Information an Betreuende, Freiwillige und Mitarbeitende

Datenschutz-Weisung SRK Kanton Luzern

Sämtliche Mitarbeitenden, Ehrenamtlichen, Freiwilligen und durch das SRK Kanton Luzern beauftragten Personen sind in ihrem Tätigkeitsbereich für den Datenschutz verantwortlich. Kritische Aufmerksamkeit und eigenverantwortliches Verhalten von ihnen werden vorausgesetzt. Sie werden hinsichtlich ihrer Verantwortung für den Datenschutz entsprechend ihrer Funktion sensibilisiert und ausgebildet.

Verstösse gegen das Schweizerische Datenschutzgesetz können zu hohen Bussen für Mitarbeitende, Ehrenamtliche und Freiwillige führen, die Personendaten konkret bearbeiten. Das SRK Kanton Luzern als Arbeitgeber kann zudem Sanktionen bis hin zur fristlosen Auflösung des Arbeitsverhältnisses aussprechen.
 

1. Allgemeine Grundsätze für die Bearbeitung von Personendaten


Alle Mitarbeitenden, Ehrenamtlichen und Freiwilligen halten sich an die im Bundesgesetz über den Datenschutz festgelegten allgemeinen Grundsätze. Daneben gelten auch die vom Rotkreuzrat verabschiedeten Datenschutz-Grundsätze des SRK. Die Einhaltung dieser Grundsätze muss von dem/der verantwortlichen Mitarbeitenden (Dateneigner:in) bei jeder Bearbeitung von Personendaten nachgewiesen werden können.

Rechtmässigkeit:

Personendaten müssen auf rechtmässige Weise bearbeitet werden. Falls eine Rechtsgrundlage erforderlich ist, darf die Datenbearbeitung nur dann und soweit erfolgen, wie diese für den jeweiligen Verarbeitungsvorgang vorhanden ist.

Transparenz, Treu und Glauben:

Die Datenbearbeitung nach Treu und Glauben verlangt ein ehrliches, faires, verantwortliches und rechtlich korrektes Verhalten im Umgang mit Personendaten. Die Betroffenen erhalten präzise und leicht verständliche Informationen über den Datenverantwortlichen, den Bearbeitungszweck, mögliche Datenempfänger(kategorien), und bei indirekter Datenerhebung über die Datenart.

Zweckbindung:

Jede Erhebung und Bearbeitung von Personendaten muss einen bestimmten und für die betroffene Person erkennbaren Zweck verfolgen und nur so, dass es mit diesem Zweck vereinbar ist.

Verhältnismässigkeit:

Es dürfen nur diejenigen Personendaten erhoben und bearbeitet werden, die für die Erfüllung der Aufgaben bzw. die Erreichung des Bearbeitungszwecks unbedingt notwendig und dafür geeignet sind. Nicht mehr benötigte Personendaten müssen zeitnah vernichtet oder anonymisiert werden, sofern keine Archivierungs- oder Aufbewahrungsfristen oder ein entsprechendes Aufbewahrungsinteresse bestehen.

Datenrichtigkeit:

Die bearbeiteten Personendaten sollen richtig und aktuell sein. Es müssen deshalb angemessene Massnahmen getroffen werden, um dies zu ermöglichen.

Datensicherheit und Vertraulichkeit:

Personendaten müssen während des gesamten Bearbeitungs- und Aufbewahrungsprozesses geschützt und durch angemessene Massnahmen gesichert werden. Personendaten sind vertraulich zu behandeln.

Datenschutz / Privacy by Design und by Default:

Systeme sollen so entwickelt und programmiert werden, dass sie von Grund auf datenschutzfreundlich gestaltet sind (Privacy by Design) und die enthaltenen Voreinstellungen stets standardmässig den grösstmöglichen Datenschutz ermöglichen (Privacy by Default).
 

2. Rechtmässigkeit der Bearbeitung von Personendaten


Bei der Bearbeitung von Personendaten darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzt werden. Die Bearbeitung oder Erhebung von Personendaten ist nicht widerrechtlich, wenn ein «Rechtfertigungsgrund» durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz vorliegt.

Es gibt grundsätzlich folgende Rechtfertigungsgründe:

  • Einwilligung der betroffenen Person

  • Erfüllung eines Vertrags

  • Überwiegendes privates oder öffentliches Interesse

  • Gesetzliche Grundlage

  • Forschung, Planung oder Statistik

Bevor mit einer neuen Bearbeitung von Personendaten begonnen wird, muss sich der/die Dateneigner:in (ggf. zusammen mit dem/der Datenschutzberater:in) vergewissern, dass wo erforderlich ein Rechtfertigungsgrund vorliegt. Nachfolgend werden die verschiedenen Rechtfertigungsgründe sowie Spezialfälle anhand von Beispielen erklärt.

Einwilligung der betroffenen Person:

Die Einwilligung der betroffenen Person ist ein sehr aktiver und transparenter Rechtfertigungsgrund.

Vor der Einwilligung muss die betroffene Person umfassend über den Datenverantwortlichen, den Bearbeitungszweck, mögliche Datenempfänger(kategorien) und bei indirekter Datenerhebung über die Datenart informiert werden. Die Einwilligung ist an keine Formvorschrift gebunden, sie muss jedoch freiwillig und eindeutig erteilt werden. Aus Beweisgründen empfiehlt sich aber eine schriftliche oder elektronische Erklärung.

Eine ausdrückliche Einwilligung ist für die Bearbeitung von besonders schützenswerten Personendaten und für das Profiling mit hohem Risiko erforderlich. Diese kann schriftlich (analog oder digital) erfolgen, aber auch durch eine mündliche Äusserung gegeben werden, wobei eine beweisbare Erklärung vorzuziehen ist. Eine Einwilligung ist auch durch das Ankreuzen eines Kästchens oder das Anklicken einer Schaltfläche auf einer Website (z.B. «Weiter») gültig. Nicht zulässig sind Blankoeinwilligungen. Keine Einwilligung liegt vor, wenn die betroffene Person gänzlich untätig bleiben muss.

Erfüllung eines Vertrags:

Personendaten von Leistungsbeziehenden, Geschäftskundinnen oder Vertragspartnern dürfen zur Begründung, Durchführung und Beendigung eines Vertrags ohne Einwilligung erhoben und bearbeitet werden. Die Datenbearbeitung umfasst auch das Beziehungsmanagement zu diesen Personen, sofern dieses im Zusammenhang mit dem Vertragszweck steht (z.B. die Verdankung einer Spende). Ist dieser Zusammenhang nicht gegeben, das heisst, man will die Daten für einen anderen Zweck bearbeiten (z.B. um einer/m Leistungsbeziehenden Spendenaufrufe zuzustellen), so ist ein Rechtfertigungsgrund – primär in Form einer Einwilligung samt transparenter Information der betroffenen Person – notwendig.

Überwiegendes privates Interesse:

Für die Erfüllung seines Mandats muss das SRK Kanton Luzern Personendaten sammeln und bearbeiten können. In diesem Zusammenhang ist es dem SRK Kanton Luzern erlaubt, für die Durchführung einer Bearbeitungstätigkeit die Daten einer betroffenen Person zu bearbeiten, auch wenn dies in gewissem Widerspruch zu den Interessen der betroffenen Person steht (daher das «überwiegende» private Interesse des SRK Kanton Luzern).

Diese Interessensabwägung muss stets unter Einbezug der Datenschutzberater:in vorgenommen werden.

Gesetzliche Grundlage:

Die Erhebung oder Bearbeitung von Personendaten ist zulässig, wenn ein Gesetz, eine Verordnung oder ein anderer gesetzlicher Erlass dies explizit so vorsieht. Viele Bundesgesetze haben eigene datenschutzrechtliche Vorschriften erlassen, so z.B. für die Anerkennung ausländischer Ausbildungsabschlüsse, die Einholung eines Strafregister- oder Betreibungsauszugs, Daten im Rahmen von Sozialversicherungsabklärungen oder Einträge in Personenregistern etc. In einem solchen Fall muss grundsätzlich keine Einwilligung eingeholt werden, da die Datenbearbeitung aufgrund der gesetzlichen Vorschrift erlaubt ist. Für die eindeutige Interpretation der gesetzlichen Grundlage ist die Datenschutzberater:in beizuziehen

3. Rechte der betroffenen Person


In den Datenschutz-Grundsätzen hat sich das SRK Kanton Luzern verpflichtet, die Rechte der betroffenen Personen auf umfassende Information, Auskunft, Korrektur, Löschung und Datenportabilität der über sie gespeicherten Personendaten zu wahren.

Recht auf transparente und umfassende Information:

Im Rahmen des Grundsatzes der Transparenz hat die betroffene Person ein Recht auf umfassende Information bzw. der Verantwortliche eine Pflicht zur Information. Ohne die entsprechende Information kann die betroffene Person nicht erkennen, dass und/oder wie ihre Personendaten bearbeitet werden und kann entsprechend ihre gesetzlich garantierten Rechte nicht wahrnehmen.

Die betroffene Person muss mindestens über die Identität des Verantwortlichen, den Bearbeitungszweck, Empfänger(kategorien), denen Personendaten bekannt gegeben werden und im Fall einer indirekten Datenerhebung (nicht von der betroffenen Person selbst) auch über die Datenarten informiert werden. Die Information kann individuell oder kollektiv erfolgen, beispielsweise die auf der Website veröffentlichte Datenschutzerklärung, auf die aber im Einzelnen immer hingewiesen werden sollte. Die betroffene Person soll bei der Beschaffung ihrer Personendaten die wichtigsten Informationen bereits auf der ersten Kommunikationsstufe erhalten.

Weitere Rechte:

Daneben gelten für die betroffene Person, deren Personendaten beim SRK Kanton Luzern bearbeitet werden, die folgenden Rechte:

  • das Recht auf Auskunft, unter anderem über die Herkunft, den Erhebungs- und Verwendungszweck, die geplante Dauer der Speicherung sowie die Art der Bearbeitung ihrer gespeicherten Personendaten sowie an welche Drittpersonen ihre Personendaten weitergegeben werden;

  • das Recht auf Berichtigung und/oder Ergänzung ihrer Daten, sollten diese unrichtig oder unvollständig sein;

  • das Recht auf Widerspruch und Einschränkung der Bearbeitung der für den Zweck benötigten Personendaten;

  • das Recht auf Widerruf einer Einwilligung;

  • das Recht auf Löschung, soweit nicht zwingende gesetzliche Gründe oder überwiegende (berechtigte) Interessen die Speicherung und weitere Bearbeitung erfordern. Je nachdem kann die Löschung auch Anonymisierung der Daten bestehen;

  • Das Recht auf Datenportabilität in einem elektronischen Format für automatisierte bearbeitete Personendaten, die das SRK Kanton Luzern mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem SRK Kanton Luzern als Verantwortlichen und der betroffenen Person bearbeitet;

  • das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen, wenn es zu datenschutzrechtlichen Verstössen gekommen ist. Die genaue Umsetzung dieser Rechte sowie die damit verbundenen Prozesse sind im DSG geregelt.

4. Weitergabe von Personendaten an Dritte


Es gibt Fälle, wo Personendaten nicht nur innerhalb des SRK Kanton Luzern bearbeitet, sondern an Dritte weitergeben werden. Dies ist zum Beispiel der Fall, wenn Personendaten an Vertragspartner, Rotkreuz-Organisationen oder Behörden aus bestimmten Gründen weitergegeben werden. Damit dies rechtmässig ist, braucht es jeweils einen Rechtfertigungsgrund, insbesondere wenn die Personendaten dabei zu einem anderen Zweck bearbeitet werden oder besonders schützenswerte Personendaten bekanntgegeben werden.

Weitergabe an interne Empfänger (innerhalb SRK Kanton Luzern):

Grundsätzlich dürfen Personendaten an interne Empfänger, das heisst an andere Abteilungen innerhalb des SRK Kanton Luzern, weitergegeben werden, wenn dies zur Erfüllung des Auftrags notwendig ist.

Weitergabe an externe Empfänger:

Sollen Personendaten an Dritte ausserhalb weitergegeben werden, müssen zuerst die Bestimmungen der Weisung zum Umgang mit Dritten berücksichtigt werden. Diese besagt grundsätzlich, wenn das SRK Kanton Luzern selber die Ressourcen fehlen oder Dritte diese Aufgabe besser erfüllen können, können Personendaten an Dritte zur Bearbeitung und Aufbewahrung weitergegeben werden.

Wenn ein Dritter im Auftrag und auf Anweisung des SRK Kanton Luzern Personendaten bearbeitet, ohne dass diesem die gesamte Verantwortung hierfür übertragen worden ist, liegt eine Auftragsbearbeitung vor. Eine Auftragsbearbeitung ist nur erlaubt, wenn dies gesetzlich oder vertraglich möglich ist (z.B. nicht durch das Arztgeheimnis oder eine Geheimhaltungsklausel in einem Vertrag verboten ist) und der Auftragsbearbeiter die Bearbeitung nur so erfüllt, wie sie der Verantwortliche erfüllen dürfte. Wenn es sich um eine Weitergabe innerhalb derselben juristischen Person handelt, liegt keine Auftragsbearbeitung vor.

Beispiele:

  • Organisation A beauftragt Organisation B Spendenbriefe zu drucken und verschicken und gibt ihr deshalb Zugang auf die Spendendatenbank.

  • Organisation A speichert seine Dokumente auf den Servern von Organisation B.

Der Verantwortliche hat dabei die folgenden drei Pflichten:

  • Sorgfalt bei der Auswahl: Ein Auftragsbearbeiter muss sorgfältig ausgewählt werden. Es muss sichergestellt werden, dass er die gesetzlichen Anforderungen an Datenschutz und -sicherheit erfüllen kann.

  • Sorgfalt bei den Anweisungen: Dem Auftragsbearbeiter müssen alle für die Aufgabenerfüllung notwendigen Anweisungen in vertraglicher Form gegeben werden. Je höher ein mit der Bearbeitung verbundenes Risiko ist, umso aufmerksamer muss der Verantwortliche bei der Formulierung der Anweisungen sein.

  • Sorgfalt bei der Überwachung: Der Verantwortliche muss die Einhaltung der datenschutzrechtlichen Pflichten und des vertraglich vereinbarten Auftrags überwachen um jegliche Verletzungen zu vermeiden.

Gemäss den Datenschutz-Grundsätzen des SRK Kanton Luzern werden Personendaten nach Möglichkeit nur in der Schweiz und der EU gespeichert.

Der Auftragsbearbeiter ist verpflichtet, die gesetzlichen und vertraglich vereinbarten Pflichten einzuhalten, insbesondere darf er Personendaten nur gemäss den Anweisungen des Verantwortlichen bearbeiten. Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche. Der Auftragsbearbeiter kann für die Bearbeitung wiederum einen Dritten (den sogenannten Unterauftragsbearbeiter) beauftragen, sofern er hierfür die Einwilligung des Verantwortlichen hat.

Im Falle einer Verletzung der Datensicherheit muss der Auftragsbearbeiter den Verantwortlichen unverzüglich informieren, sodass dieser über das weitere Vorgehen entscheiden kann.
 

5. Datensicherheit


Personendaten müssen im Umgang vertraulich behandelt und in einer Weise bearbeitet werden, die eine angemessene Sicherheit der Personendaten gewährleistet. Dies beinhaltet unter anderem den Schutz vor unbefugter oder unrechtmässiger Bearbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Zur Gewährleistung einer angemessenen Datensicherheit ist der Schutzbedarf der Personendaten zu bestimmen und geeignete technische und organisatorische Massnahmen festzulegen. Technische Massnahmen hängen direkt mit dem Informationssystem bzw. der Applikation zusammen, welche bestimmten Kriterien genügen müssen, um die Sicherheit der Personendaten gewährleisten zu können. Organisatorische Massnahmen hingegen betreffen das Umfeld des Informationssystems, insbesondere die Personen, die es nutzen und ihr Umfeld. Nur ein Zusammenspiel beider Arten von Massnahmen verhindert die Vernichtung oder den Verlust von Daten oder Irrtümer, Fälschungen und unberechtigten Zugang.

Die wichtigsten technischen und organisatorischen Massnahmen sind:

  • Pseudonymisierung und Verschlüsselung der Personendaten bei Aufbewahrung und Austausch

  • Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Applikationen

  • Protokollierung Bearbeitungsvorgängen, in gewissen Fällen aufzubewahren getrennt vom System, in welchem die Personendaten bearbeitet werden

  • Sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten gemäss Need-to-Know-Prinzip

  • Privacy by Design und by Default

  • Regelmässige Überprüfung und Bewertung der Wirksamkeit der getroffenen technischen und organisatorischen Massnahmen

Die technischen und organisatorischen Massnahmen müssen dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie den Risiken, welche die Bearbeitung für die Persönlichkeit und Grundrechte der betroffenen Personen mit sich bringt, angemessen sein. Je höher das Risiko, je grösser die Eintrittswahrscheinlichkeit und je umfangreicher die Datenbearbeitung ist, umso höher sind die Anforderungen an die technischen und organisatorischen Vorkehrungen, damit sie als angemessen gelten können.
 

6. Aufbewahrung und Löschung von Personendaten


Personendaten müssen während ihres gesamten Lebenszyklus geschützt werden und bleiben. Dies umfasst den Moment der Beschaffung, Einspeisung in die Applikation(en) und über alle Bearbeitungsschritte hinweg bis zu ihrer Vernichtung, Anonymisierung oder Archivierung.

Aufbewahrungsfristen:

Personendaten dürfen nur so lange bearbeitet und aufbewahrt werden, als diese für die Erreichung des Zwecks, für den sie erhoben wurden, notwendig sind. Eine längere Aufbewahrung ist aus folgenden Gründen jedoch möglich:

  • Erfüllung von gesetzlichen Pflichten (z.B. Aufbewahrungs- und Dokumentationspflichten aus dem Zivil- oder Steuerrecht)

  • Erfüllung von vertraglichen Pflichten (z.B. Erstellung eines Arbeitszeugnisses)

  • Erfüllung von berechtigten privaten Interessen (z.B. Geltendmachung oder Verteidigung von Rechtsansprüchen)

Die Bestimmung der Aufbewahrungsdauer und -fristen ist nicht immer ganz einfach und muss von Fall zu Fall entschieden werden. Wenden Sie sich an Ihre Ansprechperson beim SRK Kanton Luzern (z.B. Leitung Dienstleistungen, Leitung Bildung, Leitung Freiwilligenarbeit).

​​​​​​​​​​​​​​Pseudonymisierung und Anonymisierung von Personendaten:

Damit die Personen, deren Daten in einem System bearbeitet werden, nicht mehr identifiziert werden können, können die Daten pseudonymisiert oder anonymisiert werden.

Bei der Pseudonymisierung werden alle Daten, die Rückschlüsse auf eine konkrete Person zulassen, durch neutrale Angaben (Pseudonym) ersetzt. Eine Konkordanztabelle hält fest, welches Pseudonym welchen identifizierenden Daten entspricht. Solange diese Tabelle besteht und zugänglich ist, kann die Pseudonymisierung rückgängig gemacht werden. Pseudonymisierte Personendaten bleiben Personendaten, für die die Grundsätze des Datenschutzes gelten.

Bei der Anonymisierung hingegen werden die Daten selber und alle Möglichkeiten, die Originaldaten wieder zu erlangen, definitiv beseitigt. Die Person lässt sich nicht mehr identifizieren, und der Vorgang ist irreversibel. Vollkommen anonymisierte Daten gelten daher nicht mehr als Personendaten.

Während die Pseudonymisierung als sinnvolle Massnahme für die Erhöhung des Datenschutzes gilt, ist die Anonymisierung eine Alternative zur Löschung von Personendaten. Beide Massnahen sollten so oft wie möglich genutzt werden.

​​​​​​​Löschung von Personendaten:

Sobald die Personendaten zum Zweck der Bearbeitung nicht mehr notwendig sind, müssen diese vernichtet oder anonymisiert werden. Dasselbe gilt, wenn eine betroffene Person explizit die Löschung der Daten fordert. Bei elektronisch gespeicherten Daten reicht oft eine einfache Löschung nicht aus, sie dürfen nie mehr zugänglich sein und entsprechend gelöscht werden. Personendaten auf Papier, v.a. besonders schützenswerte Personendaten, müssen geschreddert werden.
 

7. Meldung einer Datenschutzverletzung


​​​​​​​Unter einer Datenschutzverletzung («Data Breach») ist jede interne oder externe Verletzung der Sicherheit von Personendaten zu verstehen, die:

  • zur Vernichtung,

  • zum Verlust,

  • zur Veränderung,

  • zu unbefugtem Zugriff oder

  • zur unerlaubten Verwendung

dieser Daten führt und dadurch schwerwiegende Beeinträchtigungen für die Interessen und Rechte der betroffenen Personen drohen.

​​​​​​​​​​​​​​Meldung innerhalb SRK Kanton Luzern:

Jede/r Mitarbeitende, Ehrenamtliche und Freiwillige des SRK Kanton Luzern muss unverzüglich einen tatsächlich eingetretenen oder drohenden Vorfall dem/der Datenschutzberater:in melden.

Der/die Datenschutzberater:in wird den Vorfall mit Unterstützung der relevanten Abteilungen auf Verletzung des Datenschutzes hin prüfen und Massnahmen empfehlen, um die Auswirkungen der Datenschutzverletzung für die betroffene Person und das SRK Kanton Luzern soweit möglich zu minimieren. Diese Massnahmen werden durch alle relevanten Abteilungen (betroffene Abteilung, Rechtsdienst, Kommunikation und IT etc.) umgesetzt. Soweit erforderlich wird die Verletzung den zuständigen Aufsichtsbehörden (primär EDÖB) und den betroffenen Personen gemeldet.

​​​​​​​​​​​​​​Meldung an die betroffene(n) Person(en):

Die betroffene Person muss über die Verletzung ihrer Personendaten informiert werden, wenn es zu ihrem Schutz erforderlich ist. Dies ist insbesondere der Fall, wenn die betroffene Person notwendige Schritte zu ihrem Schutz unternehmen kann (z.B. Änderung des Passworts). Dasselbe gilt, wenn der EDÖB dies verlangt.

Besonders in den folgenden Fällen kann die Mitteilung an die betroffene Person eingeschränkt, aufgeschoben oder darauf verzichtet werden:

  • überwiegende Interessen eines Dritten

  • gesetzliche Geheimhaltungspflicht

  • Informationspflicht kann nicht erfüllt werden oder erfordert einen unverhältnismässigen

  • Aufwand

  • Information einer grossen Zahl von Personen mittels öffentlicher Bekanntgabe

  • Die Meldung erfolgt durch die Datenschutzberater:in in Absprache mit dem/der Geschäftführer:in

Kontakt: Bei Fragen zum Datenschutz und den Weisungen melden Sie sich bitte bei der Datenschutzberaterin vom SRK Kanton Luzern virginia.darusman@srk-luzern.ch oder bei Ihrer Ansprechperson beim SRK Kanton Luzern (z.B. Leitung Dienstleistungen, Leitung Bildung, Leitung Freiwilligenarbeit).