1. Einleitung
POLARIS (nachstehend auch „Plattform“) ist ein von Rotary Communication Services Schweiz-Liechtenstein, einem Verein schweizerischen Rechts mit Sitz in Zug („RCS“), entwickeltes und betriebenes Club-Management-System. Es wird von den an POLARIS angebundenen Organisationen genutzt, insbesondere Rotary, Rotaract, Interact und Inner Wheel sowie deren Clubs, Distrikten und anderen Organisationseinheiten (nachstehend gemeinsam „Gemeinschaft“).
Alle Benutzer von POLARIS akzeptieren bei der ersten Nutzung die „Allgemeinen Geschäftsbedingungen für die Nutzung von POLARIS“ („AGB“) sowie die „Datenschutzerklärung für Benutzer von POLARIS“ („Datenschutzerklärung“). Diese Dokumente definieren Begriffe, regeln die Nutzung der Plattform und definieren die Bedingungen für die Verarbeitung personenbezogener Daten.
Die vorliegende Vertraulichkeitsvereinbarung („Erklärung“) ergänzt diese Dokumente. Sie gilt verpflichtend für alle Personen, die Administrationsrechte innerhalb von POLARIS erhalten („Administratoren“). Sie regelt den Umgang mit personenbezogenen Daten, Clubdaten und weiteren vertraulichen Informationen, auf die Administratoren im Rahmen ihrer Tätigkeit zugreifen können, und stellt die erforderliche rechtliche Grundlage für diese erweiterte Rolle dar. Bei Widersprüchen zwischen den AGB, der Datenschutzerklärung und der vorliegenden Erklärung, gehen die Bestimmungen der Erklärung vor.
2. Geltungsbereich und Zweck
Diese Erklärung gilt für alle Administratoren, die aufgrund ihrer Funktion besondere Zugriffsrechte auf personenbezogene Daten, Clubdaten und technische Administrationsdaten erhalten.
Zweck dieser Erklärung ist es, ein erhöhtes Sicherheits- und Verantwortungsbewusstsein bei Administratoren sicherzustellen, die Einhaltung der datenschutzrechtlichen Vorgaben (insbesondere DSGVO und DSG) zu gewährleisten und den vertraulichen Umgang mit allen Daten, auf welche Administratoren Zugriff erhalten, verbindlich festzulegen.
3. Zugriff und Datenkategorien
Administratoren erhalten ausschließlich im Rahmen ihrer administrativen Aufgaben Zugriff auf folgende Datenkategorien:
Mitgliederdaten (z.B. Kontaktdaten, Funktionen, Clubzugehörigkeit)
Club- und Organisationsdaten (z.B. Strukturen, Veranstaltungen, interne Kommunikation)
Technische Administrationsdaten (z.B. Logfiles, Benutzerrechte)
Der Zugriff erfolgt stets nach dem Need-to-know-Prinzip, das heißt nur insoweit, als dies für die Erfüllung der Administratoraufgaben notwendig ist.
4. Pflichten des Administrators
Der Administrator verpflichtet sich ausdrücklich,
a) Vertraulichkeit
alle ihm im Rahmen seiner Tätigkeit zugänglich werdenden personenbezogenen Daten, Clubdaten und sonstigen vertraulichen Informationen streng vertraulich zu behandeln und unbefugten Personen keinen Zugang zu solchen Daten zu ermöglichen.
b) Zweckbindung
vertrauliche Informationen ausschließlich für die ihm von der jeweiligen Organisationseinheit übertragenen administrativen Aufgaben zu verarbeiten.
c) Verbot der missbräuchlichen Nutzung
insbesondere zu unterlassen,
vertrauliche Informationen für private oder gemeinschaftsfremde Zwecke zu verwenden,
Kopien, Exporte oder Screenshots anzufertigen oder lokal zu speichern, sofern dies nicht ausdrücklich erforderlich oder freigegeben ist,
Daten an unbefugte Dritte weiterzugeben oder zugänglich zu machen.
d) Technische und organisatorische Sicherheitsmaßnahmen
alle angemessenen Schutzmaßnahmen einzuhalten, um die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenen Daten, Clubdaten und sonstigen vertraulichen Informationen sicherstellen, um ein angemessenes Schutzniveau zu gewährleisten und namentlich die unbefugte oder versehentliche Zerstörung, den versehentlichen Verlust, den Diebstahl oder eine unrechtmäßige Nutzung dieser Daten, deren unbefugte Änderung, unbefugtes Kopieren oder eine sonstige unbefugte Verarbeitung zu verhindern, unter anderem durch:
Verwendung starker und geheim gehaltener Passwörter,
Nutzung der Zwei-Faktor-Authentifizierung,
Einsatz aktueller und sicherer Endgeräte,
regelmäßige Updates, Firewall- und Virenschutzmaßnahmen,
Übermittlung personenbezogener Daten ausschließlich über verschlüsselte Verbindungen.
e) Rückgabe und Löschung
mit Beendigung seiner Administratorfunktion alle Zugänge, Exportdateien, Kopien und sonstigen lokal gespeicherten Datenbestände unverzüglich zu löschen oder der zuständigen Organisationseinheit zu übergeben.
5. Umgang mit Rechten betroffener Personen
Der Administrator unterstützt die jeweilige Organisationseinheit bei der Erfüllung von Betroffenenrechten (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung), trifft jedoch keine eigenständigen, rechtsverbindlichen Entscheidungen. Administratorische Handlungen erfolgen nur im Rahmen ausdrücklicher Weisungen oder eindeutig definierter Befugnisse.
6. Meldung von Sicherheitsvorfällen und Schadensbegrenzung
Der Administrator ist verpflichtet, jeden tatsächlichen oder vermuteten unbefugten Zugriff auf personenbezogene Daten oder andere sicherheitsrelevante Vorfälle unverzüglich der zuständigen Organisationseinheit zu melden.
Er hat alle zumutbaren Maßnahmen zur Schadensbegrenzung zu ergreifen, insbesondere:
unverzügliche Unterbindung weiterer unbefugter Zugriffe,
Wiedererlangung betroffener Daten, sofern zulässig,
Sicherstellung der Löschung oder Übergabe lokaler Kopien.
Diese Verpflichtungen bestehen unabhängig von einem Verschulden des Administrators.
7. Keine Einräumung von Immaterialgüterrechten
Die Administrationsrechte vermitteln keinerlei Immaterialgüterrechte an Daten, Inhalten oder Systemkomponenten. Sämtliche Rechte verbleiben bei RCS bzw. der jeweiligen Organisationseinheit. Der Administrator erhält lediglich das nicht übertragbare, widerrufliche Recht, Daten im Rahmen seiner administrativen Aufgaben zu nutzen.
8. Sanktionen und Haftung
Bei schuldhafter Verletzung von Pflichten gemäß vorliegender Erklärung haftet der Administrator im Rahmen der gesetzlichen Bestimmungen für dadurch entstehende Schäden.
RCS und die jeweilige Organisationseinheit behalten sich vor, bei Verstößen:
Administrationsrechte zu entziehen,
vereinsrechtliche Maßnahmen einzuleiten,
allfällige zivil- oder strafrechtliche Schritte zu prüfen.
9. Gültigkeitsdauer der Erklärung
Diese Erklärung tritt mit dem Zeitpunkt der Aktivierung von Administrationsrechten durch die betreffende Organisationseinheit in Kraft. Sie endet nicht automatisch mit dem Verlust der Administrationsrechte, sondern gilt zeitlich unbefristet für alle Daten und Informationen, von denen der Administrator während seiner Tätigkeit Kenntnis erhalten hat.
10. Anwendbares Recht und Gerichtsstand
Diese Erklärung untersteht dem materiellen Recht des Landes, in dem die Organisationseinheit, für die der Administrator tätig ist, ihren statutarischen Sitz oder ihr geschäftliches Domizil hat. Am selben Ort befindet sich der ausschließliche Gerichtsstand für sämtliche Streitigkeiten aus dieser Erklärung.
Gender-Hinweis
Aus Gründen der besseren Lesbarkeit wird in dieser Erklärung bei Personenbezeichnungen überwiegend die männliche Form verwendet. Sämtliche Personenbezeichnungen gelten jedoch gleichermaßen für alle Geschlechter. Die verkürzte Sprachform dient ausschließlich der sprachlichen Vereinfachung und beinhaltet keinerlei Wertung.
Polaris Vertraulichkeitserklärung / Version 1.0, März 2026