkte und Services sollten in Ihrer Datenschutzerklärung aufgeführt sein. Für spezifische Datenübermittlungen wenden Sie sich direkt an den jeweiligen Anbieter.

1.3 Abacus für Lohnbuchhaltung

Frage: Welche Daten werden an z.B. Abacus für die Lohnbuchhaltung übermittelt?

Antwort: Es werden numerische Datenfelder und Buchungssätze übermittelt. Personenbezogene Daten, mit Ausnahme von Namen, sind in der Regel ausgeschlossen. Sie steuern dies jedoch selbst auch über Ihren Buchungssatz

2. Server und Datenspeicherung:

Frage: Wo stehen die Server, auf denen unsere Daten gespeichert sind?

Antwort: Informationen zu Serverstandorten finden Sie in den AGBs und der Datenschutzerklärung. Weitere Details sind im Bereich "Module & Services" und im Footer jedes Dokuments zu finden.

3. Cookies und Webseitenfunktionalität:

Frage: Welche Art von Cookies werden auf unserer Webseite gesetzt?

Antwort: Auf der Webseite werden lediglich funktionale Cookies gesetzt, die für bestimmte Webseitenfunktionen notwendig sind. Es werden keine optionalen Cookies oder Tracker verwendet. Daher wird in der Regel auch kein Einverständnis benötigt. Mehr hierzu in der Datenschutzerklärung direkt.

4. Schnittstellen zu anderen Diensten:

Frage: Wie sieht die Datenübermittlung an GotCourts aus?

Antwort: GotCourts agiert als Auftragsverarbeiter. Ihr eigener Vertrag mit GotCourts gibt detaillierte Informationen darüber, welche Daten verarbeitet und übermittelt werden.

Frage: Welche Informationen werden an Zürich Tennis übermittelt?

Antwort: Für detaillierte Informationen zur Datenübermittlung an Zürich Tennis sollten Sie sich direkt an Zürich Tennis wenden.

5. Datenschutz und Compliance:

Frage: Wie können Vereine sicherstellen, dass alle Mitglieder eine Einverständniserklärung zur Datenverarbeitung abgeben?

Antwort: Eine Einwilligung ist nicht immer notwendig. Es ist jedoch wichtig, sicherzustellen, dass die Datenverarbeitung nicht widerrechtlich ist. Weitere Informationen finden Sie im Datenschutzleitfaden oder/und Ihrer Rechtsberatung

Frage: Gibt es einen Leitfaden oder eine Mustervorlage für das neue Datenschutzgesetz?

Antwort: Fairgate bietet keine spezifische Mustervorlage für das neue Datenschutzgesetz an. Es ist empfehlenswert, dass Vereine individuelle Dokumente basierend auf ihren spezifischen Anforderungen erstellen.

6. Datenschutzerklärung und Mustervertrag:

Frage: Gibt es einen Mustervertrag für die neue Datenschutzerklärung?

Antwort: Nein, es gibt keinen spezifischen Mustervertrag für Vereine zum Thema Datenschutz im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO).

Frage: Wieso können wir keinen Mustervertrag erstellen?

Antwort: Jeder Verein hat einzigartige Daten, die er erhebt und verarbeitet. Die Art und Weise, wie Daten gesammelt, gespeichert und verwendet werden, variiert von Verein zu Verein. Ein Mustervertrag wäre in diesem Kontext nicht nur unzureichend, sondern könnte auch zu Missverständnissen und rechtlichen Problemen führen. Es ist daher empfehlenswert, dass Vereine individuelle Verträge basierend auf ihren spezifischen Anforderungen und Gegebenheiten erstellen.