White Paper: Datenschutz in sozialen Einrichtungen

White Paper: Datenschutz in sozialen Einrichtungen

 Jetzt herunterladen (PDF-Dokument, 519 kB)

Warum das White Paper „Datenschutz in sozialen Einrichtungen“?

Datenschutz in sozialen Einrichtungen ist spannend und herausfordernd zugleich. Die Beschäftigten verarbeiten höchst sensible personenbezogene Gesundheits- und Sozialdaten, tun dies häufig in offenen Häusern und müssen neben dem Datenschutz zahlreiche andere Regelungen in einem turbulenten Arbeitsalltag beachten. In vielen Fällen bleibt wenig Zeit für Sensibilisierung, so dass viele Beschäftigte sich alleine gelassen fühlen.

Wir haben unsere Praxiserfahrung als externe Datenschutzbeauftragte und aus der Datenschutzberatung genutzt, um wichtige Erkenntnisse, konkrete Lösungsempfehlungen und hilfreiche praktische Hinweise in einem White Paper für soziale Einrichtungen zusammenzutragen.

Wie hilft Ihnen das White Paper in Ihrer sozialen Einrichtung?

Wir betrachten eine Auswahl von Themen, die in unserer Beratungspraxis aktuelle oder wiederkehrende Fragestellungen sind. Dies sind z.B.:

  • Datenschutzkonformer Versand von E-Mails
  • Erstellen und Versand von E-Rechnungen
  • Einwilligungen
  • Datenschutz im Home Office
  • Prävention von Datenpannen

Ihnen, liebe Leserinnen und Leser, wünschen wir beim Lesen viel Inspiration, wir freuen uns, wenn wir einen kleinen Beitrag für einen besseren Datenschutz in sozialen Einrichtungen leisten können!

Datenschutzkonformer Versand von E-Mails (Auszug)

Der Königsweg ist die Ende-zu-Ende-Verschlüsselung. Hier wird die E-Mail beim Versand bereits so verschlüsselt, dass diese nur vom Empfänger mit einem privaten und geheimen Schlüssel geöffnet werden kann. Folgende weitere Maßnahmen sollten Sie ergreifen, wenn eine Ende-zu-Ende-Verschlüsselung nicht möglich ist:

  • Den Betreff der E-Mail ohne Personenbezug formulieren.
  • Den Inhalt der E-Mail vorsichtig formulieren.
  • Möglichst keine personenbezogenen Daten in die E-Mail schreiben. Oftmals reicht es aus, ein Kürzel des Klienten oder ein Aktenzeichen zu verwenden.
  • Anhänge mit besonders sensiblen Inhalten über Klienten sind unbedingt mit einem sicheren Passwort zu versehen (mindestens 12 Zeichen, 3 aus 4 Kriterien aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen)!
  • Übermitteln Sie das Passwort an Ihren Empfänger unbedingt über einen anderen Kanal (z.B. Telefon) und niemals in derselben E-Mail.
  • Überprüfen Sie genau, ob die E-Mail-Adresse des Empfängers stimmt. Vorsicht mit der Autofill-Funktion!
  • Sprechen Sie mit Ihren Vorgesetzten über eine zentrale und einrichtungsübergreifende Vorgabe, an die sich alle halten müssen.
  • Setzen Sie eine Ende-zu-Ende-Verschlüsselung in Ihrer Einrichtung um, sodass zumindest intern Ende-zu-Ende-verschlüsselt kommuniziert werden kann.
  • Klären Sie mit Ihren Empfängern, welche Möglichkeiten diese zum Empfang verschlüsselter E-Mails anbieten.

Erstellen und Versand von E-Rechnungen (Auszug)

Im Rahmen der europäischen Digitalisierungsstrategie wurde im April 2014 die EU Richtlinie 2014/55/EU erlassen. Im Gegensatz zu einer Verordnung (wie z.B. der Datenschutz-Grundverordnung) sind Richtlinien durch die jeweiligen Gesetzgeber in nationales Recht umzusetzen. Diesem Auftrag kam die Bundesregierung mit der E-Rechnungsverordnung (E-Rech-VO) nach.

Was ist der Zweck der E-Rechnungsverordnung?

Die E-Rech-VO verfolgt zwei grundlegende Ziele. Zum einen liegt der Fokus auf einem einheitlichen Format, welches die automatisierte Weiterverarbeitung vereinfachen soll. Zum anderen soll neben der Standardisierung auch ein schneller, reibungsloser und sicherer Daten- bzw. Rechnungsaustausch mit den öffentlichen Einrichtungen gewährleistet werden.

Zu diesem Zweck sollen Rechnungen grundsätzlich in einem vordefinierten Format (XRechnung oder ZUGFeRD) erstellt werden. Neben der Anforderung zu einem einheitlichen Rechnungsstandard, der die automatische Datenverarbeitung vereinfachen soll, sind die so erstellten Rechnungen auch elektronisch an die jeweiligen öffentlichen Stellen zu übermitteln. Im Kern geht es demnach um eine elektronische Rechnungsstellung und -übermittlung. Herkömmliche Formate wie z.B. eine PDF-Datei sind demnach nicht länger zu verwenden.

Wer ist von der E-Rech-VO betroffen und wann ist diese umzusetzen?

Betroffen sind alle Unternehmen, Betriebe und soziale Einrichtungen, die mit öffentlichen Stellen Rechnungen austauschen. Soziale Einrichtungen haben in aller Regel viele Kontaktpunkte zu öffentlichen Stellen und Kostenträgern und unterliegen somit den Anforderungen der E-Rech-VO, welche ab dem 27.11.2020 verpflichtend umzusetzen sind.

Wir freuen uns, wenn wir Ihnen mit diesem White Paper hilfreich zur Seite stehen. Wenn es Ihnen hilft, geben Sie es gerne an Kollegen weiter! Wenn wir Ihnen dabei helfen können, mehr Sicherheit im Umgang mit personenbezogenen Daten in sozialen Einrichtungen zu geben und wir damit Datenschutz besser machen, dann betrachten wir das als Erfolg.

Einwilligungen (Auszug)

Das Recht auf informationelle Selbstbestimmung verbietet grundsätzlich das Verarbeiten von personenbezogenen Daten (pb Daten) und erlaubt dies lediglich unter bestimmten Voraussetzungen. Daher kommt der Einwilligungserklärung im Datenschutz eine besondere Bedeutung zu, da sich die Rechtmäßigkeit der Verarbeitung von pb Daten aus der Zustimmung des Betroffenen ergibt. Das ist das sogenannte „Verbot mit Erlaubnisvorbehalt„. Eine Zustimmung des Betroffenen ist nur in Ausnahmefällen zu empfehlen und kein allgemeiner Lösungsansatz. Eine Rechtsgrundlage für die Verarbeitung pb Daten zu finden, die keine Einwilligung des Betroffenen erfordert, ist für soziale Einrichtungen die bevorzugte Lösung, da in diesem Fall kraft Gesetzes eine Verarbeitung möglich ist. Beispiele hierfür sind:

Daten, die im Beschäftigungsverhältnis notwendigerweise erhoben und gespeichert werden müssen, oder (sensible) pb Daten, die zur Erfüllung des Betreuungsvertrages mit den Klienten notwendig sind. Wann eine Datenverarbeitung rechtmäßig ist, richtet sich dabei insbesondere nach den Rechtsgrundlagen des Artikel 6 Absatz 1 der DS-GVO oder den vergleichbaren Vorschriften des DSG-EKD.

Im Kontext von Einwilligungserklärungen ist auch die Schweigepflichtentbindung relevant, da diese letztendlich die Zustimmung (Erlaubnis) dokumentiert, besonders sensible personenbezogene Daten eines Betroffenen (Gesundheitsdaten) an Dritte weitergeben zu dürfen. Die konkrete Pflicht einer Schweigepflichtentbindung ergibt sich aus der Zugehörigkeit zu den Berufsgruppen von Geheimnisträgern, die in § 203 Abs. 1 Nr. 1 -6 StGB aufgezählt sind, und aus der sich das besondere Vertrauensverhältnis zwischen Klienten und Sozialarbeitern/Sozialpädagogen etc. ergibt.

Home-Office (Auszug)

Ihre Privatwohnung erfüllt in der Regel nicht die gleichen Sicherheitsstandards, wie Ihr Arbeitsplatz in Ihrer sozialen Einrichtung. Daher besteht ein erhöhtes Missbrauchsrisiko von Daten durch Dritte, welches Sie durch die folgenden Praxishinweise reduzieren können. Sie als Mitarbeitende stehen im Home-Office umso mehr in der Verantwortung, die Daten angemessen vor Verlust, Zugriff oder Einsichtnahme durch Unbefugte zu schützen.

Im Home-Office wird natürlich nicht nur am Rechner gearbeitet, mit dem Risiko, dass Unbefugte womöglich Daten auf dem Bildschirm einsehen können. Es werden auch Meetings per Videokonferenz abgehalten. Durch den akustischen Informationsaustausch sowie den Einsatz der Kamerafunktion kann ebenso eine unbefugte Offenlegung von personenbezogenen Daten stattfinden. Dabei können nicht nur Daten von Ihren beruflichen Kontakten betroffen sein. Auch Ihre eigenen Familienmitglieder, Freundinnen Ihrer Kinder etc. können beim falschen Umgang mit Videokonferenzen von einer unrechtmäßigen Datenerfassung betroffen sein, wenn diese von der Kamera erfasst werden.

Prävention von Datenpannen (Auszug)

Datenpannen sind Datenschutzverletzungen im Umgang mit personenbezogenen Daten. Diese liegen vor, wenn Risiken aus einem fehlerhaften Umgang mit Daten von Betroffenen wie Klienten, Beschäftigten, Mitarbeiterinnen oder Angehörigen drohen. Die möglichen Vorfälle lassen sich z.B. in folgende Kategorien unterteilen:

  • Unbewusste/unbeabsichtigte Veröffentlichung von personenbezogenen Daten im Internet
  • Unbefugten werden in einem geschlossenen System Daten zugänglich gemacht
  • Missbrauch von Zugriffsrechten
  • Verlust von Speichermedien
  • E-Mail-Fehlleitungen / unverschlüsselter E-Mail-Versand
  • Unterlagen verloren, falsch versendet oder an einem unsicheren Platz gelagert
  • Nicht datenschutzgerechte Entsorgung

Soziale Einrichtungen stehen bei der Verarbeitung von personenbezogenen Daten gleich vor mehreren Herausforderungen. Viele ihrer Angebote bestehen in persönlichen Hilfeleistungen von Menschen für Menschen, wie z.B. der Pflege, Unterstützung von Menschen mit Behinderungen oder psychischen Erkrankungen, Bildungs- oder Betreuungsleistungen für junge Menschen, Wohnangebote, ambulante Hilfsmaßnahme oder integrative Maßnahmen für Menschen mit Migrationshintergrund. All diese Hilfeleistungen haben eines gemeinsam: Sie sind nur möglich, wenn bestimmte personenbezogene Daten der Klienten bekannt sind. Die Qualität der Betreuung kann je nach Sachverhalt sogar noch höher sein, wenn weitere hilfreiche Daten den sozialen Einrichtungen bekannt sind. So können biographische Daten dabei helfen die Erinnerungsfähigkeit von dementen Personen gezielt anzusprechen. Soziale Einrichtungen stehen damit vor der Herausforderung sensible personenbezogene Daten wie Gesundheitsdaten bzw. Sozialdaten zu verarbeiten. Bei einer Datenpanne drohen besonders hohe Risiken für die Klientinnen.

Sie haben Feedback für uns oder weitere Fragen? Kommen Sie gerne auf uns zu!

Bild von Anemone123 auf Pixabay