Datenschutz digital #2 –So schützt du die Daten deiner Klienten

Persönliche Daten von Klienten dürfen nicht an Unbefugte weitergegeben werden. Was nach einer Banalität der Sozialen Arbeit klingt, ist in Zeiten der schnellen und bequemen Kommunikation über Facebook und WhatsApp nicht (mehr) selbstverständlich.

Screenshot - Foto: Jan Persiel (CC BY-SA 2.0)
Foto: Jan Persiel | (CC BY-SA 2.0) https://creativecommons.org/licenses/by-sa/2.0/ | iOS7 Homescreen blurred (DSC_0719)

Deshalb zu Beginn noch mal zum Mitschreiben, weshalb persönliche Daten von Klienten einen besonderen Stellenwert in der Arbeit sozialer Einrichtungen haben. Rechtsanwalt Christian Solmecke erklärt das so:

Die Klientendaten fallen in den Schutzbereich des Bundesdatenschutzgesetzes oder des Datenschutzgesetzes des jeweiligen Bundeslandes. Außerdem werden die Klientendaten durch die besondere Schweigepflicht der Mitarbeiterinnen und der Mitarbeiter der sozialen Einrichtungen geschützt.

Bei Klientendaten handelt es sich zum Beispiel um Name, Geburtsdatum, Adresse, Telefonnummer und ähnliches, die aus Datenschutzsicht besonders sensibel und schützenswert sind. Mitarbeiterinnen und Mitarbeiter der Sozialen Arbeit gehen täglich mit solchen Daten um und müssen sie teilweise auch weitergeben – was eine Herausforderung ist, da dies sicher und nur über dafür geeignete Kommunikationskanäle stattfinden darf. Rechtsanwalt Thomas Schwenke weist beispielsweise darauf hin, dass Klientendaten nur nach vorheriger Einverständniserklärung per E-Mail weitergegeben werden dürfen und auch dann nur verschlüsselt.

Noch kritischer – aber leider auch praxisnäher – ist meiner Erfahrung nach, dass…

Klientendaten der Einfachheit halber via E-Mail, SMS, WhatsApp oder Facebook Messenger von Kollege zu Kollege weitergegeben werden.
Kontaktdaten in Facebook-Gruppen oder -Chats ausgetauscht werden.
Klienten ihre Daten von sich aus über soziale Netzwerke oder Chats an Sozialarbeiterinnen und Sozialarbeiter schicken.

Klienten für einen geschützten Umgang mit persönlichen Daten sensibilisieren

Selbst letzteres ist problematisch, denn genau genommen dürfen soziale Einrichtungen die Kontaktdaten auch dann nicht über unsichere Kommunikationskanäle annehmen, wenn sie von den Klienten selbst übermittelt werden. Auch wenn es seltsam klingt, der korrekte Weg wäre dann, die Nachricht zu löschen und den Klienten oder die Klientin darauf hinzuweisen, dass die Daten auf anderem Weg übermittelt werden müssen.

Geht beispielsweise eine Facebook-Nachricht mit der Telefonnummer eines Klienten ein, muss der Sozialarbeiter den Klienten darauf hinweisen, dass solche personenbezogenen Daten nicht über Facebook kommuniziert werden dürfen.

Tipps für den sicheren Umgang mit den Daten von Klienten

Aus datenschutzrechtlicher Sicht sollten Klientendaten nicht in soziale Netzwerke gelangen, was aber nicht leicht umzusetzen ist. Rechtsanwalt Thomas Schwenke hat daher einige Tipps für den sicheren Umgang mit Klientendaten, die ich mit Hinweisen aus meiner Praxis ergänze:

Soziale Träger und Einrichtungen sollten ihre Mitarbeiterinnen und Mitarbeiter vor Nutzung sozialer Netzwerke über die Bedeutung von Klientendaten informieren und schulen.
Geben Sie Klientendaten nur dann über digitale Kommunikationskanäle weiter, wenn es absolut nötig ist.
Wurden bereits Klientendaten über unsichere Kommunikationskanäle ausgetauscht, muss diese Praxis umgehend beendet werden.
Nutzen Sie ausschließlich sichere Kanäle. Das sind zum Beispiel verschlüsselte E-Mail-Konten oder Messenger.
Sprechen Sie mit Ihren Klienten über die Kanäle, auf denen Kontakt- und andere Klientendaten ausgetauscht werden können.
Werden Klientendaten digital gespeichert, so sollten diese Speicher mit starken Passwörtern gesichert und – im Idealfall – verschlüsselt sein.

Häufig gestellte Fragen zur sicheren Übermittlung der Daten von Klienten

Auf sichere Messenger oder den Einsatz des Facebook-Messengers gehe ich in den folgenden Teilen dieser Serie noch detaillierter ein. Vorab jedoch meine Antworten auf fünf häufig gestellte Fragen:

Kann ich WhatsApp nutzen?
Ja, aber nur wenn Du von allen gespeicherten Kontakten Einverständniserklärungen für die Datenweitergabe eingeholt hast. WhatsApp benötigt Zugriff auf das Adressbuch und lädt die Daten auf seine Server hoch. Das muss im Vorfeld besprochen und erklärt werden. Genauer gehen wir darauf im fünften Teil unsere Serie „Datenschutz digital“ ein.
Kann ich Klientendaten per E-Mail weiterleiten?
Auch hier gilt, dass das grundsätzlich nur mit vorheriger Einverständniserklärung des Betroffenen erfolgen darf. Hinzu kommt, dass die Mails verschlüsselt sein müssen. Das ist nicht ganz einfach und im Alltag oft unbequem. Auf dieser Seite gibt es eine gute Erklärung und Softwaretipps dazu.
Wie kann ich Fehler bei der Nutzung des Facebook-Messengers verhindern?
Du musst Klienten darauf hinweisen, dass der Facebook-Messenger kein sicherer Kommunikationskanal ist. Nutze dazu den eingebauten Antwortassistenten. Hier kannst Du einen Text einstellen, der bei jeder neuen Nachricht automatisch als Begrüßung versandt wird. Wenn Du darin erklärst, dass sensible Daten auf anderen Wegen kommuniziert werden müssen, hast Du die Informationspflicht erfüllt. Eine persönliche Information über die Risiken und die Bedeutung der persönlichen Daten sollte bei jedem Klienten dennoch zusätzlich erfolgen.
Brauche ich ein Diensthandy?
Bei Smartphones sollte die Trennung zwischen Beruf und Privatleben möglichst strikt sein. Idealerweise hast du zwei getrennte Geräte. Ist das nicht möglich, musst Du auf WhatsApp oder andere Apps verzichten, da diese Zugriff auf das Adressbuch fordern. Geht es Dir rein um die telefonische Erreichbarkeit und nicht um Messenger oder andere Online-Dienste, können Android-Telefone mit Dual SIM – also zwei SIM-Karten – eine Lösung darstellen. Hier muss dann nur die Dienst-SIM nach Feierabend deaktiviert werden.
Darf ich Klientendaten in der Cloud speichern?
Auch hier gilt: Klientendaten dürfen nur bei sicheren Diensten gespeichert werden. Cloud-Anbieter, die ihre Server beispielsweise in den USA haben oder auch nur einen Teil ihrer Daten dorthin auslagern, zählen nicht dazu. Microsoft und Evernote – um nur zwei bekannte Beispiele zu nennen – bieten bei ihren kostenpflichtigen Unternehmensversionen die Möglichkeit, europäische Server zu wählen. Ob diese Cloud-Dienste jedoch ausreichend sicher sind, muss im Einzelfall immer der Datenschutzbeauftragte Deiner Einrichtung und/oder ein Fachanwalt klären.

Zum Schluss noch einmal der Hinweis: Die hier veröffentlichten Infos sind gewissenhaft recherchiert und basieren auf Interviews mit den zitierten Fachanwälten und meiner eigenen Berufserfahrung. Sie ersetzen keine Rechtsberatung!

Du hast noch Fragen zum Umgang mit Klientendaten oder generelle zum Thema Datenschutz digital? Dann stelle sie in den Kommentaren und wir nehmen sie in den folgenden Artikeln auf.

Über diese Serie:

Datenschutz digital

Christian Müller von sozial-pr.net

Ideengeber und Autor der Serie ist Christian Müller. Der Kommunikationsberater und studierte Sozialarbeiter aus Stuttgart hat dafür mit den Medienfachanwälten Thomas Schwenke, Christian Solmecke und Astrid Christofori gesprochen.

Alle Tipps und Hinweise basieren auf deren fachlichen Rat und spiegeln den Stand im November/Dezember 2016 wieder. Auch Müllers eigene Erfahrung aus der Umsetzung entsprechender Kommunikationsprojekte fließt mit ein. Dennoch kann, soll, darf und will diese Serie keine Rechtsberatung ersetzen. Wenn sie verbindliche Aussagen zu konkreten Projekten benötigen, empfehlen wir die Kontaktaufnahme mit einem Fachanwalt und/oder Datenschutzbeauftragten ihrer Wahl.

In weiteren Teilen der Serie „Datenschutz digital“ geht es um diese Themen:

#0: Überblicksartikel – veröffentlicht in der Fachzeitschrift neue caritas 01/2017
#1: Worauf soziale Einrichtungen beim Einsatz sozialer Netzwerke achten müssen
#2: Umgang mit Klientendaten in der Kommunikation
#3: Verwendung von Fotos und Videos für die  Kommunikation
#4: Kommunikationskanäle für den Austausch mit  Klienten
#5: Facebook Messenger und WhatsApp im Fokus
#6: Digitale Speicherung von Klientendaten

Gerne nehmen wir Ihre Fragen zu diesen – und anderen – Aspekten des Datenschutzes in den sozialen Netzwerken auf. Auch weitere Beiträge – basierend auf Ihren Fragen – sind möglich. Wir freuen uns auf Ihr Feedback.

10 Comments

Anonymer Datenschützer sagt:

8. Februar 2017 um 10:19 Uhr

Ein großes Lob an die Macher dieser hochinteresannten Inhalte zum sensiblen Thema Datenschutz – “für alle verständlich”.

Allerdings muss ich eines loswerden: Bei so einem sensiblen Thema will ich einfach nicht geduzt werden, auch nicht, wenn das gerade Mode ist. Wir sind hier doch nicht bei IKEA….

Antworten
1. Marc Boos sagt:
  
  8. Februar 2017 um 12:01 Uhr
  
  Hallo Anonymer Datenschützer, vielen Dank für Ihre Rückmeldung. Wir haben uns in der Blogredaktion auf das Du verständigt, weil das online tatsächlich die bevorzugte Ansprache ist. Wir hoffen, dass Sie dennoch weiterhin viel aus den Texten unserer Autor(inn)en rausziehen für Ihre Praxis. Beste Grüße Marc Boos, Online-Redaktion von der Caritas Deutschland
  
  Antworten
Michael sagt:

8. Februar 2017 um 17:46 Uhr

Dieser Fall zeigt doch ganz gut, weshalb das thema so heikel ist:
http://www.lvz.de/Region/Borna/Datenschutz-Skandal-Kindernamen-aus-Amtsakten-im-Whatsapp-Chat

Antworten
FH sagt:

1. März 2017 um 12:00 Uhr

Hallo,
ich finde die Serie sehr hilfreich und würde gerne wissen wann denn #3 bis #6 erscheinen bzw. ob man an diese vielleicht schon rankommt?
Viele Grüße

Antworten
1. Marc Boos sagt:
  
  1. März 2017 um 12:52 Uhr
  
  Hallo Frank, Teil 3 kommt Anfang nächster Woche. Die weiteren Beiträge im Dreiwochenrhythmus. Bitte habe Verständnis dafür, dass wir die Artikel nicht vorher rausgeben. Würde uns ja die Zugriffszahlen verhageln ;-)) LG Marc von der Online-Redaktion
  
  Antworten

Cookie	Dauer	Beschreibung
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_85709029_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 2 months 24 days 11 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Klienten für einen geschützten Umgang mit persönlichen Daten sensibilisieren

Tipps für den sicheren Umgang mit den Daten von Klienten

Häufig gestellte Fragen zur sicheren Übermittlung der Daten von Klienten

Datenschutz digital

10 Comments

Post a Reply to FH Cancel Comment

Datenschutzeinstellungen