Weitergabekontrolle in sozialen Einrichtungen

Keine Verarbeitung von personenbezogenen Daten ist risikobehafteter als diejenige, bei der Informationen unbewusst, ungewollt und ohne Rechtsgrundlage an Nicht-Empfangsberechtigte weitergegeben werden.

Seit Gültigkeit der Datenschutz-Grundverordnung (DS-GVO) gehören solche Versäumnisse mit zu den häufigsten Ursachen für eine meldepflichtige Datenschutzverletzung bei sozialen Einrichtungen! Die Folgen können „verheerend“ sein und bestehen unter anderem in

  • Meldepflichten gegenüber der Aufsichtsbehörde und dem/n Betroffenen.
  • empfindliche Geldbußen für Verstöße i.H.v. bis zu 20 Millionen EUR oder 4% des Jahresumsatzes
  • Schadensersatzpflicht gegenüber dem/n Betroffenen
  • Reputationsverlust

Maßnahmen zur Weitergabekontrolle in sozialen Einrichtungen

Um daher eine unberechtigte Weitergabe von personenbezogenen Daten zu verhindern, sollten Sie wichtige Maßnahmen zur Weitergabekontrolle in sozialen Einrichtungen ergreifen. Die DS-GVO berücksichtigt das in Art. 32 zur „Sicherheit der Verarbeitung“. Bei der Beurteilung des angemessenen Schutzniveaus seien „insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung …-  ob unbeabsichtigt oder unrechtmäßig … personenbezogener Daten, die übermittelt wurden – verbunden sind.“ Das Bundesdatenschutzgesetz (BDSG) wird diesem Punkt unter § 64 (3) S. 1 Nr. 6,8 gerecht. Dort sind die Übertragungs- und Transportkontrolle explizit als zu gewährleistende Maßnahmen mit aufgezählt. Und nicht zuletzt weist auch das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) unter § 27 (2) auf diese Verantwortung hin.

Im Folgenden werden die häufigsten Risikoszenarien aufgezeigt und auch, durch welche technischen und organisatorischen Maßnahmen (TOM) sie gegebenenfalls zu verhindern gewesen wären.

Typische Beispiele mangelhafter Weitergabekontrolle in sozialen Einrichtungen:

  • Auskunftsanfragen: Weitergabe von (sensiblen) Mitarbeiter- oder Klienten-Informationen „auf Zuruf“ ohne Berechtigungsnachweis des Anfragenden.
  • E-Mail-Fehlleitungen durch Eingabe eines falschen Empfängers.
  • Auswahl der E-Mail Empfänger ohne die Überlegung „wer muss die Nachricht wirklich erhalten?„.
  • Auswahl eines falschen E-Mail Verteilers, der Mailinhalte und angehängte Dokumente nicht erhalten sollte (z.B. durch blindes Vertrauen auf die „Autovervollständigen“-Funktion).
  • Nicht datenschutzgerechte Entsorgung von Dokumenten im Papierkorb oder an einen Entsorgungsdienstleister, mit dem keine Vereinbarung zur Auftragsverarbeitung besteht.
  • Keine Vorgaben und Kontrollen
    • bei externen Wartungszugriffen,
    • Verwendung von mobilen Datenträgern,
    • Verwendung des Laptops in der Öffentlichkeit.
  • Ausdrucke werden nicht zeitnah im Ausgabefach des Druckers abgeholt oder dort liegengelassen.
  • Für Telefonate mit sensiblen Gesprächsinhalten wird kein Rückzugsort gesucht, der entsprechende Diskretion gewährleistet.
  •  Verwendung eines ungesicherten WLAN-Hotspots.

Allein aus dieser beispielhaften Aufzählung ist ersichtlich, dass insbesondere die Handhabung von E-Mails ein besonderes Augenmerk verdient. Und in allen Fällen, die wir als Datenschutzbeauftrage zu bewerten hatten, war es immer eine unbeabsichtigte Handlung, die aus Versehen und mangels Sensibilität passierte.

Wie können Sie sich vor so einem Versehen und damit einer rechtswidrigen Handlung schützen?

Beachten Sie bitte die folgenden Hinweise und Ratschläge, die sich aus den oben genannten Szenarien ergeben:

  • Auskunftsanfragen: Weitergabe von (sensiblen) Informationen nur mit dem Nachweis, dass der Anfragende zum Erhalt berechtigt ist, z.B. durch eine Vollmacht.
  • Stellen Sie sicher, dass Sie bei der Auswahl des E-Mail Empfängers die richtige Mail-Adresse verwenden. Vorab sollte bereits geklärt sein, dass der Mail-Empfänger die Informationen auch erhalten darf, da sie für dessen Tätigkeit erforderlich sind.
  • Stellen Sie sicher, dass Sie einen zutreffenden Mail-Verteiler zusammengestellt haben.
  • Einrichtungsweite Verteiler sollten nur bestimmte Personen nutzen können, z.B. Vorstand, IT, Öffentlichkeitsarbeit, so dass diese nicht aus Versehen ausgewählt werden können! Eine Übersicht aller vorhandenen Mail-Verteiler könnte dazu hilfreich sein.
  • Vermeiden Sie daher auch ähnliche Bezeichnungen von unterschiedlichen Verteilern, damit die „Autovervollständigen“-Funktion keine ungewollte Auswahl vorschlägt.
  • Entsorgen Sie Dokumente immer in einem dafür bereitgestellten geeigneten Schredder oder durch einen Entsorgungsdienstleister, der eine datenschutzkonforme Entsorgung garantiert.
  • Treffen Sie verbindliche Regelungen
    • zur Vorgehensweise bei externen Wartungszugriffen,
    • zu Home-Office oder zum mobilen Arbeiten,
    • zur Verwendung von mobilen Datenträgern,
    • zur Verwendung des Laptops in der Öffentlichkeit.
  • Sichern Sie Ihre Ausdrucke an einem durch mehrere Personen genutzten Netzwerkdrucker z.B. durch die „Secure-Print“-Funktion.
  • Suchen Sie sich für sensible Telefonate einen diskreten Rückzugsort.
  • Verwenden Sie ausschließlich sichere WLAN-Hotspots (mindestens WPA2-Standard).

Und wenn es doch passiert ist?

Sollten Sie doch versehentlich eine Mail an einen falschen Empfänger oder falschen Verteiler versandt haben, kann Ihnen Ihre IT gegebenenfalls diese Mail wieder zurückholen, wenn in Ihrem Mail-Server zuvor die Funktion „Mail zurückrufen“ eingerichtet wurde. In jedem Fall ist es empfehlenswert, im Zweifel Ihren Datenschutzbeauftragten zu informieren, damit er prüfen kann, ob gegebenenfalls ein meldepflichtiger Datenschutzverstoß vorliegt.

Sie können auch noch eine weitere Mail mit der Bitte zur Löschung der falsch verteilten Mail hinterherschicken. Das macht das Ganze nicht rückgängig, könnte jedoch dazu beitragen, dass der eine oder andere Empfänger die Mail noch löscht.

Eine abschließende Bemerkung: Soziale Einrichtungen sind nicht gänzlich davor gefeit eine unbeabsichtigte Datenschutzverletzung zu begehen. Überall, wo Menschen arbeiten, passieren Fehler. Durch Sensibilisierung und Kommunikation verbindlicher Regeln reduzieren Sie Ihr Risikopotential deutlich!

Sollten Sie noch Fragen zum Datenschutz haben – konkret zur Weitergabekontrolle in sozialen Einrichtungen oder ganz allgemein – wenden Sie sich gerne an uns!

  • Mehr zum Thema Datenschutz in sozialen Einrichtungen finden Sie in unserem White Paper.

Autor: Thorsten Jordan, 11.03.2021

Bild von Inactive account – ID 422737 auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert