Header Andenmatten Moesch 1727_970

«Datenschutz in der Sozialen Arbeit hat mit Respekt zu tun»

Datenschutz ist für viele ein notwendiges Übel, auch in der Sozialen Arbeit. Doch der Umgang mit und der Schutz sensibler Daten hat viel mit Respekt, Sorgfalt und Vertrauen zu tun. Also einer Grundhaltung in der Arbeit mit Klient:innen. Am 20. März in Luzern informierte Datenschutzexperte Peter Mösch Payot am Fachanlass von socialweb über die wichtigsten Punkte im Datenschutz, nach denen Institutionen leben und arbeiten können.

Peter Mösch Payot ist ein Experte für Datenschutz in der Sozialen Arbeit: einerseits ist er Professor für Sozialrecht an der Hochschule Luzern, andererseits ist er Experte der Sozialhilfekommission in Bern. Wenn er also über Datenschutz in der Sozialen Arbeit spricht, kann er reale Beispiele aus dem Alltag heranziehen. 

Cookie Banner akzeptieren und viele Formulare unterschreiben: Vermutlich wissen inzwischen alle, dass der Bund im September 2023 das Eidgenössische Datenschutzgesetz angepasst hat. Die kantonale Gesetzgebung zieht hier nun nach. Für Institutionen gilt: Was nicht dem kantonalen Gesetz unterstellt oder unklar ist, untersteht dem eidgenössischen Datenschutzgesetz. Was heisst das nun für Organisationen? Es bedeutet, dass sie so rasch als möglich im Minimum das eidgenössische Datenschutzgesetz einhalten müssen.

Wo beginnen?

Am Anfang steht die Auftrags- und Rollenklärung in der Organisation, Unklarheiten müssen bearbeitet werden. Eine Kernfrage steht im Zentrum und muss jederzeit beantwortet werden können: Zu welchem Zweck werden welche Daten gesammelt, verarbeitet, weitergegeben etc. Weiter müssen die Institutionen abklären, welche Instanz für die Archivierung verantwortlich ist, mit dieser Vereinbarungen treffen und sie im Konzept verankern.  Zudem benötigen Institutionen Datenverarbeitungsverträge (das betrifft vor allem den Haftungsausschluss oder zum Beispiel bei externen Diensten wie der Lohnbuchhaltung).

Nicht alles ist neu

Die Anforderung, eine angemessene technische und organisatorische Infrastruktur zu haben, ist für Institutionen nicht neu. Ebenso die Datenzugriffskontrolle, also festhalten, wer wann auf welche Daten zugegriffen hat. Bei der Datenaufbewahrung gilt: 10 Jahre für allfällige Haftpflichtfälle. Klient:innendaten müssen teilweise bis 70 Jahre aufbewahrt werden, das muss mit den zuständigen Behörden geklärt und im Konzept verankert werden.

Peter Mösch Payot betonte, dass Datenschutz stark mit Haltung und Kultur zu tun hat! «Es ist eine Frage von Respekt und Verhältnismässigkeit. Der Zweck muss immer klar sein», so Mösch Payot. Der Grund für die Datenverarbeitung und die Absicht dahinter kann so auch begründet werden.

Die geplanten Massnahmen aufzeigen

Es ist wichtig festzuhalten, welche Datenschutzmassnahmen geplant sind. Zum Beispiel in einem Dreijahresplan kann man offenlegen, wie die weiteren Schritte aussehen.

Er umfasst bspw. die Bestandsaufnahme resp. ein Inventar der Daten, beschreibt, was man noch zu tun hat und wie man die Massnahmen priorisiert (z.B. mit rot/gelb/grün). «Es besteht kein Anlass für Panik oder teure Analysen oder Ausbildungen», erklärt Mösch Payot. 

Organisation und Schulung

Die Institution muss nach dem Datenschutzgesetz organisiert sein. Dazu gehört, eine Person als Verantwortliche:n Datenschutz zu definieren. Sie oder er ist die interne Ansprechperson, hütet das Thema, definiert die Massnahmen und Ziele und wertet sie z.B. in einem Jahr aus. Es muss Zeit für interne Schulungen, für die Erfassung der Situation im Betrieb und für die Definition der technischen Anforderungen investiert werden. «Es braucht dafür keine externen Berater, und wenn, nur punktuell bei komplexen Fragestellungen, die juristisches Know-how erfordern», sagt Peter Mösch Payot. 

Laut Peter Mösch Payot macht es Sinn, sich bei Anbietern von Datenbearbeitung auf CH/EU/EFTA zu beschränken. Wichtig ist zudem, ein Zugriffs- und ein Berechtigungskonzept zu haben. Hier gilt der Grundsatz: Es soll nur Datenzugriff haben, wer mit der Klientel arbeitet. Und: Für eine Dateneinsicht braucht es immer einen Grund. 

Konkrete Beispiele aus der Praxis

Aktennotizen:
Diese sind in der Regel im Sozialbereich viel zu ausführlich, hier den Fokus auf das «Wie weiter» legen und Massnahmen/Vereinbarungen inkl. wer macht was und wie festhalten.

Mails:
Es empfiehlt sich, relevante Mails zu kopieren und ins Journal der:s Klient:in zu integrieren. Mails, die direkt aus dem Outlook abgespeichert werden, haben kein archivwürdiges Format.

Protokolle aus Teamsitzungen:
Namen und Informationen zu Klien:tinnen nicht im allgemeinen Sitzungsprotokoll festhalten, sondern direkt im Klient:innen-Dossier ablegen. Das gibt zwar im Moment mehr zu tun. doch so kann das Dossier nach Austritt o.ä. sauber abgeschlossen und eine allfällige Auskunftspflicht jederzeit erfüllt werden.

Peter Mösch Payot machte am 20. März am Fachanlass von socialweb klar: «Der sorgfältige Umgang mit Daten stärkt das Vertrauen der Klient:innen und unterstützt so die effektive Arbeit sozialer Organisationen».

Glossar/Zusammenfassung

Datenbeschaffung: Dos and Don'ts

Bei der Datenbeschaffung gilt es, die Grundsätze der Datenminimierung (so wenig wie möglich, nur so viel wie nötig) und Zweckbindung strikt zu beachten. Daten dürfen nur in dem Umfang erhoben werden, wie sie für die festgelegten, legitimen Zwecke notwendig sind. Transparenz gegenüber den betroffenen Personen ist dabei unerlässlich; diese müssen über die Datenerhebung und deren Zwecke informiert werden.

Datenverarbeitung: Sorgfaltspflicht

Die Datenverarbeitung muss sicher und zweckgebunden erfolgen. Sensitive Daten erfordern besondere Schutzmassnahmen, um ihre Integrität und Vertraulichkeit zu gewährleisten. Zudem ist die Einhaltung der Grundsätze der Richtigkeit und Speicherbegrenzung von grosser Bedeutung, um die Datenaktualität zu sichern und Datensammlungen nicht über den erforderlichen Zeitraum hinaus zu bewahren.

Rechte der Betroffenen

Die Betroffenen haben umfangreiche Rechte, darunter das Recht auf Auskunft, Berichtigung und oder Löschung („Recht auf Berichtigung) und Einschränkung der Verarbeitung ihrer Daten. Sie müssen über diese Rechte aufgeklärt werden und können sie jederzeit gegenüber den verantwortlichen Stellen geltend machen.

Datenweitergabe: Klare Regeln

Die Weitergabe von personenbezogenen Daten an Dritte ist nur unter strengen Voraussetzungen zulässig. Hierbei müssen sowohl die Einwilligung der betroffenen Person als auch rechtliche Verpflichtungen berücksichtigt werden. Transparenz und Dokumentation der Datenweitergabe sind essenziell, um die Regelkonformität mit Datenschutzvorschriften zu gewährleisten.

Warum socialweb?

  • Die Mitarbeitenden von socialweb bringen viel Erfahrung betreffend Datenschutzthemen mit.
  • Sie können beratend zur Seite stehen und lassen ihr Know How in die Einführung einfliessen.
  • Das Berechtigungssystem in socialweb beinhaltet Standardrollen, welche mehrfach auditiert wurden und eine gute Grundlage bieten.
  • Zugriffsrechte können sehr präzise abgebildet werden. Beispielsweise können interdisziplinäre Teams eine gemeinsam Akte führen und Inhalte mit Klassifizierungen einander zugänglich machen oder explizit verbergen.
  • socialweb ist nach ISO 27001 zertifiziert. Der Bereich lässt sich und die Software von extern auditieren.

Passende News und Blogbeiträge

Featured Bern Über uns
22.02.2024

Mitarbeitendenporträt Jason Dimitratos

Jason Dimitratos ist Requirements Engineer aus Überzeugung. In seinem Job sind sowohl seine Soft Skills als auch technisches Wissen wichtig.

Mehr lesen
Bern Elektronische Signatur
05.02.2024

Die elektronische Unterschrift, wie Sie sie noch nicht kennen

Drei Beispiele, wie die elektronische Unterschrift von GLAUX GROUP auch eingesetzt werden kann.

Mehr lesen
Bern Über uns
15.01.2024

Mitarbeitendenporträt Jeanine Freudiger

Jeanine Freudiger hat sich als Quereinsteigerin aus der Gastronomie in der GLAUX GROUP hochgearbeitet.

Mehr lesen