Datenschutz digital #6 – Regeln fürs Speichern von Klientendaten

In der Sozialen Arbeit fallen viele Daten an, die gespeichert werden müssen. Wie läuft das rechtlich einwandfrei?

Foto: Jan Persiel | (CC BY-SA 2.0) )https://creativecommons.org/licenses/by-sa/2.0/ | iOS7 Homescreen blurred (DSC_0719)
Foto: Jan Persiel | (CC BY-SA 2.0) https://creativecommons.org/licenses/by-sa/2.0/ | iOS7 Homescreen blurred (DSC_0719)

Bei der Kommunikation mit Klienten, der Bearbeitung von Fallakten, der Dokumentation oder bei Anträgen – im Alltag der Sozialen Arbeit fallen unzählige Datensätze und digitale Informationen an. Diese müssen gespeichert und archiviert werden.

Hier zeigen sich die Stärken und Schwächen des digitalen Arbeitens. Die Stärken: Daten sind von verschiedenen Geräten und ortsunabhängig abrufbar, lassen sich leicht archivieren und können bequem im Team bearbeitet werden.

Die Schwächen: Digital gespeicherte Klientendaten lassen sich auslesen und missbrauchen. Das ist zwar nicht neu – auch analoge Klientendaten können missbraucht werden – doch digital gespeicherte Klientendaten sind potenziell leichter abrufbar und einsehbar. Daher werden an die digitale Speicherung von Klientendaten hohe Sicherheitsanforderungen gestellt.

Darf alles gespeichert werden?

Generell gilt: Nur die wirklich nötigen und relevanten Daten speichern und archivieren. Dazu Rechtsanwalt Christian Solmecke:

„Die Speicherung von personenbezogenen Daten ist zulässig, wenn dies im Rahmen des Zwecks eines Vertrages oder eines vertragsähnlichen Vertrauensverhältnisses mit den Klienten erforderlich ist oder eine Zustimmung erfolgt. Es ist außerdem zulässig, wenn es für die Wahrung der Interessen der speichernden Stelle erforderlich ist und nicht ersichtlich ist, dass der Klient dadurch in seinen schutzwürdigen Belangen beeinträchtigt wird.”

Abgesehen von rechtlichen und formalen Gesichtspunkten: Um die Vertrauens- und Arbeitsbeziehung zu Klienten zu schützen, sollten sich Mitarbeiter(innen) sozialer Einrichtungen in Ruhe mit ihnen austauschen und die Notwendigkeit der Speicherung erläutern. Hier geht es nicht um technische Details (zum Beispiel, dass für die Dokumentation das Einverständnis schriftlich vorliegen muss), sondern um die für eine Vertrauensbasis nötige Transparenz für die Klienten.

Sicherheitsanforderungen bei digitaler Speicherung von Klientendaten

Digital gespeicherte Daten von Klienten dürfen nur befugten Mitarbeiter(innen) zugänglich sein. Deshalb muss vorab klar definiert werden, wer auf welche Daten zugreifen darf.  Aus technischer Sicht müssen Einrichtungen und Träger alle Vorkehrungen treffen, um die Daten zu schützen. Das umfasst unter anderem:

  • die Verschlüsselung der gespeicherten Daten,
  • die Absicherung gegen den Zugriff Unbefugter,
  • eine Trennung der Datenträger vom Internet (sofern das möglich ist),
  • ein Back-up, das Datenverlust auch im Fall eines Brandes oder anderer Schäden ausschließt oder minimiert.

Müssen digital gespeicherte Daten von Klienten übertragen werden, sollte das verschlüsselt erfolgen und muss auf den nötigen Kreis an Mitarbeiter(innen) beschränkt sein. Dass diese Daten nicht über Soziale Netzwerke übertragen werden sollten, versteht sich dabei von selbst.

Umgang mit digital gespeicherten Klientendaten auf Smartphones

Einen Sonderfall stellt die digitale Speicherung von Klientendaten auf Smartphones dar. Grundsätzlich sollte es sich hier nur um Dienst-Smartphones handeln. Klientendaten dürfen nicht auf privaten Smartphones gespeichert werden.

Rechtsanwalt Christian Solmecke erläutert die Sicherheitsmaßnahmen, die zum Schutz von Klientendaten auf Smartphones getroffen werden sollten:

„Es sollte auf jeden Fall eine Zugriffs-PIN angelegt werden. Außerdem sollten Vorkehrungen für den Fall eines Diebstahls oder Verlustes getroffen werden. Empfehlenswert ist es, die Smartphones so einzurichten, dass sie auch aus der Ferne gesperrt und die Daten mittels einer entsprechenden Software gelöscht werden können. Zudem besteht die Möglichkeit eine Verschlüsselung der Daten vorzunehmen. Vorsicht ist ebenfalls bei der Installation von Apps geboten, da diese beispielsweise Zugriff auf das Adressbuch benötigen. Ist ein Zugriff auf das Adressbuch oder andere Daten des Smartphones notwendig, findet meist eine Übertragung der Daten auf den Server des Unternehmens statt, das die App anbietet.”

An dieser Stelle kollidieren in der Praxis oft der Komfort und die Arbeitsfähigkeit mit den Sicherheitsanforderungen. Apps, die beispielsweise Zugriff auf Server und auf dort abgelegte Daten haben, machen die Arbeit auf Smartphones mit begrenzten Speicherplatz oft überhaupt erst möglich.

Dazu kommt, dass Messenger wie WhatsApp zwingend Zugriff auf das Adressbuch benötigen, um zu funktionieren. Ein Workaround kann das Anlegen zweier Adressbücher sein, wie ich es im fünften Teil der Datenschutz digital Serie beschrieben habe.

Aus eigener Erfahrung kann ich Ihnen abschließend die folgenden Praxistipps für die digitale Speicherung von Klientendaten mitgeben. Sie ersetzten keine der genannten Anforderungen, machen diese aber praktikabel:

  • Sensibilisieren Sie Ihre Mitarbeiter(innen) beim Thema Sicherheit. Die beste Verschlüsselung ist wertlos, wenn beispielsweise das Dienstzimmer mit dem Computer nicht abgeschlossen wird und das Gerät für jeden zugänglich ist.
  • Achten Sie auf starke Passwörter. Schwache Passwörter sind einer der häufigsten und einfachsten Angriffspunkte, um an Daten und Datenbanken zu gelangen.
  • Smartphones mit Klientendaten sollten keinesfalls unbeaufsichtigt in der Gegend herumliegen.
  • Auch wenn sie praktisch sind, sollten offene WLan-Netzwerke in der Öffentlichkeit nicht mit Dienstrechnern oder -Smartphones genutzt werden. Hier können Passwörter viel zu leicht abgefangen werden.
  • Schulen Sie alle relevanten Mitarbeiter(innen) im Umgang mit Verschlüsselung und den Speichertechniken. Nur wenn Ihre Mitarbeiter(innen) die Technik beherrschen, kann die Sicherheit gewährleistet sein.

Über diese Serie:

Datenschutz digital

Christian Müller von sozial-pr.net

Christian Müller von sozial-pr.net

Ideengeber und Autor der Serie ist Christian Müller. Der Kommunikationsberater und studierte Sozialarbeiter aus Stuttgart hat dafür mit den Medienfachanwälten Thomas Schwenke, Christian Solmecke und Astrid Christofori gesprochen.

Alle Tipps und Hinweise basieren auf deren fachlichen Rat und spiegeln den Stand im November/Dezember 2016 wieder. Auch Müllers eigene Erfahrung aus der Umsetzung entsprechender Kommunikationsprojekte fließt mit ein. Dennoch kann, soll, darf und will diese Serie keine Rechtsberatung ersetzen. Wenn sie verbindliche Aussagen zu konkreten Projekten benötigen, empfehlen wir die Kontaktaufnahme mit einem Fachanwalt und/oder Datenschutzbeauftragten ihrer Wahl.

In weiteren Teilen der Serie „Datenschutz digital“ geht es um diese Themen:

Gerne nehmen wir Ihre Fragen zu diesen – und anderen – Aspekten des Datenschutzes in den sozialen Netzwerken auf. Auch weitere Beiträge – basierend auf Ihren Fragen – sind möglich. Wir freuen uns auf Ihr Feedback.

Post a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert