Peter Mösch Payot ist ein Experte für Datenschutz in der Sozialen Arbeit: einerseits ist er Professor für Sozialrecht an der Hochschule Luzern, andererseits ist er Experte der Sozialhilfekommission in Bern. Wenn er also über Datenschutz in der Sozialen Arbeit spricht, kann er reale Beispiele aus dem Alltag heranziehen.
Cookie Banner akzeptieren und viele Formulare unterschreiben: Vermutlich wissen inzwischen alle, dass der Bund im September 2023 das Eidgenössische Datenschutzgesetz angepasst hat. Die kantonale Gesetzgebung zieht hier nun nach. Für Institutionen gilt: Was nicht dem kantonalen Gesetz unterstellt oder unklar ist, untersteht dem eidgenössischen Datenschutzgesetz. Was heisst das nun für Organisationen? Es bedeutet, dass sie so rasch als möglich im Minimum das eidgenössische Datenschutzgesetz einhalten müssen.
Wo beginnen?
Am Anfang steht die Auftrags- und Rollenklärung in der Organisation, Unklarheiten müssen bearbeitet werden. Eine Kernfrage steht im Zentrum und muss jederzeit beantwortet werden können: Zu welchem Zweck werden welche Daten gesammelt, verarbeitet, weitergegeben etc. Weiter müssen die Institutionen abklären, welche Instanz für die Archivierung verantwortlich ist, mit dieser Vereinbarungen treffen und sie im Konzept verankern. Zudem benötigen Institutionen Datenverarbeitungsverträge (das betrifft vor allem den Haftungsausschluss oder zum Beispiel bei externen Diensten wie der Lohnbuchhaltung).
Nicht alles ist neu
Die Anforderung, eine angemessene technische und organisatorische Infrastruktur zu haben, ist für Institutionen nicht neu. Ebenso die Datenzugriffskontrolle, also festhalten, wer wann auf welche Daten zugegriffen hat. Bei der Datenaufbewahrung gilt: 10 Jahre für allfällige Haftpflichtfälle. Klient:innendaten müssen teilweise bis 70 Jahre aufbewahrt werden, das muss mit den zuständigen Behörden geklärt und im Konzept verankert werden.
Peter Mösch Payot betonte, dass Datenschutz stark mit Haltung und Kultur zu tun hat! «Es ist eine Frage von Respekt und Verhältnismässigkeit. Der Zweck muss immer klar sein», so Mösch Payot. Der Grund für die Datenverarbeitung und die Absicht dahinter kann so auch begründet werden.
Die geplanten Massnahmen aufzeigen
Es ist wichtig festzuhalten, welche Datenschutzmassnahmen geplant sind. Zum Beispiel in einem Dreijahresplan kann man offenlegen, wie die weiteren Schritte aussehen.
Er umfasst bspw. die Bestandsaufnahme resp. ein Inventar der Daten, beschreibt, was man noch zu tun hat und wie man die Massnahmen priorisiert (z.B. mit rot/gelb/grün). «Es besteht kein Anlass für Panik oder teure Analysen oder Ausbildungen», erklärt Mösch Payot.
Organisation und Schulung
Die Institution muss nach dem Datenschutzgesetz organisiert sein. Dazu gehört, eine Person als Verantwortliche:n Datenschutz zu definieren. Sie oder er ist die interne Ansprechperson, hütet das Thema, definiert die Massnahmen und Ziele und wertet sie z.B. in einem Jahr aus. Es muss Zeit für interne Schulungen, für die Erfassung der Situation im Betrieb und für die Definition der technischen Anforderungen investiert werden. «Es braucht dafür keine externen Berater, und wenn, nur punktuell bei komplexen Fragestellungen, die juristisches Know-how erfordern», sagt Peter Mösch Payot.
Laut Peter Mösch Payot macht es Sinn, sich bei Anbietern von Datenbearbeitung auf CH/EU/EFTA zu beschränken. Wichtig ist zudem, ein Zugriffs- und ein Berechtigungskonzept zu haben. Hier gilt der Grundsatz: Es soll nur Datenzugriff haben, wer mit der Klientel arbeitet. Und: Für eine Dateneinsicht braucht es immer einen Grund.
Konkrete Beispiele aus der Praxis
Aktennotizen:
Diese sind in der Regel im Sozialbereich viel zu ausführlich, hier den Fokus auf das «Wie weiter» legen und Massnahmen/Vereinbarungen inkl. wer macht was und wie festhalten.
Mails:
Es empfiehlt sich, relevante Mails zu kopieren und ins Journal der:s Klient:in zu integrieren. Mails, die direkt aus dem Outlook abgespeichert werden, haben kein archivwürdiges Format.
Protokolle aus Teamsitzungen:
Namen und Informationen zu Klien:tinnen nicht im allgemeinen Sitzungsprotokoll festhalten, sondern direkt im Klient:innen-Dossier ablegen. Das gibt zwar im Moment mehr zu tun. doch so kann das Dossier nach Austritt o.ä. sauber abgeschlossen und eine allfällige Auskunftspflicht jederzeit erfüllt werden.
Peter Mösch Payot machte am 20. März am Fachanlass von socialweb klar: «Der sorgfältige Umgang mit Daten stärkt das Vertrauen der Klient:innen und unterstützt so die effektive Arbeit sozialer Organisationen».
Glossar/Zusammenfassung
Datenbeschaffung: Dos and Don'ts
Bei der Datenbeschaffung gilt es, die Grundsätze der Datenminimierung (so wenig wie möglich, nur so viel wie nötig) und Zweckbindung strikt zu beachten. Daten dürfen nur in dem Umfang erhoben werden, wie sie für die festgelegten, legitimen Zwecke notwendig sind. Transparenz gegenüber den betroffenen Personen ist dabei unerlässlich; diese müssen über die Datenerhebung und deren Zwecke informiert werden.
Datenverarbeitung: Sorgfaltspflicht
Die Datenverarbeitung muss sicher und zweckgebunden erfolgen. Sensitive Daten erfordern besondere Schutzmassnahmen, um ihre Integrität und Vertraulichkeit zu gewährleisten. Zudem ist die Einhaltung der Grundsätze der Richtigkeit und Speicherbegrenzung von grosser Bedeutung, um die Datenaktualität zu sichern und Datensammlungen nicht über den erforderlichen Zeitraum hinaus zu bewahren.
Rechte der Betroffenen
Die Betroffenen haben umfangreiche Rechte, darunter das Recht auf Auskunft, Berichtigung und oder Löschung („Recht auf Berichtigung) und Einschränkung der Verarbeitung ihrer Daten. Sie müssen über diese Rechte aufgeklärt werden und können sie jederzeit gegenüber den verantwortlichen Stellen geltend machen.
Datenweitergabe: Klare Regeln
Die Weitergabe von personenbezogenen Daten an Dritte ist nur unter strengen Voraussetzungen zulässig. Hierbei müssen sowohl die Einwilligung der betroffenen Person als auch rechtliche Verpflichtungen berücksichtigt werden. Transparenz und Dokumentation der Datenweitergabe sind essenziell, um die Regelkonformität mit Datenschutzvorschriften zu gewährleisten.
