Wir haben Ihnen / euch eine umfassende Präsentation zur Verfügung gestellt, die Sie / ihr einsehen könnt.Bedienung für Tablets / SmartphonesMit den Wischgesten links und rechts wird umgeblättert und / oder eine kleine Präsentation mit den Zwischenschritten gestartet. Links unten ist ein Bedienungstool eingebettet (bitte klicken), mit dem Sie / ihr auf einzelnen Seiten der Präsentation springen könnt (Dropdownmenue)PC:Hier bitte die Pfeiltasten der Tastatur nutzen.Links unten ist auch hier ein Bedienungstool eingebettet (bitte klicken), mit dem Sie / ihr auf einzelnen Seiten springen könnt (Dropdownmenue)Mit dem Button (Zurück zur Homepage) können Sie /ihr jederzeit von jeder Seite dieser Präsentation auf unsere Homepage zurück gelangen.
Datenschutz bei SoFa e.V.
Was macht der Datenschutzbeauftragter bei SoFa e.V. ?Unsere Aufgabe besteht darin, unsere KollegInnen in Fragen des Datenschutzes zu unterstützen. Das heißt auch, dass die neuen Anforderungen durch die DS-GVO , die in unser System verankert sind, einer Überprüfung standhalten und evtl. Fragen daraus im Sinne des Datenschutzes mit den verantwortlichen / entsprechenden Funktionsträgern (z.B. Geschäftsführung oder der pädagogischen Leitung ) gelöst werden. Kurz: Fachkundig werden Fragen des Datenschutzes aufgegriffen und in Übereinstimmung und nach Absprache mit den Verantwortlichen beim Träger SoFa e.V. mit geltendem Recht gelöst. Zudem stehen wir auch Ihnen bei Fragen des Datenschutzes und wie wir als Träger mit Daten umgehen mit unseren Ansprechpersonen zur Verfügung. Im Rahmen unserer Tätigkeiten als sozialer Dienstleister arbeiten wir mit Menschen zusammen, die in schwierigen Lebenssituationen Hilfe und Unterstützung bedürfen. Das heißt auch, dass wir z.B. von Jugendämtern beauftragt werden, Ihre beantragten Leistungen (z.B. Familienhilfe) für den Kostenträger (Jugendamt) durchzuführen. Wir arbeiten also auch mit Ihren personenbezogenen Daten, da wir z.B. ihren Unterstützungsbedarf kennen müssen, auf wen z.B. sich der Hilfebedarf bezieht, müssen Berichte schreiben und mit dem Kostenträger (z.B. Landkreisen in Niedersachsen, Stadtgemeinde Bremen) unsere Leistungen abrechnen.Dies geht natürlich nur dann, wenn auch personenbezogene Daten ausgetauscht werden.All das geschieht nur mit Ihnen und Ihrer Einverständnis, daher besprechen wir alles mit Ihnen, wenn wir einen Auftrag vom Kostenträger erhalten haben. Damit unsere Arbeit entsprechend besser funktioniert, haben wir einige passwortgesicherte Dokumente auf unserer Homepage zur besseren Dokumentenlenkung bereitgestellt , mit denen wir arbeiten müssen. Aber das kommt noch an anderer Stelle!Zudem arbeiten wir in vielen Bereichen, die haben wir extra für Sie in dieser Präsentation aufgeführt, um Ihnen einen Überblick zu geben, wie wir anhand von Beispielen mit personenbezogenen Daten umgehen.
Datenschutzbeauftragter bei SoFa e.V.
Mein Name ist Holger Nanz und bin für den Bereich Qualitätsmanagement, Projekt- und Konzeptentwicklung und als Datenschutzbeauftragter (DSB) beim Träger SoFa e.V. tätig. Die Stelle DSB ist organisatorisch beim Träger SoFa e.V. als Stabstelle der Geschäftsführung (GF) angedockt und stehen in Fragen der Umsetzung des Datenschutzes der GF/dem Träger beratend und unterstützend zur Seite. Ich bin bei den entsprechenden Aufsichtsbehörden im Land Niedersachsen und der Stadtgemeinde Bremen gemeldet, bei denen Sie sich, falls nach Ihrer Ansicht nicht pflegsam mit Ihren Daten umgegangen und eine eingehende Beschwerde von unserer Seite nicht mit Ihren Auffassungen des Datenschutzes bearbeitet wurde, beschweren können. Einen Link zu den entsprechenden Ansprechpersonen der Aufsichtsbehörden finden Sie in unserer Datenschutzerklärung. Sollten Sie irgendwelche Fragen an uns haben, dann können Sie sich an mich wenden. Für Beschwerden, Feedbacks oder Fragen zu Widerrufen oder Löschungen von Daten kontaktieren Sie uns/mich einfach. Für Beschwerden oder Feedbacks stehen Ihnen besondere Dienste bereit, die sie nutzen können. Auch auf diese Dienste und dem Umgang mit Daten bei Eingängen werden wir in dieser kleinen Präsentation eingehen.
Datenschutzbeauftragter bei SoFa e.V.
Da wir bei uns beim Träger mehr als 10 Personen haben, die in ihrer Arbeit mit sensiblen Personaldaten zu tun haben, ergibt sich rechtlich aus § 38 Abs.1 Bundesdatenschutzgesetz (BDSG) und Art. 37 Abs. 7 DS-GVO unsere Verpflichtung, einen Datenschutzbeauftragter (DSB) zu benennen. Mit Inkrafttreten des DS-GVO mit seinen umfassenden Bestimmungen und unseren täglichen Herausforderungen in den Arbeitsfeldern der Sozialen Arbeit ist davon auszugehen, dass es in der Folgezeit zu weiteren organisatorischen und administrativen Anpassungen kommen wird, die an dieser Stelle beschrieben werden. Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DS-GVO•Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten•Überwachung der Einhaltung dieser Verordnung sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuwesiung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligter Mitarbeiter und der diesbezüglichen Überprüfungen,•Beratung - auf Anfrage- im Zusammenhang mir der DSFA (Datenschutzfolgeabschätzung) und Überwachung ihrer Durchführung,•Zusammenarbeit mit der Aufsichtsbehörde,•Anlaufstelle für die Aufsichtsbehörde.
Aber was bedeutet die DS-GVO?
Die Datenschutzgrundverordnung regelt nach einer zweijährigen Vorlaufzeit ab dem 25.05.2018 den Umgang von Unternehmen oder aber auch von Vereinen mit personenbezogenen Daten einheitlich in ganz Europa und löst die bestehenden nationalen Gesetze in den geregelten Bereichen ab.Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten ab den 25.052018 nicht mehr bzw. werden/sind zeitgleich neu gefasst. Es gibt wesentliche Änderungen gegenüber des BDSG´s, die sich auf organisatorischer, prozessualer und technischer Ebene auswirkenDamit sollen u.a. auch die Personen- und Verbraucherrechte gestärkt werden, dies bedeutet aber auch zukünftig eine erhebliche hohe Anforderung an die Dokumentation und der Nachweispflicht auch für uns als gemeinnützigen Verein, in denen wir die geeigneten und technisch ausreichenden Maßnahmen zur Sicherstellung des Datenschutzes erbringen.Um diese neuen Anforderungen zu genügen, haben wir viele Maßnahmen ergriffen, die über verschiedene Verträge zur Auftragsverarbeitung mit Externen (Google, JotForm, 1und1) zu besonders passwortgeschützte interne Dokumente bis hin zu einem Nachweis von Verarbeitungstätigkeiten reichen. Die Ernennung von unseren Datenschutzbeauftragten unterstreicht unseren sensiblen Umgang mit eben diesen neuen Anforderungen.Wir sind aber noch nicht am Ende, da wir gemeinsam mit einem externen Dienstleister an einer Möglichkeit arbeiten, um Daten und den Emailverkehr noch besser schützen zu können als bisher. Die technischen Möglichkeiten im Umgang mit den DS-GVO werden dabei erheblich professionalisiert.
Die Grundprinzipien des Datenschutzes
TRANSPARENZ:Unsere Datenverarbeitung ist und soll nachvollziehbar sein und die Möglichkeit erhalten, dass Betroffene die Rechtmäßigkeit der Verarbeitung von Daten prüfen können, was mit dem Auskunftsrecht des Betroffenen (also Sie) korrespondiert.
ZWECKBINDUNG UND ERFORDERLICHKEIT:Ausgangspunkt ist immer der vorab festgelegte Zweck, weswegen Daten erhoben und verwendet werden,, die für die Aufgabenerfüllung (z.B. die zu erbringende Leistung im Bereich HzE) erforderlich ist.
DATENMINIMIERUNG / DATENSPARSAMKEIT:Nur das für den beabsichtigten Zweck erforderliche Minimum an Daten -auf das notwendige Maß beschränkt- darf verlangt und verarbeitet werden.
VERHÄLTNISMÄßIGKEITSGRUNDSATZ:Die personenbezogene Daten müssen dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszweck erforderlich sein und ihrer Verarbeitung darf nicht außer Verhältnis zu diesem Zweck stehen (§ 47 BDSG)
RICHTIGKEIT:Personenbezogene Daten müssen sachlich richtig und ggf. korrigiert, gesperrt oder aber auch gelöscht werden. Dies beinhaltet auch Ihren Anspruch auf Information und Auskunft Ihrer erhobenen Daten.
INTEGRITÄT UND VERTRAULICHKEIT:Der Grundsatz besagt und beschreibt die Verpflichtung personenbezogene Daten durch geeignete Maßnahmen zu sichern, um Datenschutzverstöße zu vermeiden. Es geht einfach darum, geeignete organisatorische und technische Maßnahmen zur Datensicherung zu treffen.
Aber was sind personenbezogene Daten?
DS-GVO: Personenbezogene Daten sind hiernach Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität (Artikel 4 Ziffer 1 DSGVO).Personenbezogene Daten sind also neben den identifizierenden Angaben einer Person wie Name und Anschrift auch sämtliche Informationen, die etwas über die persönlichen oder sachlichen Verhältnisse eines Betroffenen aussagen, beispielsweise Kontodaten, Funktion im Verein etc.•Nach europäischem Recht und Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben.•Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.•Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist mithin nur unter Zustimmung des Betroffenen zulässig.
Aber was sind sensible personenbezogene Daten?
Sensible DatenBesonders schutzbedürftige Kategorien von Daten, Art. 9 Abs. 1 DS-GVO sind„(...) personenbezogene[r] Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person...“Unter Datenverarbeitung ist jeder Umgang mit personenbezogenen Daten wie z.B. das Erheben, die Speicherung, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung sowie das Löschen gemeint (Art. 4 Abs. 2 DS-GVO). SoFa e.V. verarbeitet regelmäßig personenbezogene Daten, die im Rahmen der Erfüllung des sozialrechtlichen Dreiecksverhältnisses entstehen.
Verarbeitung personenbezogener Daten
Jede Datenverarbeitung bedarf entweder der Einwilligung der betroffenen Person oder einer sonstigen gesetzlichen Ermächtigungsgrundlage (Rechtmäßigkeit der Datenverarbeitung, Art. 6 DS-GVO).Die im unmittelbaren Zusammenhang mit unserer Tätigkeit z.B. im Rahmen von Hilfen zur Erziehung beim Träger SoFa e.V. stehende Verarbeitung personenbezogener Daten wird regelmäßig auch ohne die ausdrückliche Einwilligungserklärung der Betroffenen auf Grundlage z.B. des Art. 6 Abs. 1, Buchstabe e DS-GVO erfüllt.Zulässig ist beispielsweise die Verarbeitung von Vor- und Zuname, Name des Kindes, Anschrift, Aktenzeichen, Kostenzusicherung etc., dies ergibt sich auch aus dem sozialrechtlichen Dreiecksverhältnis. Erfolgt die Datenverarbeitung außerhalb des sozialrechtlichen Verhältnisses, ist zu prüfen, ob die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verein unterliegt, erforderlich ist (Art. 6 Abs. 1 Buchst. c DS-GVO, beispielsweise Aufbewahrungsfristen nach Handels- und Steuerrecht).Die Verarbeitung kann gegebenenfalls auch im berechtigten Interesse des Vereins oder eines Dritten nachArt. 6 Abs. 1 Buchst. f DS-GVO erforderlich sein. In diesem Zusammenhang sind die Interessen des Vereins gegen die schutzwürdigen Interessen der Betroffenen abzuwägen, wobei insbesondere auf die vernünftigen Erwartungen der betroffenen Personen abzustellen ist.…die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt….
Verarbeitung von Klientendaten
Auch hier gelten zunächst die allgemeinen Grundsätze der DS-GVO und des BDSG. Sind diese Daten z. B. für die finanztechnische Abwicklung mit den Kostenträgern oder z.B. die Abwicklung der angebotenen Dienstleistungen erforderlich, handelt es sich meist um eine erlaubte Verarbeitung etwa im Rahmen der Erfüllung oder Anbahnung eines Vertrags, Erfüllung einer rechtlichen Verpflichtung, die keiner besonderen Einwilligung der betroffenen Personen bedarf. Dazu können auch Informationen über die konkreten Situationen und Probleme der Betroffenen gehören, wenn das für die zielgerichtete Erfüllung der Aufgaben des Vereins erforderlich ist. Hierüber gibt das später folgende sozialrechtliche Dreiecksverhältnis Klarheit: .
Datenschutz bei der Einschaltung freier Träger
Eine Datenübermittlung durch das Jugendamt an freie Träger, andere Fachkräfte oder private Anbieter von Jugendhilfeleistungen ist mit Einwilligung des Betroffenen oder unter den Voraussetzungen des § 69 Abs. 1 Nr. 1 SGB X zulässig.Grundsätzlich ist es so, dass den Einrichtungen und Diensten der Träger der freien Jugendhilfe vom Jugendamt die zur Wahrnehmung ihrer jeweiligen Aufgabe erforderlichen Daten zugänglich gemacht werden müssen. Dies kann sich aus einer entsprechenden Vereinbarung mit dem Jugendamt ergeben, soweit eine solche getroffen wurde Vor dem Hintergrund, dass Jugendhilfeleistungen häufig durch freie Träger erbracht werden, muss auch innerhalb diese Organisationen sichergestellt sein, dass ein effektiver Datenschutz gewährleistet ist.Allerdings statuiert § 61 Abs. 3 SGB VIII die Verpflichtung der öffentlichen Träger, die Einhaltung der Datenschutzbestimmungen bei der Einschaltung freier Träger sicherzustellen. Gesetzlich sind aber weder die Form noch der Umfang normiert, wie dieses zu geschehen hat. Praktisch kann dies nur durch eine Vereinbarung mit dem freien Träger erfolgen. Dabei ist aber zu beachten, dass eine pauschale Selbstverpflichtung („Wir beachten den Datenschutz“) keinesfalls ausreichend sein kann.Um die Sicherstellung eines umfassenden Datenschutzes gewährleisten zu können, muss das Jugendamt dem freien Träger eine konkretisierende Auflistung über die einzelnen Datenschutzbestimmungen zugänglich machen und über Methoden aufklären, wie diese praktisch umzusetzen sind (vgl. auch § 78 Abs. 2 SGB X). Soweit dieses erfolgt ist, besteht überdies keine generelle Verpflichtung des Jugendamtes auf Überwachung des freien Trägers auf Einhaltung des Datenschutzes.
Auskunftsrecht Ihrer personenbezogene Daten
Jede betroffene Person hat grundsätzlich das Recht auf Auskunft über die betreffenden personenbezogene Daten (Art. 15 DS-DVO), auf Berichtigung Art. 16 DS-GVO, Löschung (Art. 17 DS-GVO), auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), auf Widerspruch (Art. 21 DS-GVO) sowie das Beschwerderecht bei der zuständigen Datenschutzbehörde (Art. 77 DS-GVO). Dies beinhaltet auch die Informationspflicht bei der Erhebung von personenbezogenen Daten, Näheres können Sie dem Art. 13 der DS-GVO entnehmen oder eine Vorlage als Beispiel aus dem Landkreis Diepholz entnehmen, Dienstleistungsbereich Hilfe zur Erziehung. Besonderheit Löschung nach AufgabenerfüllungNach § 84 SGB X sind die Daten auch dann zu löschen, wenn ihre Erforderlichkeit zur Aufgabenerfüllung entfallen ist und kein Grund zu der Annahme besteht, dass durch die Löschung schutzwürdiger Interessen des Betroffenen beeinträchtigt werden. Dieses ist meist dann anzunehmen, wenn die Jugendhilfemaßnahme erbracht wurde und ein weiterer Vollzug anderer Maßnahmen nicht mehr anzunehmen ist. Gerade für den Bereich der Jugendhilfeleistung ist eine solche Prognose, dass weitere Maßnahmen auch künftig nicht mehr notwendig sein werden, oftmals nicht eindeutig.
Sozialrechtliches Dreiecksverhältnis
Soziale Organisationen (wie SoFa e.V.) bieten Dienstleistungen an. Sind wir als eingetragener Verein befasst, so unterliegt die Grundlage unserer Arbeit der in der Vereinssatzung beschriebenem Satzungszweck der Gemein-nützigkeit. Siehe § 52 AO, gemeinnütziger Zweck In der Regel dient diese Aufgabenerfüllung der Erbringung von in den SGB´s festgelegten Sozialleistungen. Träger dieser Sozialleistungen sind die im Sozialgesetzbuch I genannten Leistungsträger, z. B. der Sozial- und Jugendhilfeträger, die gesetzlichen Krankenkassen, die gesetzliche Rentenversicherung, die Agentur für Arbeit u. a.. Begehrt ein Bürger eine Sozialleistung, so stellt der zuständige Leistungsträger den Anspruch in der Regel in einem förmlichen Bescheid fest. Es entsteht ein Sozialleistungsverhältnis, in dem beide Seiten Rechte und Pflichten haben. Der Leistungsbescheid ist ein hoheitlicher Akt. Handelt es sich bei der be-gehrten Sozialleistung um eine Dienstleistung (Sachleistung), so erbringt der Leistungsträger in den meisten Fällen die Sozialleistungen nicht selbst. Er verweist den anspruchsberechtigten Bürger z. B. auf die Leistungs-angebote von sozialen Organisationen der freien Wohlfahrtspflege. Zur Leistungserbringung schließen sie mit dem anspruchsberechtigten Bürger privatrechtliche (Dienstleistungs-) Verträge ab. Die Kostenübernahme wird zwischen dem Leistungsträger und der sozialen Organisation als Leistungserbringerin geregelt (Leistungs- und Versorgungsvertrag). Auch auf dieser Ebene entsteht ein Rechtsverhältnis. In diesen drei Rechtsverhältnissen ist auch der Datenschutz zu beachten. Aufgrund des informationellen Selbstbestimmungsrechts bleibt der/die Anspruchsberechtigte weiter Herr/Frau über seine personenbezogenen Daten. Überwiegend dient dieses sozialrechtliche Dreieck der Gestaltung der Rechtsbeziehungen bei Leistungserbringung durch soziale Organisationen. Daneben erbringen soziale Organisationen im Rahmen ihrer satzungsgemäßen Aufgabenerfüllung auch Leistungen in anderen rechtlichen Konstellationen, Datenschutzfragen sind z.B. auch bei Selbstfinanzierung durch die Leistungsempfänger nochmals anders zu bewerten. .
Soweit die Leistungserbringung aber in dem sozialrechtlichen Dreieck erfolgt, sind die einschlägigen Sozialgesetzbücher anwendbar. Es gilt dann das Sozialgeheimnis, das in § 35 SGB I niedergelegt ist. Es bestimmt, dass jeder Mensch Anspruch darauf hat, dass seine Sozialdaten von Leistungsträgern nicht unbefugt bearbeitet werden.
(Anspruch im Leistungsverhältnis)Sozialdatenschutz nach § 35 SGB I
Einbindung in den Sozialdatenschutzdurch Vertrag § 78 SGB X
(Vertrag)DS-GVO und BDSG
Einwilligung zur Verarbeitung personenbezogener Daten von Kinder und Jugendlichen
Für die Einwilligung von Kindern und Jugendlichen sind Art. 8 DS-GVO sowie die deutschen Regelungen zur Einwilligungsfähigkeit zu beachten. Neu ist, dass auch schon Minderjährige ab 16 Jahren in einzelnen Bereichen in die Verarbeitung ihrer Daten einwilligen können. Da wir als Träger in unserer Arbeit insbesondere im Bereich Jugend und Kultur von Kostenträgern „aufgefordert“ sind, im Sinne der Offenen Kinder- und Jugendarbeit z.B. Werbung zu machen oder spezielle Bedarfe zu ermitteln, bedarf ist hierbei immer einer Einverständniserklärung. Die Bedarfserhebung erfolgt grundsätzlich auf der Basis der Informationsvermittlung, der Freiwilligkeit und wird möglichst anonymisiert erhoben.Anders im Bereich des Rechts am eigenen Bild. Da es hier um ein höchstpersönliches Recht des/der Min-derjährigen geht, ist seine/ihre persönliche Einwilligung (bei z.B. facebook) erforderlich, sobald von einer „natürlichen“ Einsichtsfähigkeit ausgegangen werden kann. Es ist allerdings rechtlich umstritten, ab wann sicher von einer solchen Einsichtsfähigkeit ausgegangen werden kann, daher benötigen wir als Träger auch die Einwilligung der Personensorgeberechtigten, die grundsätzlich ohne Nennung von Gründe von allen Parteien widerrufen werden kann.Solche Einwilligungen geschehen immer völlig transparent und im persönlichen Dialog mit den Betroffenen. .
Einwilligung zur Verarbeitung personenbezogener Daten
Eine Einwilligung gilt für uns als der sicherste Weg für eine rechtmäßige Datenverarbeitung. Deshalb ist es für soziale Organisationen (wie SoFa e.V.) immer sinnvoll, mit Einwilligungen zu arbeiten. Sie wird oft auch als der Königsweg der rechtmäßigen Datenverarbeitung bezeichnet. Die Einwilligung ist in Art. 4 DS-GVO definiert Näheres zur Einwilligung regelt Art. 7 DS-GVO. Die Einwilligung sollte schriftlich vorliegen, damit sie als Nachweis für eine rechtmäßig erfolgte Datenverarbeitung dienen kann. Sie ist jederzeit widerrufbar.Einwilligung …Eine Einwilligung des Betroffenen ist jede freiwillig für einen bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.Wir haben beim Träger z.B. ein passwortgeschütztes Dokument zur Einwilligungen zu verschiedenen Zwecken downloadbereit auf unsererHomepage für die unterschiedlichen Dienstleistungsbereiche bereitgestellt. Zudem haben wir für einen besonderen Zweck eine Einwilligung zur Schweigepflichtentbindung erstellt, die einer besonderen Sicherung bedürfen bzw. besonders gesichert wird..
Verarbeitung von Personaldaten
Auch im Bereich des Schutzes der Beschäftigtendaten gelten die „Grundprinzipien“ des Datenschutzes und die sonstigen allgemeinen Regeln, die für jedes Rechtsverhältnis gelten. Der Beschäftigtenbegriff im Datenschutz-recht umfasst neben den Arbeitnehmer/-innen unter anderem auch Freiwillige im FSJ und BFD. Auch auf Ehrenamtliche sind die Regeln ergänzend anzuwenden. Der neue § 26 BDSG entspricht weitgehend dem bisherigen Recht. Danach darf der Arbeitgeber z. B. personenbezogene Daten verarbeiten, wenn dies für die Begründung (Bewerberdaten), die Durchführung oder die Beendigung erforderlich ist. Das gilt auch für die Verarbeitung personenbezogener Daten durch Arbeitgeber und Betriebsräte bei der Verwirklichung der Rechte und Pflichten von Interessenvertretungen der Beschäftigten. Im neuen BDSG wird klargestellt, dass auch sogenannte „Kollektivvereinbarungen“, also Tarifverträge, Betriebs- oder Dienstvereinbarungen „Rechtsvorschriften“ im Sinne des BDSG sind und demnach geeignete Rechtsgrundlagen für eine zulässige Datenverarbeitung schaffen können. Arbeitnehmerdaten können auch besonders zu schützende Kategorien von Daten sein z. B. gesundheitliche Angaben zu einem/er Arbeitnehmer/-in. So werden in der Personalverwaltung z.B. auch Krankheitszeiten /Krankmeldung erfasst. Während im Grundsatz bei besonders zu schützenden Kategorien von Daten aufgrund der strengeren Anforderungen eine Einwilligung der betroffenen Person in die Verarbeitung notwendig ist, macht § 26 Absatz 3 und 4 BDSG hier eine Ausnahme.Nach Eingang, Erhalt und Prüfung der in der Verwaltung vom Träger SoFa e.V. eingegangenen Stundenzettel der Beschäftigten werden für die Überweisung des Gehaltes (Abrechnung der Brutto-I Nettobezüge, DATEV) die entsprechenden Personaldaten einem beauftragten Steuerbüro als unser Dienstleister zugesendet. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschreiben.
Bewerbungsunterlagen
Hinweis Bewerbungen:update am 29.01.2019, Revision 1.3Sie haben die Möglichkeit, sich über unsere Webseite auf die von uns ausgeschriebenen Stellen zubewerben. Sie selbst legen den Umfang der Daten fest, die Sie im Rahmen Ihrer Online-Bewerbung anuns übermitteln wollen. Wir verarbeiten die Daten, die Sie uns im Rahmen Ihrer Online-Bewerbung preisgeben ausschließlich für den Zweck der Bewerberauswahl auf Grundlage von § 26 BDSG. Eine Datenverarbeitung zuanderen Zwecken erfolgt nicht. Darüber hinaus findet eine Weitergabe Ihrer Daten nicht statt.So machen wir es ganz konkret….Bewerbungen mit den entsprechenden Anlagen, die uns aufgrund einer Bestätigung/Einwilligung auf unser Bewerbungshomepage online an die Personalverantwortliche Yasemin Kaya von SoFa e.V. zugesendet werden, werden entsprechend 1x in Papierform ausgedruckt und dem Geschäftsführer von SoFa e.V. vorgelegt. Die als PDF zugesendeten Unterlagen liegen gesichert auf einem PC-Arbeitsplatz von Frau Kaya. Zugang zu den Bewerbungen können, wenn sich die Bewerbung auf einen bestimmten Dienstleistungsbereich beziehen, von den entsprechenden Koordinatoren von SoFa e.V. im Büro Achim eingesehen werden. Nach Abschluss des Bewerbungsverfahren werden die Bewerbungsunterlagen in Papierform spätestens nach 6 Monaten nach Beendigung des Bewerbungsverfahrens in einer Datenschutztonne entsorgt und entsprechend die Datei (PDF) bei uns datenschutzkonform vernichtet, es sei denn, es wird mit dem Bewerber / der Bewerberin in einem persönlichen Gespräch etwas anderes vereinbart und schriftlich festgehalten. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschreiben.Für den Fall, dass wir Ihre Bewerbung bei anderen oder zukünftigen Stellenausschreibungenberücksichtigen dürfen, bitten wir vorab um einen entsprechenden Vermerk auf der Bewerbung. Ebenso, wenn Sie ein Rücksendung Ihrer postalisch zugesendeten Bewerbungsunterlagen wünschen . Wir verarbeiten Ihre Daten dann auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.“
Speicherung von personenbezogener Daten
Gemäß Art. 5 (1) DS-GVO dürfen personenbezogene Daten nur solange gespeichert werden, wie es für den Verar-beitungszweck erforderlich ist. Wenn personenbezogene Daten für den Zweck, für die sie verarbeitet werden, nicht mehr erforderlich sind, sind diese Daten zu löschen. Der Auftragsveranwortliche ist außerdem dafür verantwortlich, dass ein etwaiger Auftragsverarbeiter (bei SoFa e.V. google-analytics für die Homepage von SoFa e.V., JotForm bei Beschwerden und Feedback und surveymonkey bei Abfragen, Steuerbüro für die Personalabrechnung) diese Bestimmungen einhält. Die Speicherung ist als Vorgang im „Verzeichnis von Verarbeitungstätigkeiten“ beschreiben.Versendung mit der PostIm Bereich der Hilfen zur Erziehung müssen u.a. Berichte von den eingesetzten KollegInnen an die zuständigen Casemanager versendet werden (sozialrechtliches Dreiecksverhältnis). Dies darf nicht durch den Emailaustausch des/r eingesetzten KollegInnen zur örtlich und sachlich zuständigen CasemanagerIn geschehen, wenn das Dokument (Hilfebericht) in der Anlage unverschlüsselt ist. Hier gilt, wenn keine anderen verbindlichen Absprachen mit dem Kostenträger getroffen sind, grundsätzlich die Versendung mit der Post. Verschlüsselter Berichte (Stadtgemeinde Bremen) können in Absprache mit den Familien an die örtlich und sachlich zuständigen CasemanagerIn verschickt werden, wobei zuerst das entsprechende Passwort zum Öffnen des Dokumentes verschickt, danach als zweiter Schritt erfolgt erst die Versendung des verschlüsselten Dokumentes durch die zuständigen KollegIn, die im Fall eingesetzt sind. Führt dabei die Post eine ausschließliche Beförderungsleistung durch, ist kein rechtliches Erfordernis zum Abschluss einer Verarbeitung über eine Auftragsverarbeitung nach Art. 28 DS-DVO gegeben. Die Verantwortung einer Datenverarbeitung geht vielmehr auf die Post über und die Post wird damit selbst datenschutzrechtlicher Verantwortlicher der Datenverarbeiter. Als solcher unterliegt die Post den jeweils geltenden Datenschutzbe-stimmungen.
Verarbeitung von freiwilligen Personaldaten
Möglich ist die Verarbeitung darüberhinausgehender besonders schützenswerter Daten und sonstiger personenbezogener Daten, wenn eine freiwillige, schriftliche Einwilligung vorliegt, die den in § 26 Abs. 2 BDSG formulierten Anforderungen entspricht: „Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Art. 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.“In der Praxis kann dies z. B. im Kontext der Durchführung des betrieblichen Eingliederungsmanagements oder bei der Gestattung privater Nutzung von dienstlichen Fahrzeugen, Telefonen, EDV-Geräten erforderlich sein. Die Arbeitnehmer/-innen haben Anspruch auf Auskunft über die gespeicherten Daten. Der Arbeitgeber hat außerdem über den Zweck der Datenverarbeitung und die jederzeitige Widerrufsmöglichkeit zu informieren
Verzeichnis von Verarbeitungstätigkeiten
Wir müssen als gemeinnütziger Verein unabhängig von der Zahl ihrer Beschäftigten ein Verzeichnis der Verarbeitungstätigkeiten aufstellen, •wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen und die Verarbeitung nicht nur gelegentlich erfolgt oder •wenn es um besonders geschützte Kategorien von Daten geht (Art. 9 Absatz 1 bzw. Art. 10 DS-GVO).Da in jedem Verein (auch beim Träger SoFa e.V.) die Erfassung und Verarbeitung personenbezogener Daten nicht gelegentlich erfolgt, ist bereits aus diesem Grund in der Regel in jeder Organisation ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.Artikel 30 DS-GVO und § 70 BDSG geben über den Inhalt und den Anforderungen an dieses Verzeichnis Auskunft.Dabei ist zu beachten, dass die Dokumentationspflicht und somit auch das Verzeichnis der Verarbeitungstätigkeit mit der Datenschutz-Grundverordnung ein Überprüfungsschwerpunkt der Aufsichtsbehörde sein wird. Führt ein Unternehmen kein Verzeichnis von Verarbeitungstätigkeiten und/oder stellt dieses der Behörde nicht vollständig bereit, droht nach Art. 83 Abs. 4 a EU-DSGVO ein Bußgeld.Unser Verzeichnis beinhaltet u.a. alle Dienstleistungsbereiche vom Träger SoFa e.V.•Schulsozialarbeit•Berufsorientierende Maßnahmen•Hilfen zur Erziehung, eingesetzte 8a Fachkräfte unterteilt in Niedersachsen und Bremen•Hilfen nach dem Jugendgerichtsgesetz•Jugend und Kultur (Freizeiteinrichtungen)•Wiedereingliederung •Umgang in den Regionalteams mit einer kollegialen Beratung etc.
Berechtigungsmanagement
Bei der Sicherheit der Verarbeitung von personenbezogenen Daten geht es nicht nur darum, böswillige Attacken von außen abzuwehren, sondern auch Risiken mit Sicherheitsmaßnahmen zu begegnen und zu minimieren, die sich aus dem normalen Arbeitsalltag ergeben.Art. 32 Abs. 4 DS-GVO erwähnt daher explizit, dass die eigenen internen Abläufe im Unternehmen / Verein so organisiert sein müssen, dass es auch dort nicht zu Sicherheitsverletzungen kommt.Daher ist es unsere internen Abläufe von großer Wichtigkeit, wer auf welche Daten für welchen Zweck in den jeweiligen Systemen zugreifen darf und kann. Daraus ergibt sich unsere klar benannte Pflicht, dies immer zu berücksichtigen, also unser Selbstverständnis jedes einzelnen Mitarbeiter im Umgang mit dem Datenschutz.Daher ist es immer wichtig, die Prozesse auf den Prüfstand zu stellen, um etwaige Risikoquellen zu erkennen und zu beheben.Da der Träger SoFa e.V. verbindliche Strukturen im Rahmen seines zertifizierten Qualitätsmanagemtsystems (QMS) hat, können / werden sogenannte Datenschutz - Folgeabschätzungen vorgenommen, die nach dem Prinzip Plan -Do - Check - act erfolgen.
Datenschutz - Folgeabschätzung
Unser Aufgabe bei SoFa e.V. ist, den Datenschutzes gemäß DS-GVO umzusetzen, daher haben wir ein Datenschutzmanagementsystems aufgebaut, was in der Vorgehensweise dem gleicht, was sich in unserem QMS etabliert hat, nämlich unter den gegebene Ressourcen die Prozesse nach dem PDCA-Zyklus zu betrachten, zu betreiben und daraus Verbesserungen abzuleiten. PDCA steht für:•Plan – Risikoorientierte Planung bezüglich Art und Zweck der Verarbeitung der personenbezogenen Daten. Identifizierung und Bewertung der Risiken für die persönlichen Rechte und Freiheiten.•Do – Umsetzung von geeigneten technischen und organisatorischen Maßnahmen. Nachweis der Verarbeitung gemäß der DS-GVO.•Check – Regelmäßige Überwachung der umgesetzten Maßnahmen.•Act – Aktualisierung ggf. Ergänzung der Maßnahmen.Die Datenschutz-Folgenabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG). Verlinkte gesetzliche Vorgabe ist veraltet Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Genau wie die Vorabkontrolle dient die Datenschutz-Folgenabschätzung also der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.Nach Art. 35 Abs. 1 DS-GVO ist eine DSFA grundsätzlich immer dann durchzuführen…bitte Art. 35 Abs. 1 DS-GVO drücken
Datenschutzpanne Folgeprozess
Grundregeln am Arbeitsplatz
1. Akten landen im PapierkorbIm digitalen Zeitalter wird häufig vergessen, dass auch Druckerzeugnisse personenbezogene Daten enthalten können.Gedruckte Dokumente und Datenträger, die im Papierkorb landen, sind vor unberechtigten Zugriffen nicht geschützt. Akten müssen ordnungsgemäß vernichtet werden (zum Beispiel Schreddern). Unser „Schreddergut“ wird gesammelt, eingelagert und entsprechend der Einhaltung gesetzlicher Vorschriften grundsätzlich an einem externen Dienstleister abgegeben, der die die Aktenvernichtung in z.B. Datenschutztonnen übernimmt. Daten, die nicht ausgedruckt sind und ihren Zweck Datenspeicherung auf entsprechender Hardware erfüllt haben, müssen nach Löschung und dem „Eingang“ in den virtuelle Papierkorb von den KollegInnen mit einem Programm datenschutzkonform gelöscht werden. Hierbei gibt es eine Vielzahl an freien Hilfsprogrammen z.B. CC-Cleaner, dies gibt es auch für mobile Einheiten (Beachtung der Zugriffsrechte bei der Installation für Smartphones, Tablets etc.) --Aufbewahrungsfristen für Akten ist gesondert beschrieben--2. Private Geräte am ArbeitsplatzUSB-Sticks, externe Festplatten und CD-ROM sind beliebt, um private Angelegenheiten am Arbeitsplatz zu erledigen oder Unterlagen mit nach Hause zu nehmen, um nach der Arbeit noch daran weiterzuarbeiten bzw. von Zuhause aus zu arbeiten. Hier lauert Gefahr! Die Geräte können mit Schadsoftware infiziert sein, die sich im Betriebssystem ausbreitet und eine Gefahr für Daten darstellt. Die Nutzung von WHATSAPP mit Klienten oder der Kontakt zu Kindern und Jugendlichen mit seinem eigenen Smartphone ist bei SoFa e.V. verboten. Dies beinhaltet auch WHATSAPP auf dem Diensthandy! Kontaktaufnahme (auch keine namentlichen Aufnahme von Familiennamen /-daten über gespeicherte Kontaktdaten) übers Handy zu Klienten per sms werden niemals namentlich, sondern in pseudonymisierter Form vorgenommen. Die Vorgehensweise kann mit der Familie besprochen werden.Handygebrauch: Hierbei gelten für unsere TOM (technisch-organisatorische Maßnahmen) folgende gesetzliche Grundlagen -- Art. 32 DS-GVO und § 64 BDSG--
Grundregeln am Arbeitsplatz
3. Firmengeräte werden für private Zwecke genutztHomeoffice und unterwegs arbeiten sind weit verbreitet. Häufig werden die zur Verfügung gestellten Arbeitsmittel (Laptops, Tablets, Smartphones) auch für private Zwecke genutzt. Dadurch können unbefugte Dritte, insbesondere bei Verlust oder Diebstahl, leicht Einblick in vertrauliche Unterlagen erhalten. Festplatten und USB-Sticks sollten deshalb unbedingt verschlüsselt und die Nutzung des öffentlichen WLAN verboten werden. Keine Verschlüsselung wäre ein klarer Verstoß gegen die neuen Datenschutzbestimmung Das Bundesamt für Sicherheit und Informationstechnik empfiehlt folgende Software zur Verschlüsselung von Datenträgern veracrypt4. Nutzung des privaten E-Mail-AccountsMitarbeiter nutzen private E-Mail-Adressen zum Versenden von betrieblichen Dokumenten mit vertraulichen, personenbezogenen Daten. Gründe: Bequemlichkeit, Unerfahrenheit mit E-Mail-Programmen des Unternehmens, Nutzung der Dokumente für private Zwecke. Dabei nutzen sie häufig unsichere Transfermethoden. Leider wissen das auch viele Hacker, die immer auf der Suche nach Möglichkeiten sind, vertrauliche Daten zu stehlen. Die Nutzung privater E-Mail-Accounts für betriebliche Zwecke ist beim Träger SoFa e.V. untersagt. 5. Mein Passwort für alles: hallo123Mitarbeiten, die personenbezogene Daten verarbeiten, sollten für jede Anwendung eigene Accounts eingerichtet werden. Account-Sharing ist ein No-Go! Die Accounts sind allerdings sinnlos, wenn sie nicht durch sichere Passwörter geschützt sind. Aus Bequemlichkeit werden gern einfache Passwörter genutzt und am liebsten immer das gleiche. Ein fataler Datenschutz-Fehler! Ist ein Passwort einmal geknackt, besteht so die Möglichkeit auf alle Nutzer-Accounts zuzugreifen und somit Zugang zu vertraulichen Daten zu erlangen. Unsere KollegInnen nutzen daher möglichst lange Passwörter möglichst 8 Zeichen mit der Kombination aus Zeichen und Zahlen z.B. SdJ2018imPs.
Grundregeln am Arbeitsplatz
6. BüroräumeBüroräume bieten einige Gefahren für Datenschutzverstöße. Insbesondere wenn betriebsfremde Personen in Büroräume gelassen werden und ohne Begleitung umherspazieren können. Ein offenes Büro, ein vergessenes Dokument auf dem Drucker können fatale Folgen für den Datenschutz von Klienten, Kunden und Mitarbeitern haben. Der Zugang zu den Büroräumen sollte Betriebsfremden nur für Betriebszwecke gestattet sein und das auch nur unter Aufsicht. KollegInnen dürfen sich nicht ungefragt an einen fremden unbesetzten Arbeitsplatz setzen, an dem mit sensiblen Daten gearbeitet wird. (Diskretionsanordnung)7. Zu viel Auskunft am TelefonZur Vermeidung ist es unerlässlich, unseren KollegInnen schon im Voraus gründlich darin einzuweisen, welche Auskünfte gemacht werden dürfen und welche nicht. Grundsatz: Eher weniger Infos gegenüber Dritten, Aktenzeichen anfordern 8. Chaos am ArbeitsplatzVertrauliche Briefe, Verträge, Notizen mit Passwörtern, USB-Sticks und das alles auf einem Haufen. Wenn dann auch noch andere Personen diesen Haufen sehen kann, ist das Datenschutz-Chaos perfekt. Hilfreich ist die Clean-Desk-Policy, die vorsieht, dass bei Verlassen des Arbeitsplatzes keine Unterlagen mit vertraulichen Dokumenten zurückgelassen werden dürfen. Computer müssen gesperrt werden oder der Raum beim Verlassen abgeschlossen sein.9. Der PC als MüllhaldeEiner der Grundsätze des Datenschutzrechts ist die Speicherbegrenzung. Daten sollen nur solange gespeichert werden, wie es für den Zweck der Verarbeitung erforderlich ist. Bestes Beispiel ist auch das überquellende E-Mail-Postfach. Dieses sollte regelmäßig geleert werden. Dokumente mit personenbezogenen Daten, die auf der Festplatte gespeichert sind, aber nicht benötigt werden, müssen in den Papierkorb verschoben werden. Achtung: Aufbewahrungsfristen beachten!10. Datenpannen verschweigenWir sensibilisieren unsere MitarbeiterInnen für den Datenschutz, verdeutlichen dessen Bedeutung und gehen selbst mit gutem Beispiel voran. Schulungen und ständige Thematisierung des Datenschutzes werden von uns durchgeführt.
Aufbewahrungsfristen für Akten
Vorab ist immer zu klären, was in eine Akte gehört. Grob kann die Akte in ein Hilfeakte und in eine Leistungsakte unterschieden werden und sollte so aus dem Gesichtspunkt des Datenschutzes in der Aktenführung getrennt sein. Grundsätzlich sind, was den Akteninhalt betrifft, nur Informationen und Material aufzunehmen, die für die Erbringung der Leistung unbedingt notwendig sind. Ein Fall ist -gleichgültig nach welchem System eine Akte geführt wird- so aussagekräftig zu dokumentieren, dass die Fachkraft oder ihre Vertretung den aktuellen Sachstand vor Augen hat oder nachvollziehen kann.Nach Hilfeabschluss und der Erstellung und Versendung eines Abschlussberichtes des/der KollegIn an den Kostenträger / fallführenden zuständigen CasemanagerIn entfällt grundsätzlich die Zweckbindung inhaltlicher Art.Alle Aufzeichnungen der KollegInnen, die für die Erstellung von Berichten nötig waren, sind unmittelbar nach Ende der Maßnahme mit den Betroffenen durchzugehen, entsprechend wird geprüft, welche Aufzeichnungen ggf. ausgehändigt und welche so aufbewahrt werden, dass nur Berechtigte Zugang dazu haben. Zudem müssen nicht mehr benötigte Daten / Aufzeichnungen gelöscht werden.Für die Leistungsakte (z.B. Kostenzusicherung) gilt, dass z.B. nach der Abgabenordnung / des Handelsgesetzbuches im Sinne von Buchungsunterlagen die Zehn-Jahres-Frist einzuhalten ist. Besonderheiten: Für Bremen sind für eventuelle Nachprüfungen alle Originalunterlagen des Verwendungsnachweises über den gewährten Zuschuss aus Mitteln der Freien Hansestadt 5 Jahre aufzubewahren (Infoschreiben vom 06.04.2019)Für die Hilfeakte bzw. ergänzende Aufzeichnungen wird zurzeit Folgendes empfohlen, da Fristen unbestimmt sind.Alle in Papierform vorliegenden Unterlagen der falldurchführenden KollegInnen werden nach Fallende und der Versendung des Abschlussberichtes in die Verwaltung von SoFa e.V. gebracht, die dort für “etwaige Rückfragen” 6 Monate zugriffssicher eingelagert werden. Entsprechend werden diese Unterlagen nach Ablauf datenschutzkonform entsorgt.-- Dies ist eine unverbindliche Empfehlung, dies kann durch entsprechende Vereinbarungen mit den Kostenträgern regional unterschiedlich gehandhabt werden--
Datenschutztonne
Wir haben mit dem Dienstleister documentus einen Datenträgervernichtungsvertrag gemäß der DS-GVO und unter Berücksichtigung der DIN 66399 geschlossen. Documentus ist ein Auftragsverarbeiter gemäß Art. 32 DS-GVO.Im Vertrag sind alle relevanten Maßnahmen für die Sicherheit der Verarbeitung präzise und umfassend beschrieben.Folgende Unterlagen werden beim Träger SoFa e.V. mittels einer Datenschutztonne verarbeitet /entsorgt.•veraltete Mitarbeiter / Personaldaten aus der Personalverwaltung•Adressdaten, bei denen die Zweckbindung und die Erforderlichkeit entfallen ist•Bewerberdaten•Dienstbeurteilungen / Zeugnisse / Mitarbeiterbewertungen•Gesundheitsdaten (Krankmeldungen) •Entsorgung von Fallbögen, Hilfeplänen, Berichten, Handlungsplänen, Aufzeichnungen, Kostenzusicherungen aus dem Bereich des SGB VIII, wenn die Zweckbindung, Erforderlichkeit und die gesetzlichen Aufbewahrungsfristen entfallen; dies betrifft auch die KollegInnen der eingesetzten insofern erfahrenen Fachkräfte (8a Schutzfachkräfte)•Entsorgung von eigenen Akten, Aufzeichnungen etc. u.a im Kontext von Beratungen im Bereich der Schulsozialarbeit bei ausscheidenden KollegInnen, sofern keine Einwilligung für eine Weiterverarbeitung von den Erziehungsberechtigten, in Einzelfällen auch der SchülerInnen gegeben wurde bzw. vorliegt. Dieser Grundsatz ist auch bei wechselnden KollegInnen zu beachten!•Im Bereich JGG, hier Ambulant sozialpädagogische Maßnahmen für junge Straffällige im Landkreis Verden--mit den entsprechenden Aufzeichnungen, Weisungen, Urteilen etc., wenn die Zweckbindung, Erforderlichkeit und die gesetzlichen Aufbewahrungsfristen entfallen•der Bereich der Wiedereingliederung, hier im Besonderen 45 a SGB XI für alle Aufzeichnungen etc. mit dem Wegfall der Zweckbindung.
Grundsätzliches Einwilligung/Schweigepflicht
Voraussetzung für eine wirksame Einwilligung1)Die Datenübermittlung ist zur Erfüllung der Aufgabe erforderlich.2)Die Einwilligung wird als vorangegangene Zustimmung eingeholt3)Es erfolgt eine ausführliche, objektive Aufklärung der betroffenen Personen in einer verständlichen, klaren, einfachen Sprache über die Erforderlichkeit und den Zweck.4)Die Einwilligung bezeichnet in verständlicher Form die Art der Information, die Stelle/Person und denn Zweckder Datenübermittlung.5)Die Einwilligung bezieht sich auf den konkreten Einzelfall, daher keine pauschalen Einwilligung.6)Es wird klargestellt, ob beide Seiten wechselseitig von der --hier Schweigepflicht-- entbunden werden.7)Die betroffene Person trifft ihre freie Entscheidung (für/gegen die Einwilligung) nach dem Abwägen des Für und Wider bei einer sachlichen Beurteilung der in Betracht kommenden Aspekte.
Grundsätzliches Einwilligung/Schweigepflicht
Voraussetzung für eine wirksame Einwilligung8)Die Einwilligung erfolgt schriftlich (Ausnahmen möglich)9)Wir die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt (--hier Einwilligung und(oder Schweigepflichtentbindung), ist sie in ihrem äußeren Erscheinungsbild deutlich hervorzuheben, dies geschieht deutlich in der Kopfzeile des entsprechenden Dokumentes.10)Die Einwilligung ist durch die betroffene Person eigenständig durch Namenszug zu unterschreiben.11)Die Einwilligung verliert ihre Gültigkeit, wenn sie von der betroffenen Person widerrufen wird oder ihr Anlass wegfällt.12)Es erfolgt eine Belehrung über die jederzeitige Widerrufsmöglichkeit.13)Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein.Entsprechende Einwilligungen und Schweigepflichtentbindungen stehen den KollegInnen auf unserer Homepage zur Verfügung. Hierbei gibt es unterschiedliche passwortgeschützte Vorgabedokumente in den Dienstleistungsbereichen Hilfe zur Erziehung und der Schulsozialarbeit, die insbesondere bei der Hilfe zur Erziehung eine Unterteilung in Niedersachsen und der Stadtgemeinde Bremen haben. (--hier bei der Schweigepflichtentbindung--)
SolltenKollegInnen Schwierigkeiten bei der Verschlüsselung ihrer Daten durch z.B. der Nutzung von VeraCrypt haben, so bestehen noch andere Möglichkeiten. --bitte die Geschäftsführung kontaktieren--Der Kauf von verschlüsselten USB-Sticks bringen z.B. hierbei Abhilfe:Personenbezogene Daten (Berichte, Listen mit personenbezogenen Daten etc.) werden häufig im Homeoffice-Bereich auf USB-Sticks gespeichert, gehen solche USB-Sticks verloren, sind die dort abgespeicherten Daten nicht sicher bzw. für andere Personen dann einsehbar. Dementsprechend stellt sich heute beim produktiven Einsatz von USB-Sticks und anderen mobilen Devices nicht die Frage, wie man den Verlust verhindern kann, sondern wie man die gespeicherten Daten vor Fremdzugriff schützen kann, wenn der mobile Datenträger verloren wurde. Bei entsprechendem Schutzbedarf ist Datenverschlüsselung laut dem Bundesdatenschutzgesetz und der EU-Datenschutz Grundverordnung (DSGVO) Pflicht.Mit speziellen USB 3.0 Sticks können höchste Sicherheiten mit dem Einsatz im Homeoffice-Bereich vereint werden. Solche USB-Sticks können ohne zusätzliche Software sofort an Windows und MAC OS Systemen genutzt werden. 256-bit AES Hardwareverschlüsselung und ein starkes Passwort schützen 100% aller gespeicherten Daten auf diesen USB-Sticks. Sensible personenbezogene Daten müssen daher von “ungeschützten” PC´s im Homeoffice-Bereich auf solche USB-Sticks abgespeichert werden.
E-Mail-Signaturen / Versendung
Obwohl der Hinweis in der Fußzeile / Signatur einer Nachricht, dass diese vertraulich und bei Fehlversendung zu löschen sei, bei der richtigen E-Mail Kommunikation nicht im Sinne der DS-GVO ist, möchten wir trotzdem darum bitten, folgenden Passus in die Signaturen eurer E-Mail zu schreiben. “ Diese Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Anhänge, die dieser Mail beigefügt wurden, dürfen dabei nicht geöffnet werden.Das unerlaubte Kopieren, Abspeichern und Verschicken fremder E-Mailanlagen sowie die unbefugte Weitergabe des Inhaltes dieser E-Mail ist nicht gestattet.”Verändert umgehend daher eure E-Mailsignaturen ….. Weiter Infos zur E-MailversendungWenn du eine E-Mail verschicken möchtest und die E-Mail-Adressen der Empfänger in das An-Feld schreibst, sind die E-Mail-Adressen aller Empfänger für alle Beteiligten sichtbar, dies nicht empfehlenswert.Stattdessen bietet es sich oftmals an, eine so genannte Blindkopie zu versenden.Wenn du die E-Mail an alle Adressaten als Blindkopie verschickt hast, können die Empfänger dieser Blindkopie nicht herausfinden, an wen die E-Mail versendet wurde. Alle E-Mail-Adressen, die du ins Bcc-Feld eingetragen hast, können von den Empfängern nicht eingesehen werden, dies macht Sinn, wenn E-Mails außerhalb unseres kollegialen Austausches auch an andere Personen verschickt werden sollen. Um eine E-Mail als Blindkopie zu verschicken, schreibe die E-Mail-Adressen der Empfänger nicht in das An- oder Cc-Feld, sondern in das Bcc-Feld.Das Bcc-Feld liegt bei outlock unter dem Cc-Feld.Bcc ist übrigens eine Abkürzung des englischen Wortes Blind Carbon Copy und heißt auf Deutsch Blindkopie.Generell kannst du die Empfänger einer E-Mail in die drei Felder An, Cc und Bcc eintragen.
Nutzung Messengerdienst Hoccer
Für den berufliche Kommunikationsaustausch von KollegIn zu KlientInnen oder im beruflichen Kontext des Trägers SoFa e.V. kann der Messengerdienst Hoccer verwendet werden. Wenn der Kontakt von einem SoFa-MitarbeiterIn zum KlientIn mittels generiertem Code per SMS, E-Mail und/oder QR-Code hergestellt wird, besteht der Kontakt nur zwischen den Empfänger und Adressaten und kann nicht von anderen eingesehen werden. (ENDE zu ENDE Verschlüsselung)Unbedingt vor Nutzung mit Klienten absprechenEine Einwilligung z.B. der KlientInnen erfolgt über die Annahme des zugesandten Codes des Admin, die Kommunikation untereinander wird hergestellt. Vorab wird dies in der Ausübung der entsprechenden Dienstleistungsbereich mit dem KlientInnen vom ausübenden KollegInnen besprochen. Grundsätzlich werden nur Termine abgesprochen; inhaltliche Bereiche, wie z. B. sensible personenbezogene Daten, Krankheiten, inhaltliche Beschreibung und sensible inhaltsbezogene Sachlagen aus einem HzE Fall sollen nicht über den Messengerdienst übermittelt werden. Nach Beendigung eines Falles oder bei einem Wechsel (Fallübernahme durch KollegIn) werden die Kontaktdaten gelöscht. Ein MitarbeiterInnen von SoFa e.V., der/die beruflich innerhalb des Dienstleistungsbereiches wechselt bzw. auch ausscheidet, muss aus dem internen Gruppenchat sofort von Admin gelöscht werden. Admin ist der- oder diejenige, der/die die Gruppe erstellt hat. Sollte der Admin ausscheiden, dann löscht er/sie sich selbst und ein anderer Admin übernimmt die Aufgabe (Admin-Wechsel).Umgang mit UserdatenWenn Hoccer genutzt wird, werden verschiedene Daten untereinander übermittelt. Alle Daten, die Hoccer dabei einsehen könnte. Die IP-Adresse des mit Hoccer verbundenen Gerätes (ausschließlich bei Nutzung des Services) oder die IP-Adresse des Routers, im Falle der Nutzung eines NAT Netzwerks. Dies ist in der Regel der Fall, wenn das Endgerät mit einem WLAN Netz verbunden ist. Die IP-Adresse deines Kommunikationspartners, wenn dieser online ist. Eine zufallsgenerierte Nummer, die eine Client-ID darstellt usw. Die Dienst Hoccer hat seinen Hauptsitz und seine Server in Deutschland. Datenschutzbestimmung Hoccer. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Nutzung Messengerdienst Signal
Für den berufliche Kommunikationsaustausch von KollegIn zu KlientInnen oder im beruflichen Kontext des Trägers SoFa e.V. kann der Messengerdienst Signal verwendet werden. Der Kontakt von einem SoFa-MitarbeiterIn zum KlientIn wird über die Handynummer / Telefonnummer hergestellt. Der Kontakt zwischen den Empfänger und Adressaten kann nicht von anderen eingesehen werden. (ENDE zu ENDE Verschlüsselung)Unbedingt vor Nutzung mit Klienten absprechenEine Einwilligung z.B. der KlientInnen erfolgt über die zwanglose Annahme im Austausch des Kommunikationsweges. Vorab wird dies in der Ausübung der entsprechenden Dienstleistungsbereich mit dem KlientInnen vom ausübenden KollegInnen besprochen. Grundsätzlich werden nur Termine abgesprochen; inhaltliche Bereiche, wie z. B. sensible personenbezogene Daten, Krankheiten, inhaltliche Beschreibung und sensible inhaltsbezogene Sachlagen aus einem HzE Fall sollen nicht über den Messengerdienst übermittelt werden. Nach Beendigung eines Falles oder bei einem Wechsel (Fallübernahme durch KollegIn) werden die Kontaktdaten gelöscht. Ein MitarbeiterInnen von SoFa e.V., der/die beruflich innerhalb des Dienstleistungsbereiches wechselt bzw. auch ausscheidet, muss aus dem internen Gruppenchat gelöscht werden. Umgang mit UserdatenWenn Signal genutzt wird, werden verschiedene Daten untereinander übermittelt. Alle Daten, die Signal dabei einsehen könnte. Die IP-Adresse des mit Signal verbundenen Gerätes (ausschließlich bei Nutzung des Services) oder die IP-Adresse des Routers, im Falle der Nutzung eines NAT Netzwerks. Dies ist in der Regel der Fall, wenn das Endgerät mit einem WLAN Netz verbunden ist. Die IP-Adresse deines Kommunikationspartners, wenn dieser online ist. . Die Dienst Signal hat seinen Hauptsitz und seine Server in den USA, untersteht jedoch dem EU-Datenschutzbestimmungen (EU-US-privacy shield). Datenschutzbestimmung bzw hier die terms & privacy Policy Signal. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Übersicht Cookies
Über den Anbieter cookieplot scannen wir 1x im Monat unsere Homepage und erhalten einen ausführlichen Bericht aller Cookies.Cookies sind kleine Textdateien, die von Webseiten verwendet werden, um die Benutzererfahrung effizienter zu gestalten. Laut Gesetz können wir Cookies auf Ihrem Gerät speichern, wenn diese für den Betrieb dieser Seite unbedingt notwendig sind. Für alle anderen Cookie-Typen benötigen wir Ihre Erlaubnis. Diese Seite verwendet unterschiedliche Cookie-Typen. Einige Cookies werden von Drittparteien platziert, die auf unseren Seiten erscheinen. Es gibt folgende Cookietypen:Präferenz-Cookies ermöglichen einer Webseite sich an Informationen zu erinnern, die die Art beeinflussen, wie sich eine Webseite verhält oder aussieht, wie z. B. Ihre bevorzugte Sprache oder die Region in der Sie sich befinden.Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden. Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende Drittparteien sind. Nicht klassifizierte Cookies sind Cookies, die wir gerade versuchen zu klassifizieren, zusammen mit Anbietern von individuellen Cookies. Hier der Scanbericht unserer Homepage vom November 2019 --bitte anklicken--
Dienste von Dritten google-Dienst
Unsere Homepage SoFa e.V. nutzt google-analytics.Google-analytics ist erlaubt, wenn nach der DSVGO folgende Voraussetzungen erfüllt sind, die wir als Träger zum 25.05.2018 umgesetzt haben:•Abschließen eines A(D)V-Vertrag mit google o(entsprechender Vertrag ist zum Sitz nach Irland von uns verschickt worden•IP-Anonymisierung aktiviert (nicht umfassend beschrieben)oUnser ID-Trackingcode unserer Homepage wurde abgerufen und oein bereitgestellter HTML-Quellcode mit Javascript VOR unserem google-analytics Tracking Code platziert.•In unseren Datenschutzbestimmungen können Sie der Datenerfassung widersprechen (wurde farblich hervorgehoben)•Setzen eines Opt-out•Mehr Informationen von google unter diesem LinkUnsere anderen mit der Haupthomepage von SoFa e.V. verknüpften Internetseiten über den Anbieter Jimdo sofafreizeitseite, sofaabewerbung und Jugendtreff Buntentor nutzen auch google-analytics, entsprechend deren Datenschutzbestimmungen können sie die Erfassung von Nutzerdaten widersprechen.Für Analysen unsere Homepage werden folgende Daten ( Browsertyp und Browserversion, verwendetes Betriebssystem, Referrer URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage und die IP-Adresse.) erhoben, wenn die Erfassung von den Nutzern unsere Webseite nicht widersprochen wird, diese Daten bleiben maximal 14 Monate gespeichert, danach werden diese automatisch gelöscht.
Dienste von Dritten JotForm, Beschwerde
Für unseres Beschwerdemanagement und Feedback nutzen wir den Anbieter JotForm. Wir haben mit JotForm einen Datenverarbeitungs-Addendums (DPAs) abgeschlossen. Die Datenschutzvereinbarungen von JotForm bieten Vertragsbedingungen an, die den DSGVO-Anforderungen erfüllen.Auszug JotForm:Wir als JotForm respektieren Ihre Daten und Ihre Privatsphäre sehr. Als der europäische Gerichtshof das EU-US Safe harbor agreement für ungültig erklärt hat, haben wir mit unseren EU Safe Forms geantwortet. EU Safe Forms bietet Ihren Daten eine sichere Lokation auf unseren exklusiv für diesen Zweck bereitgestellten Servern in Deutschland.Beschwerde:Über das Kontaktformular „Beschwerde“ nehmen Sie Kontakt zum Qualitätsbeauftragten (QB) von SoFa e.V., Holger Nanz auf. Ihre Versendung Ihrer Beschwerde wird bei Eingang über seine Mailadresse umgehend durch den QB beantwortet (Direkter Beschwerdevorgang). Sie erhalten einen Auszug Ihrer Eingaben. Die Mail und der Eingang im System des Anbieters JotForm werden umgehend gelöscht. Der Auszug der Beschwerde wird intern bei uns als Vorgang passwortgeschützt gespeichert (Beendigung der Beschwerde im indirekten Beschwerdevorgang) und über einen Maßnahmeplan in unserem Qualitätsmanagementsystem gesteuert und bearbeitet. Sie können jederzeit Einblick (Kopie des schriftlichen Einganges) über die relevante Eingangsbearbeitung erhalten, wenn es einem zwingenden Grund dafür gibt und durch Sie eingefordert wird. Zudem können Sie Ihre Beschwerde im internen Bearbeitungssystem durch Holger Nanz als Qualitätsbeauftragten löschen lassen. Eine Zusammenfassung aller Eingänge ist ohne Angaben personenbezogener Daten über das Infografikportal infogr.am aufgeführt, grafisch aufbereitet und nur über ein Passwort für den QB einsehbar. Der Vorgang “Beschwerde” ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten JotForm, Feedback
Für unseres Beschwerdemanagement und Feedback nutzen wir den Anbieter JotForm. Wir haben mit JotForm einen Datenverarbeitungs-Addendums (DPAs) abgeschlossen. Die Datenschutzvereinbarungen von JotForm bieten Vertragsbedingungen an, die den DS-GVO-Anforderungen erfüllen.Auszug JotForm:Wir als JotForm respektieren Ihre Daten und Ihre Privatsphäre sehr. Als der europäische Gerichtshof das EU-US Safe Harbor agreement für ungültig erklärt hat, haben wir mit unseren EU Safe Forms geantwortet. EU Safe Forms bietet Ihren Daten eine sichere Lokation auf unseren exklusiv für diesen Zweck bereitgestellten Servern in Deutschland.Feedback:Über das erweiterte Kontaktformular „Feedback“ nehmen Sie Kontakt zum Qualitätsbeauftragten von SoFa e.V., Holger Nanz auf. Ihre Versendung wird nach Eingang über meine Mailadresse umgehend durch mich beantwortet. Sie erhalten einen Auszug Ihrer Eingaben. Die Mail und der Eingang im System des Anbieters JotForm werden umgehend gelöscht. Ihr Eingang wird in unser internes System passwortgeschützt abgespeichert , als Vorgang bearbeitet und über einen Maßnahmeplan in unserem Qualitätsmanagementsystem gesteuert. Sie können jederzeit Einblick (Kopie des schriftlichen Einganges) über die relevante Eingangsbearbeitung erhalten, wenn es zwingende Gründe dafür gibt und Sie es einfordern. Zudem können Sie Ihr Feedback im System durch Holger Nanz als Qualitätsbeauftragten löschen lassen. Eine Zusammenfassung aller Eingänge ist ohne Angaben personenbezogener Daten über das Infografikportal infogr.amaufgeführt, grafisch aufbereitet und nur über ein Passwort für den QB einsehbar. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten, Infogram
Über den Dienst von infogr.am werden alle statistischen Daten ohne direktem Personenbezug aller Einrichtungen eingepflegt. Es werden Daten erhoben, die auch von den statistischen Landesämtern eingefordert werden. Unsere Eingaben werden durch zwei passwortgeschützte interne Dokumente erhoben. Diese Daten dienen dazu, unsere interne Audits durchzuführen. Diese intern anonymisierte Statistiken, die durch den QB ausgewertet werden, dienen uns für die für die hier beschriebenen Zwecke i.S.d. Art. 6 Abs 1. lit.f DS-GVO. Jede Einrichtung hat einen individuellen passwortgeschützen Zugang zu diesen allgemeinen Daten.Diese Daten sind u.a. Besucherzahlen allgemein, die unterteilt werden in verschiedene Alterssegmente (unter 10 Jahre etc.) und den vier sogenannte „Produktgruppen“ wie z.B. die Offene Tür zugeordnet sind. Das Einpflegen der gesammelter Datensätze findet 1x im Jahr durch den QB statt; die Zusammenfassung aller Einrichtungen sind über unsere Homepage https://infogram.com/regionaler-vergleich-2015-und-2016-1g4qpzly7kwo21yfür alle Nutzer unserer Homepage einsehbar. Lediglich beim Besuch werden Daten gespeichert, nämlich:•Gesamtansicht pro Tag und Monat•Geographischer Standort Deutschland und andere•Empfehlungen www.sofa-ev.de, sofa-ev.de und andere•und sind nicht mit google-analytivs verknüpft. Alle oben aufgeführt Daten werden grafisch aufbereitet und sind nur über ein Passwort für den QB einsehbar. Manche Grafiken können aus dem System heraus als jpeg oder png durch den QB isoliert werden. Diese Grafiken dienen für die Jahresberichte der Einrichtungen. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten surveymonkey
Über den Dienst von surveymonkey werden Daten, die in Abfragen aufgrund einer Freiwilligkeit gesammelt werden, erhoben und gesammelt.Wir machen als Träger solche Abfragen, da diese von den Kostenträgern zunehmend eingefordert werden. Solche Daten können als Datenreport zusammengefasst und Vertretern der Kostenträgern präsentiert werden. Abfragen sind:•Freiwillige Bewertung von Inhouseseminaren durch die KollegInnen ) über Kollektor „berufliche Emailadresse der TeilnehmerInnen“•Bewertungen von externen Seminaren über Kollektor „berufliche Emailadresse der TeilnehmerInnen“•interne freiwillige Personalabfragen (nach vorherigem dezidiertem schriftlichen Bezug durch den QB) über Kollektor „berufliche Emailadresse der TeilnehmerInnen“•Freiwillige Abfrage der BesucherInnen der Jugendhäuser (ohne Nennung der Namen etc. durch einen erstellten Feedbackbogen mit dem Kollektor QR-Code.Alle Abfragen werden durch den QB vom Träger SoFa e.V. geschlossen und können zusammengefasst ohne Namen statistisch und grafisch aus dem System durch besondere Eingangsdaten (durch den QB) abgerufen werden.Die Nutzungsbestimmungen sind die Datenschutzrichtlinien von survemonkey sind im Januar 2019 angepasst worden.UPDATE:Zudem sind die Sicherheitsrichtlinen bei dem Dienst surveymonkey seit Anfang April 2019 wesentlich verbessert worden. Für unsere Abfragen bedeutet das eine ergänzende Schutzabfrage. Surveymonkey erkennt vorab, wenn ein anderer nicht registrierter Computer (wir haben 2 PC autorisiert) den Login-Zugang mittels Passwort als Nutzer dieses Dienst anfordert, Dieser Zugriff erfordert vorab die Eingabe eines zusätzlichen Sicherheitscodes, der einer von uns hinterlegten Emailadresse zugesendet wird. Dieser muss nun eingegeben werden, um überhaupt im Anmeldesystem weiter zu kommen.
Dienste von Dritten Prezi
Über den Dienst von Prezi sind Präsentationen durch den Träger SoFa e.V. erstellt worden, die einerseits passwortgeschützt den KollgInnen zur Verfügung gestellt werden und andererseits das Organigramm von SoFa e.V.So sehen die erfassten Daten aus (interne Inhousseminaren)Das sind die Nutzungsbestimmungen von Prezi.
Dienste von Dritten Dropbox
Über den Dienst von Dropbox sind unsere auf der Homepage zum Download bereitgestellten Dokumente, Flyer und weitere Unterlagen wie z.B. Broschüren sicher über eine https-Verbindung untergebracht und abrufbar. Dieser Schritt wurde notwendig, da unsere verknüpften und passwortgeschützten Dokumente mit einer fremden Werbung unterlegt worden sind, soll heißen, beim Abruf eines Dokumentes wurde ein anderes Fenster mit fremden Werbung vorgeschaltet.Mit Dropbox können unsere internen Dokumente nun besser gelenkt und besser mit Zugriffsrechten versehen werden.Alle Dokumente als passwortgeschützte PDF enthalten keine mit personenbezogene Daten beschriebene Felder, unsere Dokumente werden durch die entsprechenden KollegInnen heruntergeladen und mit einem PDF-Programm geöffnet. Hierbei muss erneut ein Passwort (265-bit Verschlüsselung) eingegeben werden.Das sind die Datenschutzbestimmungen von Dropbox
Datenschutz / Schutzauftrag bei Kindeswohlgefährdung
Grundsätzlich bei Fragen von gewichtigen Anhaltspunkten im Rahmen des Schutzauftrages oder welche bestimmten Risikoschwellen als Eingangsvoraussetzungen für das 8a (intern/extern) Verfahren durch insofern erfahrene Fachkräfte erfüllt sein müssen, sind zu diesen fachlichen Fragen auch Fragen des Datenschutzes, die mit geltendem Recht zu lösen sind, zu klären. Soweit dem Träger bzw. den von Ihnen beschäftigten Fachkräften zur Sicherstellung dieses Schutzauftrags Informationen bekannt werden oder ermittelt werden müssen und die Weitergabe dieser Informationen zur Sicherstellung des Schutzauftrages erforderlich ist, besteht keine die Wahrnehmung dieser Aufgabe einschränkenden datenschutzrechtlichen Vorbehalte. Insofern gilt der Grundsatz, dass Sozialdaten zu dem Zweck übermittelt oder genutzt werden dürfen, zu dem sie erhoben worden sind. Danach ist die Weitergabe anvertrauter Daten an die Fachkräfte, die zum Zweck der Abschätzung des Gefährdungsrisikos nach § 8a SBG VIII hinzugezogen werden zulässig.Handelt es sich hierbei allerdings um hinzugezogene externe Fachkräfte, müssen die Daten vor Weitergabe / Übermittlung an die Fachkräfte anonymisiert oder pseudonymisiert werden.Grundsätzlich gilt der Grundsatz, dass die Informationsweitergabe an das Jugendamt immer im Wissen (d.h. nicht immer mit Einverständnis) der Betroffenen erfolgt.AUSNAHME: Dies gilt nicht, soweit der wirksame Schutz des Kindes oder Jugendlichen gem. § 8a SGB VIII dadurch in Frage gestellt würde. Hinweis auf § 4 KKG (3) Scheidet eine Abwendung der Gefährdung nach Absatz 1 aus oder ist ein Vorgehen nach Absatz 1 erfolglos und halten die in Absatz 1 genannten Personen ein Tätigwerden des Jugendamtes für erforderlich, um eine Gefährdung des Wohls eines Kindes oder eines Jugendlichen abzuwenden, so sind sie befugt, das Jugendamt zu informieren; hierauf sind die Betroffenen vorab hinzuweisen, es sei denn, dass damit der wirksame Schutz des Kindes oder des Jugendlichen in Frage gestellt wird. Zu diesem Zweck sind die Personen nach Satz 1 befugt, dem Jugendamt die erforderlichen Daten mitzuteilen
Weitere Infos Schutzauftrag bei Kindeswohlgefährdung
Soweit dem Träger bzw. den von ihm beschäftigten Fachkräften zur Sicherstellung dieses Schutzauftrags Informationen bekannt werden oder von ihm ermittelt werden müssen und die Weitergabe dieser Informationen zur Sicherstellung des Schutzauftrags erforderlich ist, bestehen keine die Wahrnehmung dieser Aufgabe einschränkenden datenschutzrechtlichen Vorbehalte. Insofern gilt der Grundsatz, dass Sozialdaten zu dem Zweck übermittelt oder genutzt werden dürfen, zu dem sie erhoben worden sind (§ 64 Abs. 1 SGB VIII, § 69 Abs. 1 Nr. 1 und 2 SGB X). Bei anvertrauten Daten sind die Regelungen des § 65 Abs. 1 Nr. 4 SGB VIII zu beachten. Die für eine 2 Gefährdungseinschätzung notwendigen Informationen sind gemäß § 64 Absatz 2a SGB VIII ausschließlich in pseudonymisierter Form an die insoweit erfahrene Fachkraft zu übermitteln. Der Träger der Einrichtung hat den Schutz der Sozialdaten des Kindes und seiner Personensorge- bzw. Erziehungsberechtigten in der den §§ 61 bis 65 SGB VIII entsprechenden Weise zu gewährleisten.
GeheimnisträgerIn erster Linie sind hier die sog. Geheimnisträger i.S.d. § 203 StGB zu nennen, die sich, aufgrund Ihrer Stellung und des daraus begründeten Vertrauensverhältnisses, besondere Verschwiegenheitsverpflichtungen ausgesetzt sehen. Sowohl das SGB VIII aber auch diverse Spezialgesetze, wie z.B.: das Gesetz zur Kooperation im Kinderschutz (KKG) enthalten explizite Regelungen, wann und in welchem Umfang Kindeswohlgefährdungen von Geheimnisträgern an das zuständige Jugendamt gemeldet werden dürfen. Diese gelten als sog. gesetzliche Erlaubnistatbestände, die zum einen eine datenschutzrechtliche Erlaubnisnorm bilden und zum anderen eine strafrechtlich relevante Handlung i.S.d. § 203 StGB ausschließen. Eine solche Spezialnorm für Geheimnisträger findet sich in § 4 Abs. 3 KKG.Danach sind Geheimnisträger•Ärzte,•Angehörige anderer Heilberufe,•Berufspsychologinnen oder -psychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung,•Ehe-, Familien-, Erziehungs- oder Jugendberaterinnen oder -beratern sowie•Beraterinnen oder Beratern für Suchtfragen in einer Beratungsstelle, Mitgliedern oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,•staatlich anerkannten Sozialarbeiterinnen oder -arbeitern oder staatlich anerkannten Sozialpädagoginnen oder -pädagogen oder•Lehrerinnen oder Lehrernverpflichtet, soweit ihnen im Rahmen ihrer beruflichen Tätigkeit gewichtige Anhaltspunkte für die Gefährdung des Wohls eines Kindes oder eines Jugendlichen bekannt werden, zunächst mit dem Kind oder Jugendlichen und den Personensorgeberechtigten die Situation zu erörtern und, soweit erforderlich, bei den Personensorgeberechtigten auf die Inanspruchnahme von Hilfen hinzuwirken (soweit hierdurch der wirksame Schutz des Kindes oder des Jugendlichen nicht in Frage gestellt wird, § 4 Abs. 1 KKG).
Geheimnisträger i.S.d. § 203 StGB / § 4 Abs.1 KKG
Bei der Beurteilung des Vorliegens einer Kindeswohlgefährdung haben die Geheimnisträger einen Anspruch auf Beratung durch den Träger der öffentlichen Jugendhilfe (Jugendamt), § 4 Abs. 2 KKG.Voraussetzung für eine Einschaltung des Jugendamtes ist also:•Bestehende Anhaltspunkte für eine Gefährdung des Kindeswohls•Feststellung einer Kindeswohlgefährdung ggf. mit Hilfe von Beratung durch das Jugendamt (pseudonymisierte Falldarstellung)•Erörterung der Situation mit den Sorgeberechtigten (soweit nicht kontraproduktiv)•Versuch der Gefährdungsabwendung in Interaktion mit den Betroffenen•Scheitern/Erfolglosigkeit vorrangiger Maßnahmen•Interessenabwägung•Vorherige Information der Erziehungsberechtigten (nicht Einwilligung!)Die konkrete Handlungsmöglichkeit steht jedoch stets im Ermessen des Geheimnisträgers.