Technische Bedienung
Wir haben Ihnen / euch eine umfassende Präsentation zur Verfügung gestellt, die Sie / ihr eingesehen könnt.
Bedienung für Tablets / Smartphones
Mit den Wischgesten links und rechts wird umgeblättert und / oder eine kleine Präsentation mit den
Zwischenschritten gestartet. Links unten ist ein Bedienungstool eingebettet (bitte klicken), mit dem Sie / ihr auf
einzelnen Seiten springen könnt (Dropdownmenue)
PC:
Hier bitte die Pfeiltasten der Tastatur nutzen.
Links unten ist auch hier ein Bedienungstool eingebettet (bitte klicken), mit dem Sie / ihr auf einzelnen Seiten
springen könnt (Dropdownmenue)
Mit dem Button (Zurück zur Homepage) können Sie /ihr jederzeit von jeder Seite dieser Präsentation auf unsere
Homepage zurück gelangen.
Datenschutz bei SoFa e.V.
Was macht der Datenschutzbeauftragter bei SoFa e.V. ?
Unsere Aufgabe besteht darin, unsere KollegInnen in Fragen des Datenschutzes zu unterstützen. Das heißt auch, dass
die neuen Anforderungen durch die DS-GVO in unsere Systeme eingebracht sind/werden und Fragen daraus im Sinne
des Datenschutzes mit den verantwortlichen / entsprechenden Funktionsträgern (z.B. Geschäftsführung oder der
pädagogischen Leitung ) gelöst werden. Kurz: Fachkundig werden Fragen des Datenschutzes aufgegriffen und in
Übereinstimmung und nach Absprache mit den Verantwortlichen beim Träger SoFa e.V. mit geltendem Recht gelöst.
Zudem stehen wir auch Ihnen bei Fragen des Datenschutzes und wie wir als Träger mit Daten umgehen mit unseren
Ansprechpersonen zur Verfügung.
Im Rahmen unserer Tätigkeiten als sozialer Dienstleister arbeiten wir mit Menschen zusammen, die in schwierigen
Lebenssituationen Hilfe und Unterstützung bedürfen. Das heißt auch, dass wir z.B. von Jugendämtern beauftragt
werden, Ihre beantragten Leistungen (z.B. Familienhilfe) für den Kostenträger (Jugendamt) durchzuführen.
Wir arbeiten also auch mit Ihren personenbezogenen Daten, da wir z.B. ihren Unterstützungsbedarf kennen müssen,
auf wen z.B. sich der Hilfebedarf bezieht, müssen Berichte schreiben und mit dem Kostenträger (z.B. Landkreisen in
Niedersachsen, Stadtgemeinde Bremen) unsere Leistungen abrechnen.
Dies geht natürlich nur dann, wenn auch personenbezogene Daten ausgetauscht werden.
All das geschieht nur mit Ihnen und Ihrer Einverständnis, daher besprechen wir alles mit Ihnen, wenn wir einen
Auftrag vom Kostenträger erhalten haben. Damit unsere Arbeit entsprechend besser funktioniert, haben wir einige
passwortgesicherte Dokumente auf unserer Homepage zur besseren Dokumentenlenkung bereitgestellt , mit denen
wir arbeiten müssen. Aber das kommt noch an anderer Stelle!
Zudem arbeiten wir in vielen Bereichen, die haben wir extra für Sie in dieser Präsentation aufgeführt, um Ihnen
einen Überblick zu geben, wie wir anhand von Beispielen mit personenbezogenen Daten umgehen.
Datenschutzbeauftragte/r bei SoFa e.V.
Mein Name ist Holger Nanz und bin für den Bereich Qualitätsmanagement, Projekt-
und Konzeptentwicklung und als Datenschutzbeauftragter (DSB) beim Träger SoFa
e.V. tätig. Die Stelle DSB ist organisatorisch beim Träger SoFa e.V. als Stabstelle der
Geschäftsführung (GF) angedockt und stehen in Fragen der Umsetzung des
Datenschutzes der GF/dem Träger beratend und unterstützend zur Seite.
Wir sind/werden bei den entsprechenden Aufsichtsbehörden im Land Nieder-
sachsen und der Stadtgemeinde nach Bereitstellung des Online-Formulars ge-
meldet, bei denen Sie sich, falls nach Ihrer Ansicht nicht pflegsam mit Ihren Daten
umgegangen und eine eingehende Beschwerde von unserer Seite nicht mit Ihren
Auffassungen des Datenschutzes bearbeitet wurde, beschweren können. Einen
Link zu den entsprechenden Ansprechpersonen der Aufsichtsbehörden finden Sie
in unserer Datenschutzerklärung.
Sollten Sie irgendwelche Fragen an uns haben, dann können Sie sich an uns
wenden. Für Beschwerden, Feedbacks oder Fragen zu Widerrufen oder
Löschungen von Daten kontaktieren Sie uns einfach. Für Beschwerden oder
Feedbacks stehen Ihnen besondere Dienste bereit, die sie nutzen können. Auch auf
diese Dienste und dem Umgang mit Daten bei Eingängen werden wir in dieser
kleinen Präsentation eingehen.
Datenschutzbeauftragte/r bei SoFa e.V.
Mein Name ist Kevin Poolke und bin zusätzlich als weiterer Datenschutzbe-
auftragter beim Träger SoFa e.V. tätig. In meiner vorherigen Tätigkeit als
Bürokaufmann sind mir solche Arbeitsprozesse nicht fremd.
Da die Aufgaben des Datenschutzes sehr vielfältig sind, bestehen wir aus einem
Team von zwei Kollegen, die sich gegenseitig unterstützen und vertreten.
Um selbst in seiner Ausübung der Funktionsstelle „Datenschutzbeauftragter“ nicht
einen Rollenkonflikt zu geraten, dies könnte sich z.B. beim Qualitätsbeauftragten
im Hinblick zum weiteren Aufgabengebiet der Funktionsstelle „Datenschutzbeauf-
tragter“ ergeben, haben Sie die Möglichkeit zwischen uns als Ansprechpersonen zu
wählen. Einen doppelten Blick auf die “neuen” Herausforderungen des DS-GVO zu
haben, ist dabei enorm hilfreich.
Da wir bei uns beim Träger mehr als 10 Personen haben, die in ihrer Arbeit mit
sensiblen Personaldaten zu tun haben, ergibt sich rechtlich aus § 38 Abs.1
Bundesdatenschutzgesetz (BDSG) und Art. 37 Abs. 7 DS-GVO unsere
Verpflichtung, einen Datenschutzbeauftragter (DSB), in unserem speziellen Fall
zwei Kollegen zu benennen. Mit Inkrafttreten des DS-GVO mit seinen umfassenden
Bestimmungen und unseren täglichen Herausforderungen in den Arbeitsfeldern
der Sozialen Arbeit ist davon auszugehen, dass es in der Folgezeit zu weiteren
organisatorischen und administrativen Anpassungen kommen wird, die an dieser
Stelle beschrieben werden.
Aber was bedeutet die DS-GVO?
Die Datenschutzgrundverordnung regelt nach einer zweijährigen Vorlaufzeit ab dem 25.05.2018 den Umgang von
Unternehmen oder aber auch von Vereinen mit personenbezogenen Daten einheitlich in ganz Europa und löst die
bestehenden nationalen Gesetze in den geregelten Bereichen ab.
Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten ab den 25.052018 nicht
mehr bzw. werden/sind zeitgleich neu gefasst. Es gibt wesentliche Änderungen gegenüber des BDSG´s, die sich auf
organisatorischer, prozessualer und technischer Ebene auswirken
Damit sollen u.a. auch die Personen- und Verbraucherrechte gestärkt werden, dies bedeutet aber auch zukünftig
eine erhebliche hohe Anforderung an die Dokumentation und der Nachweispflicht auch für uns als gemeinnützigen
Verein, in denen wir die geeigneten und technisch ausreichenden Maßnahmen zur Sicherstellung des Datenschutzes
erbringen.
Um diese neuen Anforderungen zu genügen, haben wir viele Maßnahmen ergriffen, die über verschiedene Verträge
zur Auftragsverarbeitung mit Externen (Google, JotForm, 1und1) zu besonders passwortgeschützte interne
Dokumente bis hin zu einem Nachweis von Verarbeitungstätigkeiten reichen. Die Ernennung von unseren
Datenschutzbeauftragten unterstreicht unseren sensiblen Umgang mit eben diesen neuen Anforderungen.
Wir sind aber noch nicht am Ende, da wir gemeinsam mit einem externen Dienstleister an einer Möglichkeit arbeiten,
um Daten und den Emailverkehr noch besser schützen zu können als bisher. Die technischen Möglichkeiten im
Umgang mit den DS-GVO werden dabei erheblich professionalisiert.
Die Grundprinzipien des Datenschutzes
Aber was sind personenbezogene Daten?
DS-GVO: Personenbezogene Daten sind hiernach Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke
ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale
Identität (Artikel 4 Ziffer 1 DSGVO).
Personenbezogene Daten sind also neben den identifizierenden Angaben einer Person wie Name und Anschrift auch
sämtliche Informationen, die etwas über die persönlichen oder sachlichen Verhältnisse eines Betroffenen aussagen,
beispielsweise Kontodaten, Funktion im Verein etc.
•
Nach europäischem Recht und Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten all jene
Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so
Rückschlüsse auf deren Persönlichkeit erlauben.
•
Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft,
politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und
Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.
•
Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten
von personenbezogenen Daten ist mithin nur unter Zustimmung des Betroffenen zulässig
.
Aber was sind sensible personenbezogene Daten?
Sensible Daten
Besonders schutzbedürftige Kategorien von Daten, Art. 9 Abs. 1 DS-GVO sind„(...) personenbezogene[r]
Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen
Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder
Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person...“
Unter Datenverarbeitung ist jeder Umgang mit personenbezogenen Daten wie z.B. das Erheben, die Speicherung,
das Abfragen, die Verwendung, die Offenlegung durch Übermittlung sowie das Löschen gemeint (Art. 4 Abs. 2 DS-
GVO). SoFa e.V. verarbeitet regelmäßig personenbezogene Daten, die im Rahmen der Erfüllung des sozialrechtlichen
Dreiecksverhältnisses entstehen
.
Verarbeitung personenbezogener Daten
Jede Datenverarbeitung bedarf entweder der Einwilligung der betroffenen Person oder einer sonstigen gesetzlichen
Ermächtigungsgrundlage (Rechtmäßigkeit der Datenverarbeitung, Art. 6 DS-GVO).
Die im unmittelbaren Zusammenhang mit unserer Tätigkeit z.B. im Rahmen von Hilfen zur Erziehung beim Träger
SoFa e.V. stehende Verarbeitung personenbezogener Daten wird regelmäßig auch ohne die ausdrückliche
Einwilligungserklärung der Betroffenen auf Grundlage z.B. des Art. 6 Abs. 1, Buchstabe e DS-GVO erfüllt.
Zulässig ist beispielsweise die Verarbeitung von Vor- und Zuname, Name des Kindes, Anschrift, Aktenzeichen,
Kostenzusicherung etc., dies ergibt sich auch aus dem sozialrechtlichen Dreiecksverhältnis.
Erfolgt die Datenverarbeitung außerhalb des sozialrechtlichen Verhältnisses, ist zu prüfen, ob die Verarbeitung zur
Erfüllung einer rechtlichen Verpflichtung, der der Verein unterliegt, erforderlich ist (Art. 6 Abs. 1 Buchst. c DS-GVO,
beispielsweise Aufbewahrungsfristen nach Handels- und Steuerrecht).
Die Verarbeitung kann gegebenenfalls auch im berechtigten Interesse des Vereins oder eines Dritten nach Art. 6
Abs. 1 Buchst. f DS-GVO erforderlich sein. In diesem Zusammenhang sind die Interessen des Vereins gegen die
schutzwürdigen Interessen der Betroffenen abzuwägen, wobei insbesondere auf die vernünftigen Erwartungen der
betroffenen Personen abzustellen ist.
…die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern
nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener
Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt…
.
Verarbeitung von Klientendaten
Auch hier gelten zunächst die allgemeinen Grundsätze der DS-GVO und des BDSG. Sind diese Daten z. B.
für die finanztechnische Abwicklung mit den Kostenträgern oder z.B. die Abwicklung der angebotenen
Dienstleistungen erforderlich, handelt es sich meist um eine erlaubte Verarbeitung etwa im Rahmen der
Erfüllung oder Anbahnung eines Vertrags, Erfüllung einer rechtlichen Verpflichtung, die keiner besonderen
Einwilligung der betroffenen Personen bedarf. Dazu können auch Informationen über die konkreten
Situationen und Probleme der Betroffenen gehören, wenn das für die zielgerichtete Erfüllung der Aufgaben
des Vereins erforderlich ist.
Hierüber gibt das folgende sozialrechtliche Dreiecksverhältnis Klarheit:
.
Auskunftsrecht Ihrer personenbezogene Daten
Jede betroffene Person hat grundsätzlich das Recht auf Auskunft über die betreffenden personenbezogene Daten
(Art. 15 DS-DVO), auf Berichtigung Art. 16 DS-GVO, Löschung (Art. 17 DS-GVO), auf Einschränkung der Verarbeitung
(Art. 18 DS-GVO), auf Widerspruch (Art. 21 DS-GVO) sowie das Beschwerderecht bei der zuständigen
Datenschutzbehörde (Art. 77 DS-GVO).
.
Sozialrechtliches Dreiecksverhältnis
Soziale Organisationen (wie SoFa e.V.) bieten Dienstleistungen an. Sind wir als eingetragener Verein befasst, so
unterliegt die Grundlage unserer Arbeit der in der Vereinssatzung beschriebenem Satzungszweck der Gemein-
nützigkeit. Siehe § 52 AO, gemeinnütziger Zweck
In der Regel dient diese Aufgabenerfüllung der Erbringung von in den SGB´s festgelegten Sozialleistungen.
Träger dieser Sozialleistungen sind die im Sozialgesetzbuch I genannten Leistungsträger, z. B. der Sozial- und
Jugendhilfeträger, die gesetzlichen Krankenkassen, die gesetzliche Rentenversicherung, die Agentur für Arbeit
u. a.. Begehrt ein Bürger eine Sozialleistung, so stellt der zuständige Leistungsträger den Anspruch in der
Regel in einem förmlichen Bescheid fest. Es entsteht ein Sozialleistungsverhältnis, in dem beide Seiten
Rechte und Pflichten haben. Der Leistungsbescheid ist ein hoheitlicher Akt. Handelt es sich bei der be-
gehrten Sozialleistung um eine Dienstleistung (Sachleistung), so erbringt der Leistungsträger in den meisten
Fällen die Sozialleistungen nicht selbst. Er verweist den anspruchsberechtigten Bürger z. B. auf die Leistungs-
angebote von sozialen Organisationen der freien Wohlfahrtspflege. Zur Leistungserbringung schließen sie mit
dem anspruchsberechtigten Bürger privatrechtliche (Dienstleistungs-) Verträge ab. Die Kostenübernahme wird
zwischen dem Leistungsträger und der sozialen Organisation als Leistungserbringerin geregelt (Leistungs- und
Versorgungsvertrag). Auch auf dieser Ebene entsteht ein Rechtsverhältnis. In diesen drei Rechtsverhältnissen
ist auch der Datenschutz zu beachten. Aufgrund des informationellen Selbstbestimmungsrechts bleibt der/die
Anspruchsberechtigte weiter Herr/Frau über seine personenbezogenen Daten. Überwiegend dient dieses
sozialrechtliche Dreieck der Gestaltung der Rechtsbeziehungen bei Leistungserbringung durch soziale
Organisationen. Daneben erbringen soziale Organisationen im Rahmen ihrer satzungsgemäßen
Aufgabenerfüllung auch Leistungen in anderen rechtlichen Konstellationen, Datenschutzfragen sind z.B. auch
bei Selbstfinanzierung durch die Leistungsempfänger nochmals anders zu bewerten.
.
Sozialrechtliches Dreiecksverhältnis
Leistungsberechtigter (z.B. Eltern)
Kostenträger
(Landkreise Stadtgemeinde)
Leistungserbringende
Einrichtung (SoFa e.V.
als „Dritte“)
(Anspruch im Leistungsverhältnis)
Sozialdatenschutz nach § 35 SGB I
Einbindung in den Sozialdatenschutz
durch Vertrag § 78 SGB X
(Vertrag)
DS-GVO und BDSG
Einwilligung zur Verarbeitung personenbezogener Daten
Eine Einwilligung gilt für uns als der sicherste Weg für eine rechtmäßige Datenverarbeitung. Deshalb ist es für
soziale Organisationen (wie SoFa e.V.) immer sinnvoll, mit Einwilligungen zu arbeiten. Sie wird oft auch als der
Königsweg der rechtmäßigen Datenverarbeitung bezeichnet. Die Einwilligung ist in Art. 4 DS-GVO definiert
Näheres zur Einwilligung regelt Art. 7 DS-GVO. Die Einwilligung sollte schriftlich vorliegen, damit sie als
Nachweis für eine rechtmäßig erfolgte Datenverarbeitung dienen kann. Sie ist jederzeit widerrufbar.
Einwilligung
…Eine Einwilligung des Betroffenen ist jede freiwillig für einen bestimmten Fall, in informierter Weise und
unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen
bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie
betreffenden personenbezogenen Daten einverstanden ist.
Wir haben beim Träger z.B. ein passwortgeschütztes Dokument zur Einwilligungen zu verschiedenen Zwecken
downloadbereit auf unserer Homepage für die unterschiedlichen Dienstleistungsbereiche bereitgestellt. Zudem
haben wir für einen besonderen Zweck eine Einwilligung zur Schweigepflichtentbindung erstellt, die einer
besonderen Sicherung bedürfen bzw. besonders gesichert wird.
.
Einwilligung zur Verarbeitung personenbezogener Daten von
Kinder und Jugendlichen
Für die Einwilligung von Kindern und Jugendlichen sind Art. 8 DS-GVO sowie die deutschen Regelungen zur
Einwilligungsfähigkeit zu beachten. Neu ist, dass auch schon Minderjährige ab 16 Jahren in einzelnen
Bereichen in die Verarbeitung ihrer Daten einwilligen können.
Da wir als Träger in unserer Arbeit insbesondere im Bereich Jugend und Kultur von Kostenträgern „aufgefordert“
sind, im Sinne der Offenen Kinder- und Jugendarbeit z.B. Werbung zu machen oder spezielle Bedarfe zu ermitteln,
bedarf ist hierbei immer einer Einverständniserklärung. Die Bedarfserhebung erfolgt grundsätzlich auf der Basis der
Informationsvermittlung, der Freiwilligkeit und wird möglichst anonymisiert erhoben.
Anders im Bereich des Rechts am eigenen Bild. Da es hier um ein höchstpersönliches Recht des/der Min-
derjährigen geht, ist seine/ihre persönliche Einwilligung (bei z.B. facebook) erforderlich, sobald von einer
„natürlichen“ Einsichtsfähigkeit ausgegangen werden kann. Es ist allerdings rechtlich umstritten, ab wann
sicher von einer solchen Einsichtsfähigkeit ausgegangen werden kann, daher benötigen wir als Träger auch die
Einwilligung der Personensorgeberechtigten, die grundsätzlich ohne Nennung von Gründe von allen Parteien
widerrufen werden kann.
Solche Einwilligungen geschehen immer völlig transparent und im persönlichen Dialog mit den Betroffenen.
.
Verarbeitung von Personaldaten
Auch im Bereich des Schutzes der Beschäftigtendaten gelten die „Grundprinzipien“ des Datenschutzes und die
sonstigen allgemeinen Regeln, die für jedes Rechtsverhältnis gelten. Der Beschäftigtenbegriff im Datenschutz-
recht umfasst neben den Arbeitnehmer/-innen unter anderem auch Freiwillige im FSJ und BFD. Auch auf
Ehrenamtliche sind die Regeln ergänzend anzuwenden. Der neue § 26 BDSG entspricht weitgehend dem
bisherigen Recht. Danach darf der Arbeitgeber z. B. personenbezogene Daten verarbeiten, wenn dies für die
Begründung (Bewerberdaten), die Durchführung oder die Beendigung erforderlich ist. Das gilt auch für die
Verarbeitung personenbezogener Daten durch Arbeitgeber und Betriebsräte bei der Verwirklichung der Rechte
und Pflichten von Interessenvertretungen der Beschäftigten.
Im neuen BDSG wird klargestellt, dass auch sogenannte „Kollektivvereinbarungen“, also Tarifverträge, Betriebs-
oder Dienstvereinbarungen „Rechtsvorschriften“ im Sinne des BDSG sind und demnach geeignete
Rechtsgrundlagen für eine zulässige Datenverarbeitung schaffen können.
Arbeitnehmerdaten können auch besonders zu schützende Kategorien von Daten sein z. B. gesundheitliche
Angaben zu einem/er Arbeitnehmer/-in. So werden in der Personalverwaltung z.B. auch Krankheitszeiten
/Krankmeldung erfasst. Während im Grundsatz bei besonders zu schützenden Kategorien von Daten aufgrund
der strengeren Anforderungen eine Einwilligung der betroffenen Person in die Verarbeitung notwendig ist,
macht § 26 Absatz 3 und 4 BDSG hier eine Ausnahme.
Nach Eingang, Erhalt und Prüfung der in der Verwaltung vom Träger SoFa e.V. eingegangenen Stundenzettel der
Beschäftigten werden für die Überweisung des Gehaltes (Abrechnung der Brutto-I Nettobezüge, DATEV) die
entsprechenden Personaldaten einem beauftragten Steuerbüro als unser Dienstleister zugesendet. Dieser Vorgang ist
im „Verzeichnis von Verarbeitungstätigkeiten“ beschreiben.
Speicherung von personenbezogener Daten
Gemäß Art. 5 (1) DS-GVO dürfen personenbezogene Daten nur solange gespeichert werden, wie es für den Verar-
beitungszweck erforderlich ist. Wenn personenbezogene Daten für den Zweck, für die sie verarbeitet werden, nicht
mehr erforderlich sind, sind diese Daten zu löschen. Der Auftragsveranwortliche ist außerdem dafür verantwortlich,
dass ein etwaiger Auftragsverarbeiter (bei SoFa e.V. google-analytics für die Homepage von SoFa e.V., JotForm bei
Beschwerden und Feedback und surveymonkey bei Abfragen, Steuerbüro für die Personalabrechnung) diese
Bestimmungen einhält. Die Speicherung ist als Vorgang im „Verzeichnis von Verarbeitungstätigkeiten“ beschreiben.
Versendung mit der Post
Im Bereich der Hilfen zur Erziehung müssen u.a. Berichte von den eingesetzten KollegInnen an die zuständigen
Casemanager versendet werden (sozialrechtliches Dreiecksverhältnis). Dies darf nicht durch den Emailaustausch des/r
eingesetzten KollegInnen zur örtlich und sachlich zuständigen CasemanagerIn geschehen, wenn das Dokument
(Hilfebericht) in der Anlage unverschlüsselt ist. Hier gilt, wenn keine anderen verbindlichen Absprachen mit dem
Kostenträger getroffen sind, grundsätzlich die Versendung mit der Post. Verschlüsselter Berichte (Stadtgemeinde
Bremen) können in Absprache mit den Familien an die örtlich und sachlich zuständigen CasemanagerIn verschickt
werden, wobei zuerst das entsprechende Passwort zum Öffnen des Dokumentes verschickt, danach als zweiter Schritt
erfolgt erst die Versendung des verschlüsselten Dokumentes durch die zuständigen KollegIn, die im Fall eingesetzt
sind. Führt dabei die Post eine ausschließliche Beförderungsleistung durch, ist kein rechtliches Erfordernis zum
Abschluss einer Verarbeitung über eine Auftragsverarbeitung nach Art. 28 DS-DVO gegeben. Die Verantwortung einer
Datenverarbeitung geht vielmehr auf die Post über und die Post wird damit selbst datenschutzrechtlicher
Verantwortlicher der Datenverarbeiter. Als solcher unterliegt die Post den jeweils geltenden Datenschutzbe-
stimmungen.
Verarbeitung von freiwilligen Personaldaten
Möglich ist die Verarbeitung darüberhinausgehender besonders schützenswerter Daten und sonstiger
personenbezogener Daten, wenn eine freiwillige, schriftliche Einwilligung vorliegt, die den in § 26 Abs. 2 BDSG
formulierten Anforderungen entspricht: „Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten
auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung
insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die
Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.
Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher
Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die
Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen
ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr
Widerrufsrecht nach Art. 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.“
In der Praxis kann dies z. B. im Kontext der Durchführung des betrieblichen Eingliederungsmanagements oder
bei der Gestattung privater Nutzung von dienstlichen Fahrzeugen, Telefonen, EDV-Geräten erforderlich sein. Die
Arbeitnehmer/-innen haben Anspruch auf Auskunft über die gespeicherten Daten. Der Arbeitgeber hat
außerdem über den Zweck der Datenverarbeitung und die jederzeitige Widerrufsmöglichkeit zu informieren
Verzeichnis von Verarbeitungstätigkeiten
Wir müssen als gemeinnütziger Verein unabhängig von der Zahl ihrer Beschäftigten ein Verzeichnis der
Verarbeitungstätigkeiten aufstellen,
•
wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen und die
Verarbeitung nicht nur gelegentlich erfolgt oder
•
wenn es um besonders geschützte Kategorien von Daten geht (Art. 9 Absatz 1 bzw. Art. 10 DS-GVO).
Da in jedem Verein (auch beim Träger SoFa e.V.) die Erfassung und Verarbeitung personenbezogener Daten nicht
gelegentlich erfolgt, ist bereits aus diesem Grund in der Regel in jeder Organisation ein Verzeichnis aller
Verarbeitungstätigkeiten zu führen.
Artikel 30 DS-GVO und § 70 BDSG geben über den Inhalt und den Anforderungen an dieses Verzeichnis Auskunft.
Dabei ist zu beachten, dass die Dokumentationspflicht und somit auch das Verzeichnis der Verarbeitungstätigkeit mit
der Datenschutz-Grundverordnung ein Überprüfungsschwerpunkt der Aufsichtsbehörde sein wird. Führt ein
Unternehmen kein Verzeichnis von Verarbeitungstätigkeiten und/oder stellt dieses der Behörde nicht vollständig bereit,
droht nach Art. 83 Abs. 4 a EU-DSGVO ein Bußgeld.
Unser Verzeichnis beinhaltet u.a. alle Dienstleistungsbereiche vom Träger SoFa e.V.
•
Schulsozialarbeit
•
Berufsorientierende Maßnahmen
•
Hilfen zur Erziehung, eingesetzte 8a Fachkräfte unterteilt in Niedersachsen und Bremen
•
Hilfen nach dem Jugendgerichtsgesetz
•
Jugend und Kultur (Freizeiteinrichtungen)
•
Wiedereingliederung
•
Umgang in den Regionalteams mit einer kollegialen Beratung etc.
Grundregeln am Arbeitsplatz
1. Akten landen im Papierkorb
Im digitalen Zeitalter wird häufig vergessen, dass auch Druckerzeugnisse personenbezogene Daten enthalten können.
Gedruckte Dokumente und Datenträger, die im Papierkorb landen, sind vor unberechtigten Zugriffen nicht geschützt.
Akten müssen ordnungsgemäß vernichtet werden (zum Beispiel Schreddern).
Unser „Schreddergut“ wird gesammelt, eingelagert und entsprechend der Einhaltung gesetzlicher Vorschriften
grundsätzlich an einem externen Dienstleister abgegeben, der die die Aktenvernichtung in z.B. Datenschutztonnen
übernimmt. Daten, die nicht ausgedruckt sind und ihren Zweck Datenspeicherung auf entsprechender Hardware erfüllt
haben, müssen nach Löschung und dem „Eingang“ in den virtuelle Papierkorb von den KollegInnen mit einem Programm
datenschutzkonform gelöscht werden. Hierbei gibt es eine Vielzahl an freien Hilfsprogrammen z.B. CC-Cleaner, dies gibt
es auch für mobile Einheiten (Beachtung der Zugriffsrechte bei der Installation für Smartphones, Tablets etc.)
2. Private Geräte am Arbeitsplatz
USB-Sticks, externe Festplatten und CD-ROM sind beliebt, um private Angelegenheiten am Arbeitsplatz zu erledigen oder
Unterlagen mit nach Hause zu nehmen, um nach der Arbeit noch daran weiterzuarbeiten bzw. von Zuhause aus zu
arbeiten. Hier lauert Gefahr! Die Geräte können mit Schadsoftware infiziert sein, die sich im Betriebssystem ausbreitet
und eine Gefahr für Daten darstellt. Die Nutzung von WHATSAPP mit Klienten oder der Kontakt zu Kindern und
Jugendlichen mit seinem eigenen Smartphone ist bei SoFa e.V. verboten. Dies beinhaltet auch WHATSAPP auf
dem Diensthandy!
Kontaktaufnahme (auch keine namentlichen Aufnahme von Familiennamen /-daten über gespeicherte
Kontaktdaten) übers Handy zu Klienten per sms werden niemals namentlich, sondern in pseudonymisierter
Form vorgenommen. Die Vorgehensweise kann mit der Familie besprochen werden.
Handygebrauch: Hierbei gelten für unsere TOM (technisch-organisatorische Maßnahmen) folgende gesetzliche
Grundlagen -- Art. 32 DS-GVO und § 64 BDSG--
Grundregeln am Arbeitsplatz
3. Firmengeräte werden für private Zwecke genutzt
Homeoffice und unterwegs arbeiten sind weit verbreitet. Häufig werden die zur Verfügung gestellten Arbeitsmittel
(Laptops, Tablets, Smartphones) auch für private Zwecke genutzt. Dadurch können unbefugte Dritte, insbesondere bei
Verlust oder Diebstahl, leicht Einblick in vertrauliche Unterlagen erhalten. Festplatten und USB-Sticks sollten deshalb
unbedingt verschlüsselt und die Nutzung des öffentlichen WLAN verboten werden. Keine Verschlüsselung wäre ein
klarer Verstoß gegen die neuen Datenschutzbestimmung
Das Bundesamt für Sicherheit und Informationstechnik empfiehlt folgende Software zur Verschlüsselung von
Datenträgern veracrypt
4. Nutzung des privaten E-Mail-Accounts
Mitarbeiter nutzen private E-Mail-Adressen zum Versenden von betrieblichen Dokumenten mit vertraulichen,
personenbezogenen Daten. Gründe: Bequemlichkeit, Unerfahrenheit mit E-Mail-Programmen des Unternehmens,
Nutzung der Dokumente für private Zwecke. Dabei nutzen sie häufig unsichere Transfermethoden. Leider wissen das
auch viele Hacker, die immer auf der Suche nach Möglichkeiten sind, vertrauliche Daten zu stehlen. Die Nutzung privater
E-Mail-Accounts für betriebliche Zwecke ist beim Träger SoFa e.V. untersagt.
5. Mein Passwort für alles: hallo123
Mitarbeiten, die personenbezogene Daten verarbeiten, sollten für jede Anwendung eigene Accounts eingerichtet
werden. Account-Sharing ist ein No-Go! Die Accounts sind allerdings sinnlos, wenn sie nicht durch sichere Passwörter
geschützt sind. Aus Bequemlichkeit werden gern einfache Passwörter genutzt und am liebsten immer das gleiche. Ein
fataler Datenschutz-Fehler! Ist ein Passwort einmal geknackt, besteht so die Möglichkeit auf alle Nutzer-Accounts
zuzugreifen und somit Zugang zu vertraulichen Daten zu erlangen. Unsere KollegInnen nutzen daher möglichst lange
Passwörter möglichst 8 Zeichen mit der Kombination aus Zeichen und Zahlen z.B. SdJ2018imPs.
Grundregeln am Arbeitsplatz
6. Büroräume
Büroräume bieten einige Gefahren für Datenschutzverstöße. Insbesondere wenn betriebsfremde Personen in Büroräume
gelassen werden und ohne Begleitung umherspazieren können. Ein offenes Büro, ein vergessenes Dokument auf dem
Drucker können fatale Folgen für den Datenschutz von Klienten, Kunden und Mitarbeitern haben. Der Zugang zu den
Büroräumen sollte Betriebsfremden nur für Betriebszwecke gestattet sein und das auch nur unter Aufsicht. KollegInnen
dürfen sich nicht ungefragt an einen fremden unbesetzten Arbeitsplatz setzen, an dem mit sensiblen Daten gearbeitet
wird. (Diskretionsanordnung)
7. Zu viel Auskunft am Telefon
Zur Vermeidung ist es unerlässlich, unseren KollegInnen schon im Voraus gründlich darin einzuweisen, welche Auskünfte
gemacht werden dürfen und welche nicht.
8. Chaos am Arbeitsplatz
Vertrauliche Briefe, Verträge, Notizen mit Passwörtern, USB-Sticks und das alles auf einem Haufen. Wenn dann auch noch
andere Personen diesen Haufen sehen kann, ist das Datenschutz-Chaos perfekt. Hilfreich ist die Clean-Desk-Policy, die
vorsieht, dass bei Verlassen des Arbeitsplatzes keine Unterlagen mit vertraulichen Dokumenten zurückgelassen werden
dürfen. Computer müssen gesperrt werden oder der Raum beim Verlassen abgeschlossen sein.
9. Der PC als Müllhalde
Einer der Grundsätze des Datenschutzrechts ist die Speicherbegrenzung. Daten sollen nur solange gespeichert werden,
wie es für den Zweck der Verarbeitung erforderlich ist. Bestes Beispiel ist auch das überquellende E-Mail-Postfach. Dieses
sollte regelmäßig geleert werden. Dokumente mit personenbezogenen Daten, die auf der Festplatte gespeichert sind, aber
nicht benötigt werden, müssen in den Papierkorb verschoben werden. Achtung: Aufbewahrungsfristen beachten!
10. Datenpannen verschweigen
Wir sensibilisieren unsere MitarbeiterInnen für den Datenschutz, verdeutlichen dessen Bedeutung und gehen
selbst mit gutem Beispiel voran. Schulungen und ständige Thematisierung des
Datenschutzes werden von uns durchgeführt.
Verschlüsselte Datensicherung
Sollten KollegInnen Schwierigkeiten bei der Verschlüsselung ihrer Daten durch z.B. der Nutzung von VeraCrypt haben, so
bestehen noch andere Möglichkeiten. --bitte die Geschäftsführung kontaktieren--
Der Kauf von verschlüsselten USB-Sticks bringen z.B. hierbei Abhilfe:
Personenbezogene Daten (Berichte, Listen mit personenbezogenen Daten etc.) werden häufig im Homeoffice-Bereich auf
USB-Sticks gespeichert, gehen solche USB-Sticks verloren, sind die dort abgespeicherten Daten nicht sicher bzw. für
andere Personen dann einsehbar. Dementsprechend stellt sich heute beim produktiven Einsatz von USB-Sticks und
anderen mobilen Devices nicht die Frage, wie man den Verlust verhindern kann, sondern wie man die gespeicherten
Daten vor Fremdzugriff schützen kann, wenn der mobile Datenträger verloren wurde. Bei entsprechendem Schutzbedarf
ist Datenverschlüsselung laut dem Bundesdatenschutzgesetz und der EU-Datenschutz Grundverordnung (DSGVO) Pflicht.
Mit speziellen USB 3.0 Sticks können höchste Sicherheiten mit dem Einsatz im Homeoffice-Bereich vereint werden. Solche
USB-Sticks können ohne zusätzliche Software sofort an Windows und MAC OS Systemen genutzt werden. 256-bit AES
Hardwareverschlüsselung und ein starkes Passwort schützen 100% aller gespeicherten Daten auf diesen USB-Sticks.
Sensible personenbezogene Daten müssen daher von “ungeschützten” PC´s im Homeoffice-Bereich auf solche USB-Sticks
abgespeichert werden.
E-Mail-Signaturen / Versendung
Obwohl der Hinweis in der Fußzeile / Signatur einer Nachricht, dass diese vertraulich und bei Fehlversendung zu löschen
sei, bei der richtigen E-Mail Kommunikation nicht im Sinne der DS-GVO ist, möchten wir trotzdem darum bitten, folgenden
Passus in die Signaturen eurer E-Mail zu schreiben.
“ Diese Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten.
Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese Mail. Anhänge, die dieser Mail beigefügt wurden, dürfen dabei nicht geöffnet werden.
Das unerlaubte Kopieren, Abspeichern und Verschicken fremder E-Mailanlagen sowie die unbefugte Weitergabe des
Inhaltes dieser E-Mail ist nicht gestattet.”
Verändert umgehend daher eure E-Mailsignaturen …..
Weiter Infos zur E-Mailversendung
Wenn du eine E-Mail verschicken möchtest und die E-Mail-Adressen der Empfänger in das An-Feld schreibst, sind die E-
Mail-Adressen aller Empfänger für alle Beteiligten sichtbar, dies nicht empfehlenswert.
Stattdessen bietet es sich oftmals an, eine so genannte Blindkopie zu versenden.
Wenn du die E-Mail an alle Adressaten als Blindkopie verschickt hast, können die Empfänger dieser Blindkopie nicht
herausfinden, an wen die E-Mail versendet wurde. Alle E-Mail-Adressen, die du ins Bcc-Feld eingetragen hast, können von
den Empfängern nicht eingesehen werden, dies macht Sinn, wenn E-Mails außerhalb unseres kollegialen Austausches
auch an andere Personen verschickt werden sollen. Um eine E-Mail als Blindkopie zu verschicken, schreibe die E-Mail-
Adressen der Empfänger nicht in das An- oder Cc-Feld, sondern in das Bcc-Feld.
Das Bcc-Feld liegt bei outlock unter dem Cc-Feld.
Bcc ist übrigens eine Abkürzung des englischen Wortes Blind Carbon Copy und heißt auf Deutsch Blindkopie.
Generell kannst du die Empfänger einer E-Mail in die drei Felder An, Cc und Bcc eintragen.
Nutzung Messengerdienst Hoccer
Für den berufliche Kommunikationsaustausch von KollegIn zu KlientInnen oder im beruflichen Kontext des Trägers SoFa
e.V. kann der Messengerdienst Hoccer verwendet werden. Wenn der Kontakt von einem SoFa-MitarbeiterIn zum KlientIn
mittels generiertem Code per SMS, E-Mail und/oder QR-Code hergestellt wird, besteht der Kontakt nur zwischen den
Empfänger und Adressaten und kann nicht von anderen eingesehen werden. (ENDE zu ENDE Verschlüsselung)
Unbedingt vor Nutzung mit Klienten absprechen
Eine Einwilligung z.B. der KlientInnen erfolgt über die Annahme des zugesandten Codes des Admin, die Kommunikation
untereinander wird hergestellt. Vorab wird dies in der Ausübung der entsprechenden Dienstleistungsbereich mit dem
KlientInnen vom ausübenden KollegInnen besprochen. Grundsätzlich werden nur Termine abgesprochen; inhaltliche
Bereiche, wie z. B. sensible personenbezogene Daten, Krankheiten, inhaltliche Beschreibung und sensible inhaltsbezogene
Sachlagen aus einem HzE Fall sollen nicht über den Messengerdienst übermittelt werden.
Nach Beendigung eines Falles oder bei einem Wechsel (Fallübernahme durch KollegIn) werden die Kontaktdaten gelöscht.
Ein MitarbeiterInnen von SoFa e.V., der/die beruflich innerhalb des Dienstleistungsbereiches wechselt bzw. auch
ausscheidet, muss aus dem internen Gruppenchat sofort von Admin gelöscht werden. Admin ist der- oder diejenige,
der/die die Gruppe erstellt hat. Sollte der Admin ausscheiden, dann löscht er/sie sich selbst und ein anderer Admin
übernimmt die Aufgabe (Admin-Wechsel).
Umgang mit Userdaten
Wenn Hoccer genutzt wird, werden verschiedene Daten untereinander übermittelt. Alle Daten, die Hoccer dabei einsehen
könnte. Die IP-Adresse des mit Hoccer verbundenen Gerätes (ausschließlich bei Nutzung des Services) oder die IP-Adresse
des Routers, im Falle der Nutzung eines NAT Netzwerks. Dies ist in der Regel der Fall, wenn das Endgerät mit einem WLAN
Netz verbunden ist. Die IP-Adresse deines Kommunikationspartners, wenn dieser online ist. Eine zufallsgenerierte
Nummer, die eine Client-ID darstellt usw. Die Dienst Hoccer hat seinen Hauptsitz und seine Server in Deutschland.
Datenschutzbestimmung Hoccer. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten google-Dienst
Unsere Homepage SoFa e.V. nutzt google-analytics.
Google-analytics ist erlaubt, wenn nach der DSVGO folgende Voraussetzungen erfüllt sind, die wir als Träger zum
25.05.2018 umgesetzt haben:
•
Abschließen eines A(D)V-Vertrag mit google
o
(entsprechender Vertrag ist zum Sitz nach Irland von uns verschickt worden
•
IP-Anonymisierung aktiviert (nicht umfassend beschrieben)
o
Unser ID-Trackingcode unserer Homepage wurde abgerufen und
o
ein bereitgestellter HTML-Quellcode mit Javascript VOR unserem google-analytics Tracking Code platziert.
•
In unseren Datenschutzbestimmungen können Sie der Datenerfassung widersprechen (wurde farblich
hervorgehoben)
•
Setzen eines Opt-out
•
Mehr Informationen von google unter diesem Link
Unsere anderen mit der Haupthomepage von SoFa e.V. verknüpften Internetseiten über den Anbieter Jimdo
sofafreizeitseite, sofaabewerbung und Jugendtheater Achim nutzen auch google-analytics, entsprechend deren
Datenschutzbestimmungen können sie die Erfassung von Nutzerdaten widersprechen.
Für Analysen unsere Homepage werden folgende Daten ( Browsertyp und Browserversion, verwendetes Betriebssystem,
Referrer URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage und die IP-Adresse.) erhoben, wenn die
Erfassung von den Nutzern unsere Webseite nicht widersprochen wird, diese Daten bleiben maximal 14 Monate
gespeichert, danach werden diese automatisch gelöscht.
Dienste von Dritten JotForm, Beschwerde
Für unseres Beschwerdemanagement und Feedback nutzen wir den Anbieter JotForm.
Wir haben mit JotForm einen Datenverarbeitungs-Addendums (DPAs) abgeschlossen. Die Datenschutzvereinbarungen
von JotForm bieten Vertragsbedingungen an, die den DSGVO-Anforderungen erfüllen.
Auszug JotForm:
Wir als JotForm respektieren Ihre Daten und Ihre Privatsphäre sehr. Als der europäische Gerichtshof das EU-US Safe
harbor agreement für ungültig erklärt hat, haben wir mit unseren EU Safe Forms geantwortet. EU Safe Forms bietet Ihren
Daten eine sichere Lokation auf unseren exklusiv für diesen Zweck bereitgestellten Servern in Deutschland.
Beschwerde:
Über das Kontaktformular „Beschwerde“ nehmen Sie Kontakt zum Qualitätsbeauftragten von SoFa e.V., Holger Nanz auf.
Ihre Versendung Ihrer Beschwerde wird bei Eingang über meine Mailadresse umgehend durch mich beantwortet
(Direkter Beschwerdevorgang). Sie erhalten einen Auszug Ihrer Eingaben. Die Mail wird dann sofort gelöscht. Ihr Eingang
bleibt solange bei dem Anbieter JotForm zweckgebunden gespeichert, bis dieser Vorgang bearbeitet ist (Beendigung der
Beschwerde im indirekten Beschwerdevorgang) und über einen Maßnahmeplan in unserem Qualitätsmanagementsystem
als Vorgang geschlossen wird. Sie können jederzeit Einblick (Kopie des schriftlichen Einganges) über die relevante
Eingangsbearbeitung erhalten, wenn es einem zwingenden Grund dafür gibt und durch Sie eingefordert wird. Zudem
können Sie Ihre Beschwerde im System durch Holger Nanz als Qualitätsbeauftragten löschen lassen.
Eine Zusammenfassung aller Eingänge ist ohne Angaben personenbezogener Daten über das Infografikportal infogr.am
aufgeführt, grafisch aufbereitet und nur über ein Passwort für den QB einsehbar. Dieser Vorgang ist
im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten JotForm, Feedback
Für unseres Beschwerdemanagement und Feedback nutzen wir den Anbieter JotForm.
Wir haben mit JotForm einen Datenverarbeitungs-Addendums (DPAs) abgeschlossen. Die Datenschutzvereinbarungen von
JotForm bieten Vertragsbedingungen an, die den DSGVO-Anforderungen erfüllen.
Auszug JotForm:
Wir als JotForm respektieren Ihre Daten und Ihre Privatsphäre sehr. Als der europäische Gerichthof das EU-US Safe Harbor
agreement für ungültig erklärt hat, haben wir mit unseren EU Safe Forms geantwortet. EU Safe Forms bietet Ihren Daten
eine sichere Lokation auf unseren exklusiv für diesen Zweck bereitgestellten Servern in Deutschland.
Feedback:
Über das erweiterte Kontaktformular „Feedback“ nehmen Sie Kontakt zum Qualitätsbeauftragten von SoFa e.V., Holger
Nanz auf. Ihre Versendung wird nach Eingang über meine Mailadresse umgehend durch mich beantwortet. Sie erhalten
einen Auszug Ihrer Eingaben. Die Mail wird dann sofort gelöscht. Ihr Eingang bleibt solange bei dem Anbieter JotForm
zweckgebunden gespeichert, bis dieser Vorgang bearbeitet ist (Beendigung der Feedbacks ) und über einen
Maßnahmeplanin unserem Qualitätsmanagementsystem als Vorgang geschlossen wird. Sie können jederzeit Einblick
(Kopie des schriftlichen Einganges) über die relevante Eingangsbearbeitung erhalten, wenn es zwingende Gründe dafür
gibt und Sie es einfordern. Zudem können Sie Ihr Feedback im System durch Holger Nanz als Qualitätsbeauftragten
löschen lassen. Eine Zusammenfassung aller Eingänge ist ohne Angaben personenbezogener Daten über das
Infografikportal infogr.am aufgeführt, grafisch aufbereitet und nur über ein Passwort für den QB einsehbar. Dieser
Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten, Infogram
Über den Dienst von infogr.am werden alle statistischen Daten ohne direktem Personenbezug aller Einrichtungen
eingepflegt. Es werden Daten erhoben, die auch von den statistischen Landesämtern eingefordert werden. Unsere
Eingaben werden durch zwei passwortgeschützte interne Dokumente erhoben. Diese Daten dienen dazu, unsere interne
Audits durchzuführen. Diese intern anonymisierte Statistiken, die durch den QB ausgewertet werden, dienen uns für die
für die hier beschriebenen Zwecke i.S.d. Art. 6 Abs 1. lit.f DS-GVO.
Jede Einrichtung hat einen individuellen passwortgeschützen Zugang zu diesen allgemeinen Daten.
Diese Daten sind u.a. Besucherzahlen allgemein, die unterteilt werden in verschiedene Alterssegmente (unter 10 Jahre
etc.) und den vier sogenannte „Produktgruppen“ wie z.B. die Offene Tür zugeordnet sind.
Das Einpflegen der gesammelter Datensätze findet 1x im Jahr durch den QB statt; die Zusammenfassung aller
Einrichtungen sind über unsere Homepage https://infogram.com/regionaler-vergleich-2015-und-2016-1g4qpzly7kwo21y
für alle Nutzer unserer Homepage einsehbar. Lediglich beim Besuch werden Daten gespeichert, nämlich:
•
Gesamtansicht pro Tag und Monat
•
Geographischer Standort Deutschland und andere
•
Empfehlungen www.sofa-ev.de, sofa-ev.de und andere
•
und sind nicht mit google-analytivs verknüpft.
Alle oben aufgeführt Daten werden grafisch aufbereitet und sind nur über ein Passwort für den QB einsehbar.
Manche Grafiken können aus dem System heraus als jpeg oder png durch den QB isoliert werden. Diese Grafiken dienen
für die Jahresberichte der Einrichtungen. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten surveymonkey
Über den Dienst von surveymonkey werden Daten, die in Abfragen aufgrund einer Freiwilligkeit gesammelt werden,
erhoben und gesammelt.
Wir machen als Träger solche Abfragen, da diese von den Kostenträgern zunehmend eingefordert werden. Solche Daten
können als Datenreport zusammengefasst und Vertretern der Kostenträgern präsentiert werden.
Abfragen sind:
•
Freiwillige Bewertung von Inhouseseminaren durch die KollegInnen ) über Kollektor „berufliche Emailadresse der
TeilnehmerInnen“
•
Bewertungen von externen Seminaren über Kollektor „berufliche Emailadresse der TeilnehmerInnen“
•
interne freiwillige Personalabfragen (nach vorherigem dezidiertem schriftlichen Bezug durch den QB) über Kollektor
„berufliche Emailadresse der TeilnehmerInnen“
•
Freiwillige Abfrage der BesucherInnen der Jugendhäuser (ohne Nennung der Namen etc. durch einen erstellten
Feedbackbogen mit dem Kollektor QR-Code.
Alle Abfragen werden durch den QB vom Träger SoFa e.V. geschlossen und können zusammengefasst ohne Namen
statistisch und grafisch aus dem System durch besondere Eingangsdaten (durch den QB) abgerufen werden.
Das sind die Datenschutzrichtlinien von survemonkey.
Dienste von Dritten Prezi
Über den Dienst von Prezi sind Präsentationen durch den Träger SoFa e.V. erstellt worden, die einerseits
passwortgeschützt den KollgInnen zur Verfügung gestellt werden und andererseits das Organigramm von SoFa e.V.
So sehen die erfassten Daten aus (interne Inhousseminaren)
Das sind die Nutzungsbestimmungen von Prezi.
Dienste von Dritten Dropbox
Über den Dienst von Dropbox sind unsere auf der Homepage zum Download bereitgestellten Dokumente, Flyer und
weitere Unterlagen wie z.B. Broschüren sicher über eine https-Verbindung untergebracht und abrufbar. Dieser Schritt
wurde notwendig, da unsere verknüpften und passwortgeschützten Dokumente mit einer fremden Werbung unterlegt
worden sind, soll heißen, beim Abruf eines Dokumentes wurde ein anderes Fenster mit fremden Werbung vorgeschaltet.
Mit Dropbox können unsere internen Dokumente nun besser gelenkt und besser mit Zugriffsrechten versehen werden.
Alle Dokumente als passwortgeschützte PDF enthalten keine mit personenbezogene Daten beschriebene Felder, unsere
Dokumente werden durch die entsprechenden KollegInnen heruntergeladen und mit einem PDF-Programm geöffnet.
Hierbei muss erneut ein Passwort (265-bit Verschlüsselung) eingegeben werden.
Das sind die Datenschutzbestimmungen von Dropbox