(Juli 2021)
Das vorliegende Konzept ist das Datenschutzkonzept des Vereins Bula 2021. Es zeigt die Handhabung der Daten für das Bundeslager (nachstehend mova) auf. Der Verein Bula 2021 stellt die Durchsetzung und die Einhaltung dieses Datenschutzkonzeptes sicher und ist verantwortlich den teilnehmenden Personen des movas im Rahmen ihres Anmeldeprozesses eine Datenschutzerklärung zu unterbreiten.
Der Verein Bula 2021 sieht die Wahrung von Datenschutzrechten als Teil seiner sozialen Verantwortung.
Im Vordergrund steht die Gewährleistung der Datensicherheit und der Datenintegrität.
Dieses Datenschutzkonzept gilt für die Bearbeitung von Personendaten in allen Geschäftsbereichen des Vereins Bula 2021.
Das vorliegende Datenschutzkonzept richtet sich an alle teilnehmenden Personen und an weitere Personen, welche über einen beliebigen Kanal mit dem Verein Bula 2021 in Kontakt treten, z.B. telefonisch, auf einer Webseite, in einer App, über ein soziales Netzwerk, auf einer Veranstaltung etc.
Dieses Datenschutzkonzept ist sowohl auf die Bearbeitung von bereits erhobenen als auch von zukünftigen Personendaten anwendbar. Für bestimmte Angebote und Leistungen können zudem zusätzliche Datenschutzbestimmungen gelten, die ergänzend zu diesem Datenschutzkonzept Anwendung finden.
Das Datenschutzrecht regelt die Bearbeitung von Personendaten. Personendaten oder auch personenbezogene Daten sind sämtliche Informationen, die mit einer bestimmten natürlichen Person in Verbindung gebracht werden können, d.h. mit einem Menschen. Bearbeitung oder auch Verarbeitung meint jeden Umgang mit Personendaten.
Als Personendaten können z.B. die folgenden Informationen gelten:
In der Schweiz gelten auch Informationen als Personendaten, die sich auf eine bestimmte juristische Person beziehen (z.B. Angaben über einen Vertrag mit einem Unternehmen).
Manche Personendaten werden vom Gesetzgeber besonders geschützt. Dazu gehören die „besonders schützenswerten Personendaten“ (auch „besondere Kategorien personenbezogener Daten“ genannt).
Das umfasst z.B. Daten, die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder eine Gewerkschaftszugehörigkeit hervorgehen, sodann genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung, und schliesslich auch Daten über strafrechtliche Verurteilungen und Straftaten und u.U. Daten über Massnahmen der Sozialhilfe.
Als Bearbeitung gelten z.B. folgende Handlungen:
Die Bestimmungen dieses Datenschutzkonzeptes sind verbindliche Vorschriften.
Dieses Datenschutzkonzept ersetzt nicht die nationalen Gesetze und die EU-Vorschriften. Es ergänzt das nationale Datenschutzgesetz, welches Vorrang hat, wenn die Einhaltung dieses Konzepts zu einem Verstoss gegen nationales Recht führen würde. Der Inhalt dieses Konzepts ist auch dann zu beachten, wenn es keine entsprechenden nationalen Gesetze gibt.
Sofern die Einhaltung dieses Konzepts zu einem Verstoss gegen nationales Recht führen würde oder nach nationalem Recht abweichende Regelungen zu diesem Konzept erforderlich sind, ist dies dem Bereich Juristisches zu melden.
Personendaten werden gemäss Art. 4 Abs. 1 des Bundesgesetzes über den Datenschutz (nachstehend DSG) nur rechtmässig bearbeitet.
Je nach Zweck der Datenbearbeitung stützt sich die Bearbeitung von Personendaten durch den Verein Bula 2021 auf unterschiedliche Rechtsgrundlagen. Insbesondere können Personendaten bearbeiten, wenn die Bearbeitung:
6.3.1. Einwilligung der Datenbearbeitung durch MiData
MiData ist die Mitgliederdatenbank, welche die Pfadibewegung Schweiz (PBS), die Kantonalverbände und die Mehrheit der Schweizer Pfadfinderabteilungen vorwiegend für die Personendaten benutzen. MiData vereinfacht die einheitliche Handhabung der Personendaten, um den Pfadibetrieb sicherzustellen und zu fördern.
Personenbezogene Daten der teilnehmenden Personen des movas befinden sich teilweise schon auf MiData.
Der Einheitsleitende meldet die teilnehmenden Personen seiner Einheit über MiData fürs mova an. Der Anmeldeprozess über MiData für das mova ist vergleichbar mit dem gewohnten Prozess der Lageranmeldung für ein beliebiges Pfadilager. Nach der erfolgten Anmeldung werden die personenbezogenen Daten an die mova-interne Datenbank weitergegeben.
Die teilnehmende Person, welche über MiData von ihrem Einheitsleitenden angemeldet wird, gibt ihm durch ihre mova-Anmeldung ihr Einverständnis ihre Personendaten an MiData und an die mova-interne Datenbank „Orca“ weiterzugeben.
Die Einheitsleitenden sind verantwortlich für die Einholung der Einwilligung der teilnehmenden Personen ihrer Einheit.
6.3.2. Einwilligung der Datenbearbeitung durch Orca
Orca ist die interne Datenbank des Vereins Bula 2021, welche der Teilnehmerverwaltung und dem Buchen der Aktivitäten durch die Einheiten dient.
Teilnehmende und Einheitsleitende, die kein MiData-Profil haben, werden direkt in Orca durch die mova-Teilnehmerverwaltung registriert.
Die teilnehmende Person gibt durch ihre mova-Anmeldung ihr Einverständnis, ihre Personendaten an die mova-interne Datenbank „Orca“ weiterzugeben.
Die Einheitsleitenden sind verantwortlich für die Einholung der Einwilligung der teilnehmenden Personen ihrer Einheit.
6.3.3. Weitere Einwilligung in die Datenbearbeitung
Weitere teilnehmende Personen, welche sich weder über MiData noch über Orca anmelden, geben ihre Einwilligung in die Bearbeitung ihrer Daten durch den mova-Anmeldeprozess.
6.4.1. Datenbearbeitung für eine vertragliche Beziehung
Im Vorfeld eines Vertrages ist die Bearbeitung von personenbezogenen Daten zur Erstellung von Angeboten, der Vorbereitung von Kaufanträgen oder zur Erfüllung sonstiger auf einen Vertragsabschluss gerichteter Wünsche des Interessenten erlaubt. Interessenten dürfen während der Vertragsanbahnung unter Verwendung der Daten kontaktiert werden, die sie mitgeteilt haben. Eventuell vom Interessenten geäusserte Einschränkungen sind zu beachten.
Personenbezogene Daten des betroffenen Interessenten, Kunden oder Partners dürfen zur Begründung, Durchführung und Beendigung eines Vertrages verarbeitet werden. Dies umfasst auch die Betreuung des Kunden oder Partners, sofern dies im Zusammenhang mit dem Vertragszweck steht.
Die Bearbeitung besonders schutzwürdiger personenbezogener Daten erfolgt nur, wenn dies gesetzlich vorgeschrieben oder erlaubt ist. Eine Bearbeitung solcher Daten durch den Verein Bula 2021 kann insbesondere zulässig sein, wenn die teilnehmende Person ausdrücklich in die Bearbeitung eingewilligt hat oder die Bearbeitung zwingend notwendig ist, um die Durchführung des movas zu gewährleisten.
Der Verein Bula 2021 informiert die teilnehmende Person in präziser und verständlicher Sprache in der Lageranmeldung über die Zwecke und Umstände der Bearbeitung ihrer personenbezogenen Daten (Art. 4 Abs. 4 DSG).
Personenbezogene Daten dürfen nur für den legitimen Zweck verarbeitet werden, der vor der Datenerhebung definiert wurde (Art. 4 Abs. 3 DSG). Nachträgliche Änderungen des Bearbeitungszwecks sind nur zulässig unter der Voraussetzung, dass die Bearbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist.
Jede Bearbeitung personenbezogener Daten ist so gestaltet, dass sie sowohl quantitativ als auch qualitativ auf das für die Erreichung der Zwecke, für die die Daten rechtmässig verarbeitet werden, erforderliche Mass beschränkt ist.
Die gespeicherten personenbezogenen Daten sind sachlich richtig und – falls erforderlich – auf dem neuesten Stand (Art. 5 Abs. 1 DSG).
Der Verein Bula 2021 darf davon ausgehen, dass die Daten der teilnehmenden Personen aus dem Anmeldeprozess richtig sind, sofern keine Anhaltspunkte für fehlerhafte Daten vorhanden sind.
Personenbezogene Daten werden nur so lange gespeichert, wie es für den Zweck, für den diese Daten verarbeitet werden, erforderlich ist. Dies bedeutet, dass personenbezogene Daten gelöscht oder anonymisiert werden, sobald der Zweck ihrer Bearbeitung erfüllt ist oder anderweitig erlischt, es sei denn, es bestehen weiterhin Aufbewahrungs- oder Nachweispflichten.
Personenbezogene Daten sind vor unbefugtem Zugriff und unrechtmässiger Bearbeitung oder Weitergabe sowie vor versehentlichem Verlust, Veränderung oder Zerstörung geschützt. Diese ergriffenen Massnahmen beruhen auf dem Stand der Technik, den Risiken der Bearbeitung und dem Schutzbedarf der Daten. Die Anforderungen an die technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten werden kontinuierlich an die technischen Entwicklungen und organisatorischen Veränderungen angepasst.
Die personenbezogenen Daten können an vertragliche Partner des Vereins Bula 2021 weitergegeben werden. Eine Auftragsbearbeitung liegt vor, wenn ein Auftragnehmer als Dienstleister personenbezogene Daten im Namen und nach Weisung des Vereins Bula 2021 als Auftraggebers bearbeitet. Dabei behält der Verein Bula 2021 die volle Verantwortung für die korrekte Durchführung der Datenbearbeitung. Dafür stellt der Verein Bula 2021 durch die Auswahl der Auftragsdatenbearbeiter und durch geeignete vertragliche Vereinbarungen sicher, dass der Datenschutz während der gesamten Bearbeitung der Personendaten auch durch die Auftragsdatenbearbeiter sichergestellt ist. Die Auftragsdatenbearbeiter sind verpflichtet, die Personendaten nur für den festgelegten Zweck zu bearbeiten. Die geeigneten technischen und organisatorische Massnahmen zur Datensicherheit sind durch den Auftragsdatenbearbeiter zu treffen.
Im Falle einer grenzüberschreitenden Übermittlung personenbezogener Daten (einschliesslich der Gewährung des Zugriffs aus einem anderen Land) müssen die einschlägigen nationalen Anforderungen für die Weitergabe personenbezogener Daten ins Ausland erfüllt sein. Insbesondere dürfen personenbezogene Daten aus der EU nur dann in einem Drittland verarbeitet werden, wenn der Empfänger nachweisen kann, dass er über einen Datenschutzstandard verfügt, der dieser Richtlinie entspricht. Geeignete Instrumente können sein:
Übermittlungen personenbezogener Daten an eine Behörde sind nur dann zulässig, wenn sie nicht massenhaft, unverhältnismässig oder undifferenziert sind und in diesem Zusammenhang die Grenzen dessen, was in einer demokratischen Gesellschaft als erforderlich gilt, nicht übersteigen.
Im Falle von Konflikten zwischen dem vorliegenden Datenschutzkonzept und behördlichen Vorgaben wird der Verein Bula 2021 mit der zuständigen Behörde zusammenarbeiten, um eine praktische Lösung zu finden, die dem Zweck dieses Konzepts entspricht.
Die Bearbeitung personenbezogener Daten durch die Schweizerische Pfadistiftung (SPS) zu Zwecken der Spendeneinnahme ist zulässig, soweit sich dies mit dem Zweck des Datenschutzkonzeptes vereinbaren lässt.
Der Verein Bula 2021 dokumentiert die Verfahren, in denen personenbezogene Daten verarbeitet werden, in einem Bearbeitungsverzeichnis.
Eine teilnehmende Person hat die folgende Rechte, wie sie in den näheren Einzelheiten im Datenschutzgesetz und im EU-Recht festgelegt sind:
Teilnehmende Personen sind berechtigt, beim Bereich Juristisches ihre Rechte geltend zu machen. Zudem kann eine Meldung an den Bereich erfolgen, wenn die Ansicht vertreten wird, dass gegen dieses Konzept verstossen wurde. Solche Meldungen können per E-Mail an info@bula21.ch eingereicht werden. Bei keiner Einigung zwischen dem Betroffenen und dem Verein Bula 2021 kann sich die verletzte Person an die zuständige Behörde wenden.
Der Gerichtsstand ist Bern.
Der Verein Bula 2021 ist verantwortlich für die Datenbearbeitung in seinem Verantwortungsbereich. Damit ist er verpflichtet sicherzustellen, dass die gesetzlichen und die in diesem Datenschutzkonzept enthaltenen Anforderungen des Datenschutzes berücksichtigt werden. Die Aufgabe des Vereins Bula 2021 ist es, im Rahmen seiner Verantwortung durch organisatorische und technische Massnahmen eine ordnungsgemässe Datenbearbeitung unter Beachtung des Datenschutzes sicherzustellen. Die Umsetzung dieser Vorgaben liegt in der Verantwortung aller Mitarbeiter*innen des Vereins Bula 2021.
Der Verein Bula 2021 muss sicherstellen, dass seine Mitglieder*innen die erforderlichen Datenschutzschulungen, einschliesslich des Inhalts und der Handhabung dieses Konzepts, erhalten und daran teilnehmen, soweit sie ständigen oder regelmässigen Zugang zu personenbezogenen Daten haben.
Der Bereich Juristisches ist intern unabhängig von Weisungen hinsichtlich seiner Aufgabenerfüllung. Er wirkt auf die Einhaltung der nationalen und internationalen Datenschutzbestimmungen hin. Er ist für dieses Konzept verantwortlich und überwacht dessen Einhaltung.
Jede teilnehmende Person kann sich jederzeit an den Bereich Juristisches wenden, um Informationen anzufordern, Rechte in Bezug auf den Datenschutz geltend zu machen oder Fragen der Datensicherheit vorzubringen. Auf Wunsch werden die Bedenken und die geltend gemachten Rechte vertraulich behandelt.
Verstösse, für die Mitarbeiter*innen des Vereins Bula 2021 verantwortlich sind, können zu Sanktionen führen. Verstösse gegen dieses Konzept werden gemäss den internen Regelungen geahndet.
Die Einhaltung dieses Konzepts und der geltenden Datenschutzgesetze wird in unregelmässigen Abständen durch den Bereich Juristisches des Vereins Bula 2021 überprüft.
Bei einem Verstoss gegen dieses Datenschutzkonzept meldet sich der/die Mitarbeiter*in des Vereins Bula 2021 per E-Mail beim Bereich Juristisches.
Dieses Datenschutzkonzept kann im Lauf der Zeit angepasst werden, insbesondere wenn die Datenbearbeitungen ändern oder wenn neue Rechtsvorschriften anwendbar werden. Der Verein Bula 2021 informiert jeweils seine Mitarbeiter*innen, die teilnehmenden Personen, die Kunden und Partner bei erheblichen Änderungen, wenn das ohne unverhältnismässigen Aufwand möglich ist. Generell gilt für Datenbearbeitungen jeweils die Datenschutzerklärung der jeweiligen Einheit in der bei Beginn der betreffenden Bearbeitung aktuellen Fassung.