Technische Bedienung
Wir haben Ihnen / euch eine umfassende Präsentation zur Verfügung gestellt, die Sie / ihr einsehen könnt.
Bedienung für Tablets / Smartphones
Mit den Wischgesten links und rechts wird umgeblättert und / oder eine kleine Präsentation mit den
Zwischenschritten gestartet. Links unten ist ein Bedienungstool eingebettet (bitte klicken), mit dem Sie / ihr auf
einzelnen Seiten der Präsentation springen könnt (Dropdownmenue)
PC:
Hier bitte die Pfeiltasten der Tastatur nutzen.
Links unten ist auch hier ein Bedienungstool eingebettet (bitte klicken), mit dem Sie / ihr auf einzelnen Seiten
springen könnt.
Mit dem Button (Zurück zur Homepage) können Sie /ihr jederzeit von jeder Seite dieser Präsentation auf unsere
Homepage zurück gelangen.
Stand:
19.12.2023
Datenschutz bei SoFa e.V.
Was macht der Datenschutzbeauftragter bei SoFa e.V. ?
Unsere Aufgabe besteht darin, unsere KollegInnen in Fragen des Datenschutzes zu unterstützen. Das heißt auch, dass
die neuen Anforderungen durch die DS-GVO , die in unser System verankert sind, einer Überprüfung standhalten und
evtl. Fragen daraus im Sinne des Datenschutzes mit den verantwortlichen / entsprechenden Funktionsträgern (z.B.
Geschäftsführung oder der pädagogischen Leitung ) gelöst werden. Kurz: Fachkundig werden Fragen des
Datenschutzes aufgegriffen und in Übereinstimmung und nach Absprache mit den Verantwortlichen beim Träger SoFa
e.V. mit geltendem Recht gelöst. Zudem stehen wir auch Ihnen bei Fragen des Datenschutzes und wie wir als Träger
mit Daten umgehen mit unseren Ansprechpersonen zur Verfügung.
Im Rahmen unserer Tätigkeiten als sozialer Dienstleister arbeiten wir mit Menschen zusammen, die in schwierigen
Lebenssituationen Hilfe und Unterstützung bedürfen. Das heißt auch, dass wir z.B. von Jugendämtern beauftragt
werden, Ihre beantragten Leistungen (z.B. Familienhilfe) für den Kostenträger (Jugendamt) durchzuführen.
Wir arbeiten also auch mit Ihren personenbezogenen Daten, da wir z.B. ihren Unterstützungsbedarf kennen müssen,
auf wen z.B. sich der Hilfebedarf bezieht, müssen Berichte schreiben und mit dem Kostenträger (z.B. Landkreisen in
Niedersachsen, Stadtgemeinde Bremen) unsere Leistungen abrechnen.
Dies geht natürlich nur dann, wenn auch personenbezogene Daten ausgetauscht werden.
All das geschieht nur mit Ihnen und Ihrer Einverständnis, daher besprechen wir alles mit Ihnen, wenn wir einen
Auftrag vom Kostenträger erhalten haben. Damit unsere Arbeit entsprechend besser funktioniert, haben wir einige
passwortgesicherte Dokumente auf unserer Homepage zur besseren Dokumentenlenkung bereitgestellt , mit denen
wir arbeiten müssen. Aber das kommt noch an anderer Stelle!
Zudem arbeiten wir in vielen Bereichen, die haben wir extra für Sie in dieser Präsentation aufgeführt, um Ihnen
einen Überblick zu geben, wie wir anhand von Beispielen mit personenbezogenen Daten umgehen.
Datenschutzbeauftragter bei SoFa e.V.
Mein Name ist Holger Nanz und bin für den Bereich Qualitätsmanagement, Projekt-
und Konzeptentwicklung und als Datenschutzbeauftragter (DSB) beim Träger SoFa
e.V. tätig. Die Stelle DSB ist organisatorisch beim Träger SoFa e.V. als Stabstelle der
Geschäftsführung (GF) angedockt und stehen in Fragen der Umsetzung des
Datenschutzes der GF/dem Träger beratend und unterstützend zur Seite.
Ich bin bei den entsprechenden Aufsichtsbehörden im Land Niedersachsen und der
Stadtgemeinde Bremen gemeldet, bei denen Sie sich, falls nach Ihrer Ansicht nicht
pflegsam mit Ihren Daten umgegangen und eine eingehende Beschwerde von
unserer Seite nicht mit Ihren Auffassungen des Datenschutzes bearbeitet wurde,
beschweren können. Einen Link zu den entsprechenden Ansprechpersonen der
Aufsichtsbehörden finden Sie in unserer Datenschutzerklärung.
Sollten Sie irgendwelche Fragen an uns haben, dann können Sie sich an mich
wenden. Für Beschwerden, Feedbacks oder Fragen zu Widerrufen oder
Löschungen von Daten kontaktieren Sie uns/mich einfach. Für Beschwerden oder
Feedbacks stehen Ihnen besondere Dienste bereit, die sie nutzen können. Auch auf
diese Dienste und dem Umgang mit Daten bei Eingängen werden wir in dieser
kleinen Präsentation eingehen.
Datenschutzbeauftragter bei SoFa e.V.
Da wir bei uns beim Träger mehr als 10 Personen haben, die in ihrer Arbeit mit sensiblen Personaldaten zu tun
haben, ergibt sich rechtlich aus § 38 Abs.1 Bundesdatenschutzgesetz (BDSG) und Art. 37 Abs. 7 DS-GVO unsere
Verpflichtung, einen Datenschutzbeauftragter (DSB) zu benennen. Mit Inkrafttreten des DS-GVO mit seinen
umfassenden Bestimmungen und unseren täglichen Herausforderungen in den Arbeitsfeldern der Sozialen Arbeit
ist davon auszugehen, dass es in der Folgezeit zu weiteren organisatorischen und administrativen Anpassungen
kommen wird, die an dieser Stelle beschrieben werden.
Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DS-GVO
•
Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die
Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen
Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
•
Überwachung der Einhaltung dieser Verordnung sowie der Strategien des Verantwortlichen oder des
Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuwesiung von
Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligter Mitarbeiter
und der diesbezüglichen Überprüfungen,
•
Beratung - auf Anfrage- im Zusammenhang mir der DSFA (Datenschutzfolgeabschätzung) und Überwachung ihrer
Durchführung,
•
Zusammenarbeit mit der Aufsichtsbehörde,
•
Anlaufstelle für die Aufsichtsbehörde.
Datenschutzbelehrung bei SoFa e.V.
2x im Jahr findet eine interne Datenschutzbelehrung grundsätzlich nach einem festen Termin beim Träger SoFa e.V.
statt. Optional kann der Datenschutzbeauftragte in die Teams kommen, um dort vor Ort eine Datenschutzbelehrung
/ Datenschutzfolgebelehrung vorzunehmen oder Änderungen für den jeweiligen Dienstleistungsbereich, die ggf.
Folgen für den Datenschutz haben, anzusprechen.
Sollten Kolleg_Innen nicht an einer Datenschutzbelehrung teilnehmen, so müssen sie sich selbst z.B. über unsere
Präsentation mit dem Datenschutz inhaltlich auseinandersetzen.
Zudem wird auf der Terminalstruktur den Kolleg_Innen zum Datenschutz eine Präsentation zur Verfügung gestellt,
die über die DSGVO und den internen Umgang damit Auskunft gibt.
Jede/r Kolleg_In muss bei Einstellung oder kurz nach der Einstellung ein Verpflichtungserklärung unterschreiben, um
sicher zu gehen, dass der Datenschutz von allen Kolleg_Innen eingehalten wird.
Dokument zum Download
Aber was bedeutet die DS-GVO?
Die Datenschutzgrundverordnung regelt nach einer zweijährigen Vorlaufzeit ab dem 25.05.2018 den Umgang von
Unternehmen oder aber auch von Vereinen mit personenbezogenen Daten einheitlich in ganz Europa und löst die
bestehenden nationalen Gesetze in den geregelten Bereichen ab.
Viele der aktuellen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten ab den 25.052018 nicht
mehr bzw. werden/sind zeitgleich neu gefasst. Es gibt wesentliche Änderungen gegenüber des BDSG´s, die sich auf
organisatorischer, prozessualer und technischer Ebene auswirken
Damit sollen u.a. auch die Personen- und Verbraucherrechte gestärkt werden, dies bedeutet aber auch zukünftig
eine erhebliche hohe Anforderung an die Dokumentation und der Nachweispflicht auch für uns als gemeinnützigen
Verein, in denen wir die geeigneten und technisch ausreichenden Maßnahmen zur Sicherstellung des Datenschutzes
erbringen.
Um diese neuen Anforderungen zu genügen, haben wir viele Maßnahmen ergriffen, die über verschiedene Verträge
zur Auftragsverarbeitung mit Externen (Google, JotForm, 1und1) zu besonders passwortgeschützte interne
Dokumente bis hin zu einem Nachweis von Verarbeitungstätigkeiten reichen. Die Ernennung von unseren
Datenschutzbeauftragten unterstreicht unseren sensiblen Umgang mit eben diesen neuen Anforderungen.
Wir sind aber noch nicht am Ende, da wir gemeinsam mit einem externen Dienstleister an einer Möglichkeit arbeiten,
um Daten und den Emailverkehr noch besser schützen zu können als bisher. Die technischen Möglichkeiten im
Umgang mit den DS-GVO werden dabei erheblich professionalisiert.
Die Grundprinzipien des Datenschutzes
TRANSPARENZ:
Unsere Datenverarbeitung ist und soll nachvollziehbar sein und die Möglichkeit erhalten, dass Betroffene
die Rechtmäßigkeit der Verarbeitung von Daten prüfen können, was mit dem Auskunftsrecht des
Betroffenen (also Sie) korrespondiert.
ZWECKBINDUNG UND ERFORDERLICHKEIT:
Ausgangspunkt ist immer der vorab festgelegte Zweck, weswegen Daten erhoben und verwendet werden,,
die für die Aufgabenerfüllung (z.B. die zu erbringende Leistung im Bereich HzE) erforderlich ist.
DATENMINIMIERUNG / DATENSPARSAMKEIT:
Nur das für den beabsichtigten Zweck erforderliche Minimum an Daten -auf das notwendige Maß
beschränkt- darf verlangt und verarbeitet werden.
RICHTIGKEIT:
Personenbezogene Daten müssen sachlich richtig und ggf. korrigiert, gesperrt oder aber auch gelöscht
werden. Dies beinhaltet auch Ihren Anspruch auf Information und Auskunft Ihrer erhobenen Daten.
INTEGRITÄT UND VERTRAULICHKEIT:
Der Grundsatz besagt und beschreibt die Verpflichtung personenbezogene Daten durch geeignete
Maßnahmen zu sichern, um Datenschutzverstöße zu vermeiden. Es geht einfach darum, geeignete
organisatorische und technische Maßnahmen zur Datensicherung zu treffen.
Aber was sind personenbezogene Daten?
DS-GVO: Personenbezogene Daten sind hiernach Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke
ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale
Identität (Artikel 4 Ziffer 1 DSGVO).
Personenbezogene Daten sind also neben den identifizierenden Angaben einer Person wie Name und Anschrift auch
sämtliche Informationen, die etwas über die persönlichen oder sachlichen Verhältnisse eines Betroffenen aussagen,
beispielsweise Kontodaten, Funktion im Verein etc.
•
Nach europäischem Recht und Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten all jene
Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so
Rückschlüsse auf deren Persönlichkeit erlauben.
•
Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft,
politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und
Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.
•
Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten
von personenbezogenen Daten ist mithin nur unter Zustimmung des Betroffenen zulässig
.
Aber was sind sensible personenbezogene Daten?
Sensible Daten
Besonders schutzbedürftige Kategorien von Daten, Art. 9 Abs. 1 DS-GVO sind„(...) personenbezogene[r]
Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen
Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder
Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person...“
Unter Datenverarbeitung ist jeder Umgang mit personenbezogenen Daten wie z.B. das Erheben, die Speicherung,
das Abfragen, die Verwendung, die Offenlegung durch Übermittlung sowie das Löschen gemeint (Art. 4 Abs. 2 DS-
GVO). SoFa e.V. verarbeitet regelmäßig personenbezogene Daten, die im Rahmen der Erfüllung des sozialrechtlichen
Dreiecksverhältnisses entstehen
.
Verarbeitung personenbezogener Daten
Jede Datenverarbeitung bedarf entweder der Einwilligung der betroffenen Person oder einer sonstigen gesetzlichen
Ermächtigungsgrundlage (Rechtmäßigkeit der Datenverarbeitung, Art. 6 DS-GVO).
Die im unmittelbaren Zusammenhang mit unserer Tätigkeit z.B. im Rahmen von Hilfen zur Erziehung beim Träger
SoFa e.V. stehende Verarbeitung personenbezogener Daten wird regelmäßig auch ohne die ausdrückliche
Einwilligungserklärung der Betroffenen auf Grundlage z.B. des Art. 6 Abs. 1, Buchstabe e DS-GVO erfüllt.
Zulässig ist beispielsweise die Verarbeitung von Vor- und Zuname, Name des Kindes, Anschrift, Aktenzeichen,
Kostenzusicherung etc., dies ergibt sich auch aus dem sozialrechtlichen Dreiecksverhältnis.
Erfolgt die Datenverarbeitung außerhalb des sozialrechtlichen Verhältnisses, ist zu prüfen, ob die Verarbeitung zur
Erfüllung einer rechtlichen Verpflichtung, der der Verein unterliegt, erforderlich ist (Art. 6 Abs. 1 Buchst. c DS-GVO,
beispielsweise Aufbewahrungsfristen nach Handels- und Steuerrecht).
Die Verarbeitung kann gegebenenfalls auch im berechtigten Interesse des Vereins oder eines Dritten nach Art. 6
Abs. 1 Buchst. f DS-GVO erforderlich sein. In diesem Zusammenhang sind die Interessen des Vereins gegen die
schutzwürdigen Interessen der Betroffenen abzuwägen, wobei insbesondere auf die vernünftigen Erwartungen der
betroffenen Personen abzustellen ist.
…die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern
nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener
Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt…
.
Verarbeitung von Klientendaten
Auch hier gelten zunächst die allgemeinen Grundsätze der DS-GVO und des BDSG. Sind diese Daten z. B.
für die finanztechnische Abwicklung mit den Kostenträgern oder z.B. die Abwicklung der angebotenen
Dienstleistungen erforderlich, handelt es sich meist um eine erlaubte Verarbeitung etwa im Rahmen der
Erfüllung oder Anbahnung eines Vertrags, Erfüllung einer rechtlichen Verpflichtung, die keiner besonderen
Einwilligung der betroffenen Personen bedarf. Dazu können auch Informationen über die konkreten
Situationen und Probleme der Betroffenen gehören, wenn das für die zielgerichtete Erfüllung der Aufgaben
des Vereins erforderlich ist.
Hierüber gibt das später folgende sozialrechtliche Dreiecksverhältnis Klarheit:
Update 15.09.22
Wichtig: Für Adressat_Innen ist nicht immer erkennbar, welche der von ihnen erhobenen personenbezogenen
Daten von uns als Mitarbeiter_Innen eines freien Trägers an das Jugendamt übermittelt werden (müssen) und
welche nicht. Mit Einführung der DS-GVO ist jede verantwortliche Stelle gem. Art. 13 DS-GVO verpflichtet, den
betroffenen Personen bei Erhebung personenbezogener Daten umfassende Informationen zur
Verarbeitung ihrer personenbezogenen Daten mitzuteilen.
Die Informationspflicht nach Art. 13 DS-GVO bezieht sich unter anderem auf Angaben zu Empfänger_Innen, denen
personenbezogene Daten übermittelt/weitergegeben werden. Insofern sind den Adressat_Innen entsprechend
Auskünfte zu geben, wann der freie Träger personenbezogene Daten im Rahmen seiner Aufgabenerfüllung -
insbesondere bei der Erfüllung des Schutzauftrages - an das Jugendamt übermitteln muss und aufgrund welcher
Rechtsgrundlage dies geschieht. Der Schutz des Vertrauens ist also für den Kinderschutz von zentraler
Bedeutung. Datenschutz ist auch Kinderschutz
.
Datenschutz bei der Einschaltung freier Träger
Eine Datenübermittlung durch das Jugendamt an freie Träger, andere Fachkräfte oder private Anbieter von
Jugendhilfeleistungen ist mit Einwilligung des Betroffenen oder unter den Voraussetzungen des § 69 Abs. 1 Nr. 1 SGB
X zulässig.
Grundsätzlich ist es so, dass den Einrichtungen und Diensten der Träger der freien Jugendhilfe vom Jugendamt die
zur Wahrnehmung ihrer jeweiligen Aufgabe erforderlichen Daten zugänglich gemacht werden müssen. Dies kann
sich aus einer entsprechenden Vereinbarung mit dem Jugendamt ergeben, soweit eine solche getroffen wurde
Vor dem Hintergrund, dass Jugendhilfeleistungen häufig durch freie Träger erbracht werden, muss auch innerhalb
diese Organisationen sichergestellt sein, dass ein effektiver Datenschutz gewährleistet ist.
Allerdings statuiert § 61 Abs. 3 SGB VIII die Verpflichtung der öffentlichen Träger, die Einhaltung der
Datenschutzbestimmungen bei der Einschaltung freier Träger sicherzustellen. Gesetzlich sind aber weder die Form
noch der Umfang normiert, wie dieses zu geschehen hat. Praktisch kann dies nur durch eine Vereinbarung
mit dem freien Träger erfolgen. Dabei ist aber zu beachten, dass eine pauschale Selbstverpflichtung („Wir beachten
den Datenschutz“) keinesfalls ausreichend sein kann.
Um die Sicherstellung eines umfassenden Datenschutzes gewährleisten zu können, muss das Jugendamt dem
freien Träger eine konkretisierende Auflistung über die einzelnen Datenschutzbestimmungen zugänglich
machen und über Methoden aufklären, wie diese praktisch umzusetzen sind (vgl. auch § 78 Abs. 2 SGB X). Soweit
dieses erfolgt ist, besteht überdies keine generelle Verpflichtung des Jugendamtes auf Überwachung des freien
Trägers auf Einhaltung des Datenschutzes.
Auskunftsrecht Ihrer personenbezogene Daten
Jede betroffene Person hat grundsätzlich das Recht auf Auskunft über die betreffenden personenbezogene Daten
(Art. 15 DS-DVO), auf Berichtigung Art. 16 DS-GVO, Löschung (Art. 17 DS-GVO), auf Einschränkung der Verarbeitung
(Art. 18 DS-GVO), auf Widerspruch (Art. 21 DS-GVO) sowie das Beschwerderecht bei der zuständigen
Datenschutzbehörde (Art. 77 DS-GVO). Dies beinhaltet auch die Informationspflicht bei der Erhebung von
personenbezogenen Daten, Näheres können Sie dem Art. 13 der DS-GVO entnehmen oder eine Vorlage als Beispiel
aus dem Landkreis Diepholz entnehmen, Dienstleistungsbereich Hilfe zur Erziehung.
oder Alternativlink
Besonderheit Löschung nach Aufgabenerfüllung
Nach § 84 SGB X sind die Daten auch dann zu löschen, wenn ihre Erforderlichkeit zur Aufgabenerfüllung
entfallen ist und kein Grund zu der Annahme besteht, dass durch die Löschung schutzwürdiger Interessen des
Betroffenen beeinträchtigt werden. Dieses ist meist dann anzunehmen, wenn die Jugendhilfemaßnahme erbracht
wurde und ein weiterer Vollzug anderer Maßnahmen nicht mehr anzunehmen ist. Gerade für den Bereich der
Jugendhilfeleistung ist eine solche Prognose, dass weitere Maßnahmen auch künftig nicht mehr notwendig sein
werden, oftmals nicht eindeutig.
Betroffenenrechte
1.
Auskunft/ Akteneinsicht
Grundsätzlich haben Sie gem. Art. 15 DS-GVO das Recht, Auskunft bzw. Akteneinsicht über die von uns
verarbeiteten personenbezogenen Daten zu erhalten.
2.
Berichtigung
Sind bei uns gespeicherte personenbezogene Daten unrichtig oder unvollständig, haben Sie gem. Art. 16 DS-GVO
das Recht, diese berichtigen bzw. vervollständigen zu lassen.
3.
Löschung
Der Art. 17 DS-GVO normiert das Recht auf Löschung personenbezogener Daten. Dieses Recht steht Ihnen
insbesondere dann zu, wenn die Speicherung der personenbezogenen Daten zur Erfüllung unserer gesetzlichen
Aufgaben oder uns zugetragenen Aufgabe nicht mehr erforderlich ist oder grundsätzlich Sie im Besonderen
Ihre Einwilligung zur Datenverarbeitung mit Wirkung für die Zukunft widerrufen haben.
4.
Einschränkung der Verarbeitung
Gem. Art. 18 DS-GVO können Sie die Einschränkung der personenbezogenen Daten verlangen, wenn
a.
die Richtigkeit der Daten von Ihnen bestritten wird
b.
die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen
c.
wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen benötigen
d.
oder Sie gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung eingelegt haben
Betroffenenrechte
5.
Widerspruch
Sie können bei Gründen, die sich aus Ihrer besonderen Situation ergeben, ein Widerspruchsrecht geltend
machen. Gem. Art. 21 DS-GVO ist jedoch zu berücksichtigten, ob schutzwürdige Gründe für die Verarbeitung
vorliegen oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
dient.
6.
Datenübertragbarkeit
Ist die Verarbeitung Ihrer Daten mit Hilfe eines automatisierten Verfahrens erfolgt, haben Sie gem. Art. 20 DS-
GVO das Recht, die Daten in einem gängigen und maschinenlesbaren Format zu erhalten.
7.
Widerruf der Einwilligung
Grundsätzlich haben Sie gem. Art. 7 Absatz 3 DS-GVO das Recht, uns erteilte Einwilligungen jederzeit mit
Wirkung für die Zukunft zu widerrufen.
8.
Beschwerde
Art. 77 DS-GVO normiert ein Beschwerderecht bei der Aufsichtsbehörde.
Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen
Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der
Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat. Eine Liste der
Datenschutzbeauftragten sowie deren Kontaktdaten können folgendem Link entnommen
werden: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.
Sozialrechtliches Dreiecksverhältnis
Soziale Organisationen (wie SoFa e.V.) bieten Dienstleistungen an. Sind wir als eingetragener Verein befasst, so
unterliegt die Grundlage unserer Arbeit der in der Vereinssatzung beschriebenem Satzungszweck der Gemein-
nützigkeit. Siehe § 52 AO, gemeinnütziger Zweck In der Regel dient diese Aufgabenerfüllung der Erbringung
von in den SGB´s festgelegten Sozialleistungen. Träger dieser Sozialleistungen sind die im Sozialgesetzbuch I
genannten Leistungsträger, z. B. der Sozial- und Jugendhilfeträger, die gesetzlichen Krankenkassen, die
gesetzliche Rentenversicherung, die Agentur für Arbeit u. a.. Begehrt ein Bürger eine Sozialleistung, so stellt
der zuständige Leistungsträger den Anspruch in der Regel in einem förmlichen Bescheid fest. Es entsteht
ein Sozialleistungsverhältnis, in dem beide Seiten Rechte und Pflichten haben. Der Leistungsbescheid ist ein
hoheitlicher Akt. Handelt es sich bei der begehrten Sozialleistung um eine Dienstleistung (Sachleistung), so
erbringt der Leistungsträger in den meisten Fällen die Sozialleistungen nicht selbst. Er verweist den
anspruchsberechtigten Bürger z. B. auf die Leistungsangebote von sozialen Organisationen der freien
Wohlfahrtspflege. Zur Leistungserbringung schließen sie mit dem anspruchsberechtigten Bürger
privatrechtliche (Dienstleistungs-) Verträge ab. Die Kostenübernahme wird zwischen dem Leistungsträger und
der sozialen Organisation als Leistungserbringerin geregelt (Leistungs- und Versorgungsvertrag). Auch auf
dieser Ebene entsteht ein Rechtsverhältnis. In diesen drei Rechtsverhältnissen ist auch der Datenschutz zu
beachten. Aufgrund des informationellen Selbstbestimmungsrechts bleibt der/die Anspruchsberechtigte weiter
Herr/Frau über seine personenbezogenen Daten. Überwiegend dient dieses sozialrechtliche Dreieck der
Gestaltung der Rechtsbeziehungen bei Leistungserbringung durch soziale Organisationen. Daneben erbringen
soziale Organisationen im Rahmen ihrer satzungsgemäßen Aufgabenerfüllung auch Leistungen in anderen
rechtlichen Konstellationen, Datenschutzfragen sind z.B. auch bei Selbstfinanzierung durch die
Leistungsempfänger nochmals anders zu bewerten.
.
Sozialgeheimnis
nach 35 SGB I
Pseudonymisierung bedeutet nach Art. 4 der DS-GVO, dass die Verarbeitung von personenbezogenen Daten so gestaltet
wird, dass ein Bezug zu einer natürlichen Person nur unter Zuhilfenahme zusätzlicher Informationen möglich ist.
Diese zusätzlichen Informationen müssen gesondert aufbewahrt werden und sind durch technische und
organisatorische Maßnahmen (TOM) vor dem Zugriff Unbefugter zu schützen. Wichtig ist hier also festzuhalten, dass
die Identifizierung einer natürlichen Person durch das Zusammenführen von Daten noch möglich ist. Darum finden
manche Vorschriften der DS-GVO auch weiter Anwendung. Wenn beispielsweise die gesetzliche Aufbewahrungspflicht
ausläuft und andere Aufbewahrungsgründe fehlen, sind auch pseudonymisierte Daten zu löschen.
Eine Pseudonymisierung personenbezogener Daten kann auf drei verschiedene Arten erfolgen:
1.
Zuweisung des Pseudonyms durch die betroffene Person selbst, etwa indem sie unter einem frei gewählten
Usernamen auftritt
2.
Zuweisung des Pseudonyms durch Dritte, etwa einer Zertifizierungsstelle
3.
Zuweisung des Pseudonyms durch den Verantwortlichen, dem die Identität der betroffenen Person bekannt ist,
beispielsweise mit Hilfe von Kundennummern.
Anders als im BDSG (alte Fassung) bedeutet Anonymisierung in der DS-GVO, dass keine Möglichkeit zur Re-Identifikation
des Betroffenen besteht. Eine Einschränkung wie in § 3 Ziff. 6 BDSG a.F. „[…] oder nur mit einem unverhältnismäßig
großen Aufwand an Zeit, Kosten und Arbeitskraft […]“ wird von der DS-GVO nicht vorgenommen. Wenn also eine
Möglichkeit der Zuordnung der Daten zu einer identifizierten oder identifizierbaren natürlichen Person besteht, sind die
Daten keine anonymen Daten. Darum müssen für eine erfolgreiche Anonymisierung alle Informationen, die das möglich
machen würden, gelöscht oder z.B. durch Ziffern o.Ä. ersetzt werden.
Eine Re-Identifizierung findet übrigens auch dann statt, wenn dem Betroffenen nicht der bürgerliche Name zugeordnet
werden kann, aber eine Individualisierung einer Person und Aussagen über ihre persönlichen Verhältnisse anhand
der Daten möglich sind.
Pseudonymisierung / Anonymisierung
Datensicherungsmaßnahmen
nach 35 SGB I
Sozialdatenschutz
in der Jugendhilfe
Verlinkung Paragraphen
§ 35 SGB I
§ 61 SGB VIII
§ 67 SGB X
§ 67 b SGB X
§ 62 SGB VIII
§ 68 SGB X
§ 69 SGB X
§ 71 SGB X
§ 73 SGB X
§ 74 SGB X
§ 74a SGB X
§ 75 SGB X
§ 78 SGB X (Verhältnismäßigkeit)
Schranken
§ 76 SGB X
§ 65 SGB VIII
§ 64 Abs 2, 2a SGB VIII
Sozialrechtliches Dreiecksverhältnis
Soweit die Leistungserbringung aber in dem sozialrechtlichen Dreieck erfolgt, sind die einschlägigen
Sozialgesetzbücher anwendbar. Es gilt dann das Sozialgeheimnis, das in § 35 SGB I niedergelegt ist. Es
bestimmt, dass jeder Mensch Anspruch darauf hat, dass seine Sozialdaten von Leistungsträgern nicht
unbefugt bearbeitet werden.
Leistungsberechtigter (z.B. Eltern)
Kostenträger
(Landkreise Stadtgemeinde)
Leistungserbringende
Einrichtung (SoFa e.V.
als „Dritte“)
(Anspruch im Leistungsverhältnis)
Sozialdatenschutz nach § 35 SGB I
Einbindung in den Sozialdatenschutz
durch Vertrag § 78 SGB X
(Vertrag)
DS-GVO und BDSG
Einwilligung zur Verarbeitung personenbezogener Daten von
Kinder und Jugendlichen
Für die Einwilligung von Kindern und Jugendlichen sind Art. 8 DS-GVO sowie die deutschen Regelungen zur
Einwilligungsfähigkeit zu beachten. Neu ist, dass auch schon Minderjährige ab 16 Jahren in einzelnen
Bereichen in die Verarbeitung ihrer Daten einwilligen können.
Da wir als Träger in unserer Arbeit insbesondere im Bereich Jugend und Kultur von Kostenträgern „aufgefordert“
sind, im Sinne der Offenen Kinder- und Jugendarbeit z.B. Werbung zu machen oder spezielle Bedarfe zu ermitteln,
bedarf ist hierbei immer einer Einverständniserklärung. Die Bedarfserhebung erfolgt grundsätzlich auf der Basis der
Informationsvermittlung, der Freiwilligkeit und wird möglichst anonymisiert erhoben.
Anders im Bereich des Rechts am eigenen Bild. Da es hier um ein höchstpersönliches Recht des/der Min-
derjährigen geht, ist seine/ihre persönliche Einwilligung (bei z.B. facebook) erforderlich, sobald von einer
„natürlichen“ Einsichtsfähigkeit ausgegangen werden kann. Es ist allerdings rechtlich umstritten, ab wann
sicher von einer solchen Einsichtsfähigkeit ausgegangen werden kann, daher benötigen wir als Träger auch die
Einwilligung der Personensorgeberechtigten, die grundsätzlich ohne Nennung von Gründe von allen Parteien
widerrufen werden kann.
Solche Einwilligungen geschehen immer völlig transparent und im persönlichen Dialog mit den Betroffenen.
.
Einwilligung zur Verarbeitung personenbezogener Daten
Eine Einwilligung gilt für uns als der sicherste Weg für eine rechtmäßige Datenverarbeitung. Deshalb ist es für
soziale Organisationen (wie SoFa e.V.) immer sinnvoll, mit Einwilligungen zu arbeiten. Sie wird oft auch als der
Königsweg der rechtmäßigen Datenverarbeitung bezeichnet. Die Einwilligung ist in Art. 4 DS-GVO definiert
Näheres zur Einwilligung regelt Art. 7 DS-GVO. Die Einwilligung sollte schriftlich vorliegen, damit sie als
Nachweis für eine rechtmäßig erfolgte Datenverarbeitung dienen kann. Sie ist jederzeit widerrufbar.
Einwilligung
…Eine Einwilligung des Betroffenen ist jede freiwillig für einen bestimmten Fall, in informierter Weise und
unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen
bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie
betreffenden personenbezogenen Daten einverstanden ist.
Wir haben beim Träger z.B. ein passwortgeschütztes Dokument zur Einwilligungen zu verschiedenen Zwecken
downloadbereit auf unserer Homepage für die unterschiedlichen Dienstleistungsbereiche bereitgestellt. Zudem
haben wir für einen besonderen Zweck eine Einwilligung zur Schweigepflichtentbindung erstellt, die einer
besonderen Sicherung bedürfen bzw. besonders gesichert wird.
.
Verarbeitung von Personaldaten
Auch im Bereich des Schutzes der Beschäftigtendaten gelten die „Grundprinzipien“ des Datenschutzes und die
sonstigen allgemeinen Regeln, die für jedes Rechtsverhältnis gelten. Der Beschäftigtenbegriff im Datenschutz-
recht umfasst neben den Arbeitnehmer/-innen unter anderem auch Freiwillige im FSJ und BFD. Auch auf
Ehrenamtliche sind die Regeln ergänzend anzuwenden. Der neue § 26 BDSG entspricht weitgehend dem
bisherigen Recht. Danach darf der Arbeitgeber z. B. personenbezogene Daten verarbeiten, wenn dies für die
Begründung (Bewerberdaten), die Durchführung oder die Beendigung erforderlich ist. Das gilt auch für die
Verarbeitung personenbezogener Daten durch Arbeitgeber und Betriebsräte bei der Verwirklichung der Rechte
und Pflichten von Interessenvertretungen der Beschäftigten.
Im neuen BDSG wird klargestellt, dass auch sogenannte „Kollektivvereinbarungen“, also Tarifverträge, Betriebs-
oder Dienstvereinbarungen „Rechtsvorschriften“ im Sinne des BDSG sind und demnach geeignete
Rechtsgrundlagen für eine zulässige Datenverarbeitung schaffen können.
Arbeitnehmerdaten können auch besonders zu schützende Kategorien von Daten sein z. B. gesundheitliche
Angaben zu einem/er Arbeitnehmer/-in. So werden in der Personalverwaltung z.B. auch Krankheitszeiten
/Krankmeldung erfasst. Während im Grundsatz bei besonders zu schützenden Kategorien von Daten aufgrund
der strengeren Anforderungen eine Einwilligung der betroffenen Person in die Verarbeitung notwendig ist,
macht § 26 Absatz 3 und 4 BDSG hier eine Ausnahme.
Nach Eingang, Erhalt und Prüfung der in der Verwaltung vom Träger SoFa e.V. eingegangenen Stundenzettel der
Beschäftigten werden für die Überweisung des Gehaltes (Abrechnung der Brutto-I Nettobezüge, DATEV) die
entsprechenden Personaldaten einem beauftragten Steuerbüro als unser Dienstleister zugesendet. Dieser Vorgang ist
im „Verzeichnis von Verarbeitungstätigkeiten“ beschreiben.
Bewerbungsunterlagen
Hinweis Bewerbungen: update am 02.12.2021, Revision 1.4
Sie haben die Möglichkeit, sich über unsere Webseite auf die von uns ausgeschriebenen Stellen zu bewerben. Sie
selbst legen den Umfang der Daten fest, die Sie im Rahmen Ihrer Online-Bewerbung an uns übermitteln wollen. Wir
verarbeiten die Daten, die Sie uns im Rahmen Ihrer Online-Bewerbung preisgeben ausschließlich für den Zweck der
Bewerberauswahl auf Grundlage von § 26 BDSG. Eine Datenverarbeitung zu anderen Zwecken erfolgt nicht. Darüber
hinaus findet eine Weitergabe Ihrer Daten nicht statt. So machen wir es ganz konkret….
Bewerbungen mit den entsprechenden Anlagen, die uns aufgrund einer Bestätigung/Einwilligung auf unser
Bewerbungshomepage online an die Personalverantwortliche Yasemin Kaya von SoFa e.V. zugesendet werden,
werden entsprechend 1x in Papierform ausgedruckt und dem Geschäftsführer von SoFa e.V. vorgelegt. Die als PDF
zugesendeten Unterlagen liegen gesichert auf dem Arbeitsplatz/Terminal von Frau Kaya. Zugang zu den
Bewerbungen können, wenn sich die Bewerbung auf einen bestimmten Dienstleistungsbereich beziehen, von den
entsprechenden Koordinatoren von SoFa e.V. im Büro Achim eingesehen werden. Nach Abschluss des
Bewerbungsverfahren werden die Bewerbungsunterlagen in Papierform spätestens nach 6 Monaten nach
Beendigung des Bewerbungsverfahrens in einer Datenschutztonne entsorgt und entsprechend die Datei (PDF) bei
uns datenschutzkonform vernichtet, es sei denn, es wird mit dem/r Berwerber_In in einem persönlichen Gespräch
etwas anderes vereinbart und schriftlich festgehalten, dies könnte auch die Speicherung ihrer Unterlagen auf ein
gesonderten Bereich auf dem Terminal sein. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“
beschreiben. Für den Fall, dass wir Ihre Bewerbung bei anderen oder zukünftigen Stellenausschreibungen
berücksichtigen dürfen, bitten wir vorab um einen entsprechenden Vermerk auf der Bewerbung. Ebenso,
wenn Sie ein Rücksendung Ihrer postalisch zugesendeten Bewerbungsunterlagen wünschen . Wir
verarbeiten Ihre Daten dann auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.“
Speicherung von personenbezogener Daten
Gemäß Art. 5 (1) DS-GVO dürfen personenbezogene Daten nur solange gespeichert werden, wie es für den Verar-
beitungszweck erforderlich ist. Wenn personenbezogene Daten für den Zweck, für die sie verarbeitet werden, nicht
mehr erforderlich sind, sind diese Daten zu löschen. Der Auftragsveranwortliche ist außerdem dafür verantwortlich,
dass ein etwaiger Auftragsverarbeiter (bei SoFa e.V. google-analytics für die Homepage von SoFa e.V., JotForm bei
Beschwerden und Feedback und surveymonkey bei Abfragen, Steuerbüro für die Personalabrechnung) diese
Bestimmungen einhält. Die Speicherung ist als Vorgang im „Verzeichnis von Verarbeitungstätigkeiten“ beschreiben.
Versendung mit der Post
Im Bereich der Hilfen zur Erziehung müssen u.a. Berichte von den eingesetzten KollegInnen an die zuständigen
Casemanager versendet werden (sozialrechtliches Dreiecksverhältnis). Dies darf nicht durch den Emailaustausch des/r
eingesetzten KollegInnen zur örtlich und sachlich zuständigen CasemanagerIn geschehen, wenn das Dokument
(Hilfebericht) in der Anlage unverschlüsselt ist. Hier gilt, wenn keine anderen verbindlichen Absprachen mit dem
Kostenträger getroffen sind, grundsätzlich die Versendung mit der Post. Verschlüsselter Berichte (Stadtgemeinde
Bremen) können in Absprache mit den Familien an die örtlich und sachlich zuständigen CasemanagerIn verschickt
werden, wobei zuerst das entsprechende Passwort zum Öffnen des Dokumentes verschickt, danach als zweiter Schritt
erfolgt erst die Versendung des verschlüsselten Dokumentes durch die zuständigen KollegIn, die im Fall eingesetzt
sind. Führt dabei die Post eine ausschließliche Beförderungsleistung durch, ist kein rechtliches Erfordernis zum
Abschluss einer Verarbeitung über eine Auftragsverarbeitung nach Art. 28 DS-DVO gegeben. Die Verantwortung einer
Datenverarbeitung geht vielmehr auf die Post über und die Post wird damit selbst datenschutzrechtlicher
Verantwortlicher der Datenverarbeiter. Als solcher unterliegt die Post den jeweils geltenden Datenschutzbe-
stimmungen.
Verarbeitung von freiwilligen Personaldaten
Möglich ist die Verarbeitung darüberhinausgehender besonders schützenswerter Daten und sonstiger
personenbezogener Daten, wenn eine freiwillige, schriftliche Einwilligung vorliegt, die den in § 26 Abs. 2 BDSG
formulierten Anforderungen entspricht: „Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten
auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung
insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die
Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.
Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher
Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die
Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen
ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr
Widerrufsrecht nach Art. 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.“
In der Praxis kann dies z. B. im Kontext der Durchführung des betrieblichen Eingliederungsmanagements oder
bei der Gestattung privater Nutzung von dienstlichen Fahrzeugen, Telefonen, EDV-Geräten erforderlich sein. Die
Arbeitnehmer/-innen haben Anspruch auf Auskunft über die gespeicherten Daten. Der Arbeitgeber hat
außerdem über den Zweck der Datenverarbeitung und die jederzeitige Widerrufsmöglichkeit zu informieren
Verzeichnis von Verarbeitungstätigkeiten
Wir müssen als gemeinnütziger Verein unabhängig von der Zahl ihrer Beschäftigten ein Verzeichnis der
Verarbeitungstätigkeiten aufstellen,
•
wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen und die
Verarbeitung nicht nur gelegentlich erfolgt oder
•
wenn es um besonders geschützte Kategorien von Daten geht (Art. 9 Absatz 1 bzw. Art. 10 DS-GVO).
Da in jedem Verein (auch beim Träger SoFa e.V.) die Erfassung und Verarbeitung personenbezogener Daten nicht
gelegentlich erfolgt, ist bereits aus diesem Grund in der Regel in jeder Organisation ein Verzeichnis aller
Verarbeitungstätigkeiten zu führen.
Artikel 30 DS-GVO und § 70 BDSG geben über den Inhalt und den Anforderungen an dieses Verzeichnis Auskunft.
Dabei ist zu beachten, dass die Dokumentationspflicht und somit auch das Verzeichnis der Verarbeitungstätigkeit mit
der Datenschutz-Grundverordnung ein Überprüfungsschwerpunkt der Aufsichtsbehörde sein wird. Führt ein
Unternehmen kein Verzeichnis von Verarbeitungstätigkeiten und/oder stellt dieses der Behörde nicht vollständig bereit,
droht nach Art. 83 Abs. 4 a EU-DSGVO ein Bußgeld.
Unser Verzeichnis beinhaltet u.a. alle Dienstleistungsbereiche vom Träger SoFa e.V.
•
Schulsozialarbeit
•
Berufsorientierende Maßnahmen
•
Hilfen zur Erziehung, eingesetzte 8a Fachkräfte unterteilt in Niedersachsen und Bremen
•
Hilfen nach dem Jugendgerichtsgesetz
•
Jugend und Kultur (Freizeiteinrichtungen)
•
Wiedereingliederung
•
Umgang in den Regionalteams mit einer kollegialen Beratung etc.
Berechtigungsmanagement
Bei der Sicherheit der Verarbeitung von personenbezogenen Daten geht es nicht nur darum, böswillige Attacken von
außen abzuwehren, sondern auch Risiken mit Sicherheitsmaßnahmen zu begegnen und zu minimieren, die sich aus
dem normalen Arbeitsalltag ergeben.
Art. 32 Abs. 4 DS-GVO erwähnt daher explizit, dass die eigenen internen Abläufe im Unternehmen / Verein so organisiert
sein müssen, dass es auch dort nicht zu Sicherheitsverletzungen kommt.
Daher ist es unsere internen Abläufe von großer Wichtigkeit, wer auf welche Daten für welchen Zweck in den jeweiligen
Systemen zugreifen darf und kann. Daraus ergibt sich unsere klar benannte Pflicht, dies immer zu berücksichtigen, also
unser Selbstverständnis jedes einzelnen Mitarbeiter im Umgang mit dem Datenschutz.
Daher ist es immer wichtig, die Prozesse auf den Prüfstand zu stellen, um etwaige Risikoquellen zu erkennen und zu
beheben.
Da der Träger SoFa e.V. verbindliche Strukturen im Rahmen seines zertifizierten Qualitätsmanagemtsystems (QMS) hat,
können / werden sogenannte Datenschutz - Folgeabschätzungen vorgenommen, die nach dem Prinzip Plan -Do - Check
- Act erfolgen.
Datenschutz - Folgeabschätzung
Unser Aufgabe bei SoFa e.V. ist, den Datenschutzes gemäß DS-GVO umzusetzen, daher haben wir ein
Datenschutzmanagementsystems aufgebaut, was in der Vorgehensweise dem gleicht, was sich in unserem QMS
etabliert hat, nämlich unter den gegebene Ressourcen die Prozesse nach dem PDCA-Zyklus zu betrachten, zu betreiben
und daraus Verbesserungen abzuleiten. PDCA steht für:
•
Plan – Risikoorientierte Planung bezüglich Art und Zweck der Verarbeitung der personenbezogenen Daten.
Identifizierung und Bewertung der Risiken für die persönlichen Rechte und Freiheiten.
•
Do – Umsetzung von geeigneten technischen und organisatorischen Maßnahmen. Nachweis der Verarbeitung
gemäß der DS-GVO.
•
Check – Regelmäßige Überwachung der umgesetzten Maßnahmen.
•
Act – Aktualisierung ggf. Ergänzung der Maßnahmen.
Die Datenschutz-Folgenabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen
Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG). Verlinkte gesetzliche Vorgabe ist veraltet
Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die
Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen
oder seines Verhaltens zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren
innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung
eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Genau wie die Vorabkontrolle dient die Datenschutz-
Folgenabschätzung also der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und
Freiheiten der Betroffenen.
Nach Art. 35 Abs. 1 DS-GVO ist eine DSFA grundsätzlich immer dann durchzuführen…bitte Art. 35 Abs. 1 DS-GVO
drücken
Datenschutzpanne Folgeprozess
Grundregeln am Arbeitsplatz
1. Akten landen im Papierkorb
Im digitalen Zeitalter wird häufig vergessen, dass auch Druckerzeugnisse personenbezogene Daten enthalten können.
Gedruckte Dokumente und Datenträger, die im Papierkorb landen, sind vor unberechtigten Zugriffen nicht geschützt.
Akten müssen ordnungsgemäß vernichtet werden (zum Beispiel Schreddern).
Unser „Schreddergut“ wird gesammelt, eingelagert und entsprechend der Einhaltung gesetzlicher Vorschriften
grundsätzlich an einem externen Dienstleister abgegeben, der die die Aktenvernichtung in z.B. Datenschutztonnen
übernimmt. Daten, die nicht ausgedruckt sind und ihren Zweck Datenspeicherung auf entsprechender Hardware erfüllt
haben, müssen nach Löschung und dem „Eingang“ in den virtuelle Papierkorb von den KollegInnen mit einem Programm
datenschutzkonform gelöscht werden. Hierbei gibt es eine Vielzahl an freien Hilfsprogrammen z.B. CC-Cleaner, dies gibt
es auch für mobile Einheiten (Beachtung der Zugriffsrechte bei der Installation für Smartphones, Tablets etc.)
--Aufbewahrungsfristen für Akten ist gesondert beschrieben--
2. Private Geräte am Arbeitsplatz
USB-Sticks, externe Festplatten und CD-ROM sind beliebt, um private Angelegenheiten am Arbeitsplatz zu erledigen oder
Unterlagen mit nach Hause zu nehmen, um nach der Arbeit noch daran weiterzuarbeiten bzw. von Zuhause aus zu
arbeiten. Hier lauert Gefahr! Die Geräte können mit Schadsoftware infiziert sein, die sich im Betriebssystem ausbreitet
und eine Gefahr für Daten darstellt. Die Nutzung von WHATSAPP mit Klienten oder der Kontakt zu Kindern und
Jugendlichen mit seinem eigenen Smartphone ist bei SoFa e.V. verboten. Dies beinhaltet auch WHATSAPP auf
dem Diensthandy! Kontaktaufnahme (auch keine namentlichen Aufnahme von Familiennamen /-daten über
gespeicherte Kontaktdaten) übers Handy zu Klienten per sms werden niemals namentlich, sondern in
pseudonymisierter Form vorgenommen. Die Vorgehensweise kann mit der Familie besprochen werden.
Handygebrauch: Hierbei gelten für unsere TOM (technisch-organisatorische Maßnahmen) folgende gesetzliche
Grundlagen -- Art. 32 DS-GVO und § 64 BDSG--
Grundregeln am Arbeitsplatz
3. Firmengeräte werden für private Zwecke genutzt
Homeoffice und unterwegs arbeiten sind weit verbreitet. Häufig werden die zur Verfügung gestellten Arbeitsmittel
(Laptops, Tablets, Smartphones) auch für private Zwecke genutzt. Dadurch können unbefugte Dritte, insbesondere bei
Verlust oder Diebstahl, leicht Einblick in vertrauliche Unterlagen erhalten. Festplatten und USB-Sticks sollten deshalb
unbedingt verschlüsselt und die Nutzung des öffentlichen WLAN verboten werden. Keine Verschlüsselung wäre ein
klarer Verstoß gegen die neuen Datenschutzbestimmung
Das Bundesamt für Sicherheit und Informationstechnik empfiehlt folgende Software zur Verschlüsselung von
Datenträgern veracrypt
4. Nutzung des privaten E-Mail-Accounts
Mitarbeiter nutzen private E-Mail-Adressen zum Versenden von betrieblichen Dokumenten mit vertraulichen,
personenbezogenen Daten. Gründe: Bequemlichkeit, Unerfahrenheit mit E-Mail-Programmen des Unternehmens,
Nutzung der Dokumente für private Zwecke. Dabei nutzen sie häufig unsichere Transfermethoden. Leider wissen das
auch viele Hacker, die immer auf der Suche nach Möglichkeiten sind, vertrauliche Daten zu stehlen. Die Nutzung privater
E-Mail-Accounts für betriebliche Zwecke ist beim Träger SoFa e.V. untersagt.
5. Mein Passwort für alles: hallo123
Mitarbeiten, die personenbezogene Daten verarbeiten, sollten für jede Anwendung eigene Accounts eingerichtet
werden. Account-Sharing ist ein No-Go! Die Accounts sind allerdings sinnlos, wenn sie nicht durch sichere Passwörter
geschützt sind. Aus Bequemlichkeit werden gern einfache Passwörter genutzt und am liebsten immer das gleiche. Ein
fataler Datenschutz-Fehler! Ist ein Passwort einmal geknackt, besteht so die Möglichkeit auf alle Nutzer-Accounts
zuzugreifen und somit Zugang zu vertraulichen Daten zu erlangen. Unsere KollegInnen nutzen daher möglichst lange
Passwörter möglichst 8 Zeichen mit der Kombination aus Zeichen und Zahlen z.B. SdJ2018imPs.
Grundregeln am Arbeitsplatz
6. Büroräume
Büroräume bieten einige Gefahren für Datenschutzverstöße. Insbesondere wenn betriebsfremde Personen in Büroräume
gelassen werden und ohne Begleitung umherspazieren können. Ein offenes Büro, ein vergessenes Dokument auf dem
Drucker können fatale Folgen für den Datenschutz von Klienten, Kunden und Mitarbeitern haben. Der Zugang zu den
Büroräumen sollte Betriebsfremden nur für Betriebszwecke gestattet sein und das auch nur unter Aufsicht. KollegInnen
dürfen sich nicht ungefragt an einen fremden unbesetzten Arbeitsplatz setzen, an dem mit sensiblen Daten gearbeitet
wird. (Diskretionsanordnung)
7. Zu viel Auskunft am Telefon
Zur Vermeidung ist es unerlässlich, unseren KollegInnen schon im Voraus gründlich darin einzuweisen, welche Auskünfte
gemacht werden dürfen und welche nicht. Grundsatz: Eher weniger Infos gegenüber Dritten, Aktenzeichen anfordern
8. Chaos am Arbeitsplatz
Vertrauliche Briefe, Verträge, Notizen mit Passwörtern, USB-Sticks und das alles auf einem Haufen. Wenn dann auch noch
andere Personen diesen Haufen sehen kann, ist das Datenschutz-Chaos perfekt. Hilfreich ist die Clean-Desk-Policy, die
vorsieht, dass bei Verlassen des Arbeitsplatzes keine Unterlagen mit vertraulichen Dokumenten zurückgelassen werden
dürfen. Computer müssen gesperrt werden oder der Raum beim Verlassen abgeschlossen sein.
9. Der PC als Müllhalde
Einer der Grundsätze des Datenschutzrechts ist die Speicherbegrenzung. Daten sollen nur solange gespeichert werden,
wie es für den Zweck der Verarbeitung erforderlich ist. Bestes Beispiel ist auch das überquellende E-Mail-Postfach. Dieses
sollte regelmäßig geleert werden. Dokumente mit personenbezogenen Daten, die auf der Festplatte gespeichert sind, aber
nicht benötigt werden, müssen in den Papierkorb verschoben werden. Achtung: Aufbewahrungsfristen beachten!
10. Datenpannen verschweigen
Wir sensibilisieren unsere MitarbeiterInnen für den Datenschutz, verdeutlichen dessen Bedeutung und gehen
selbst mit gutem Beispiel voran. Schulungen und ständige Thematisierung des
Datenschutzes werden von uns durchgeführt.
Arbeitsplatzumfeld Terminal
Ab Oktober 2020 werden nun schrittweise die Arbeitsbereiche vom Träger SoFa e.V. auf den eigenen Terminal migriert.
Das heißt, dass das Arbeitsumfeld z.B. der Kolleg_Innen, die auf den Terminal migriert (“umgezogen”) sind,
nicht mehr auf dem heimischen Arbeitsplatz stattfindet, sondern auf dem eigenen Bereich des Terminals. Dies geschieht
durch das Aufspielen eines Client, der z.B. den heimischen / privaten / anderweitigen Arbeitsplatz mit dem Terminal
verbindet. Die Anmeldung erfolgt durch eine 2-Faktor-Authentifizierung, entsprechend muss jetzt diese
Arbeitsumgebung genutzt werden, entsprechend wird das Abspeichern von personenbezogene Daten (auch als
Backups, Kopien etc.) auf einem gesicherten Ordner außerhalb der Terminalumgebung nicht mehr gestattet sein.
(virtuelle Aktenführung) Daher entfallen einige Punkte der Grundregeln am Arbeitsplatz!
Update 30.08.21 Mit dem neuen Dokument 8_Erklärung Datengeheimnis SoFa Mitarbeiter_In verpflichten sich die
Kolleg_Innen zur Einhaltung de Datenschutzes, die Teil der Personalakte sind. Mit diesem Dokument werden die anderen
älteren Datenschutzvereinbarungen obsolet und ersetzt.
WICHTIG: Kolleg_Innen, die ihre Arbeit in der Terminalumgebung beenden bzw. sich länger vom Arbeitsplatz
entfernen, müssen nach dem Verlassen vom PC-Arbeitsplatz sich aus dem System ordnungsgemäß abmelden!
Inhaltlich zur Umstellung auf dem Arbeitsplatz Terminal gibt die Mail vom 15.02.21
Personenbezogene Daten, also alle Informationen, die sich auf einen benannten oder identifizierbaren Menschen
beziehen, dürfen nicht unbefugt erhoben, genutzt, weitergegeben der sonst verarbeitet werden. Die Kolleg_Innen
verpflichten sich, personenbezogene Daten vertraulich zu behandeln und ausschließlich auf Weisung des Arbeitgebers
und/oder nach klarer Aufgabenbeschreibung zu verarbeiten.
Verstöße gegen die Vertraulichkeitsverpflichtung können nach Art. 83 der DS-GVO, §§ 42 und 43 des
Bundesdatenschutzgesetzes (BDSG) und anderen Gesetzen geahndet werden. Eine
Verletzung der Verpflichtungserklärung kann zugleich eine Verletzung arbeitsvertraglicher Pflichten oder spezieller
Geheimhaltungspflichten darstellen und entsprechende arbeitsrechtliche Schritte auslösen.
Mail vom 15.02.21 Terminal
Liebe Kolleg_Innen,
wir als Träger haben, um den neuen gestiegenen Anforderungen in der Digitalisierung und des Datenschutzes auch für die Zukunft gerecht
werden zu können, einen Terminal nebst der notwendigen Technik eingekauft. Terminal bedeutet, dass jede/r Kolleg_In grundsätzlich von
seinem Arbeitsplatz aus Zugriff auf seinen speziellen Arbeitsbereich erhält. Auf diesem Terminal werden entsprechend eurer Einsatzgebiete
/ Orte individuelle Berechtigungen / Gruppenzugriffsberechtigungen erstellt. Z.B. habt ihr u.a. einen gesicherten Zugriff auf eure
Einzelfallhilfe, in denen eine vorgegebene und übersichtliche Ordnerstruktur nebst allen internen und externen Dokumente (z.B. interne
Berichtsbögen ohne die Passworteingabe etc.) vorliegt. Auf dem Terminal sind alle notwendigen Softwarepakete (Betriebssystem Windows
10, Word, Exel, Powerpoint etc.) aufgespielt, die ihr unabhängig vom PC immer in der aktuellsten Version zur Verfügung habt.
Die Anmeldung auf den Terminal wird so ablaufen, dass auf euren Arbeitsplatz eine kleine Software aufgespielt wird, die eine
Kommunikation zwischen euren Arbeitsplatz und dem Terminal ermöglicht. Um diesen Anmeldeprozess (ähnlich wie beim Onlinebanking)
mit einem weiteren Gerät (z.B. Smartphone) abzusichern, wird eine sogenannte 2 Faktor-Authentifizierung nötig. Dies geschieht durch ein
APP. Der Anmeldeprozess ist kinderleicht. Eurer individuelles Passwort wird am Arbeitsplatz eingegeben, auf Verbindung (mit dem Terminal)
gedrückt und über die APP gibt es eine Anmeldenachricht, die ihr nur bestätigen müsst. Viola, dann seht ihr euren individuellen
Arbeitsplatz! Ihr werdet aber noch alle in dieses Prozedere durch interne Inhouseseminare eingeführt werden, auch in die “neue”
Arbeitsweise.
Wichtig ist hierbei, dass ihr so zeitnah wie möglich zuallererst das in der Anlage vorliegende Dokument komplett ausfüllt. Die PDF könnt ihr
per Mail (an holger.nanz@sofa-ev.de<mailto:holger.nanz@sofa-ev.de>) verschicken oder ausgefüllt mit eurer Stundenabrechnung bei uns
abgeben. Es ist ganz wichtig, dass das umgehend geschieht!
Ihr fragt euch bestimmt, warum ihr z.B. euren eigenen Laptop / PC angeben müsst. Ihr könnt von Zuhause aus zu jeder Zeit an euren
Berichten arbeiten, wenn die oben beschriebene Einrichtung der Kommunikation vom euren Standort zum Terminal vollzogen wurde. Alle
Daten (z.B Berichte, Listen etc.) werden auf dem Terminal abgespeichert und sind entsprechend abgesichert. Gleiches gilt für eure
Stundenabrechnungen, die könnt ihr nun bequem von Zuhause aus ausfüllen. Ihre arbeitet zwar an einem Computer, jedoch in Wirklichkeit
auf dem Terminal. Wird die Verbindung zum Terminal von euch manuell abgebrochen, so kehrt ihr dann auf die private Arbeitsfläche
zurück. So wird eine Trennung von privat und dienstlich vollzogen. Geht euer PC kaputt oder z.B. wird der Laptop geklaut, so
sind all eure Berichte nicht verloren, die sind auf dem Terminal gesichert.
Aufbewahrungsfristen für Akten
Vorab ist immer zu klären, was in eine Akte gehört.
Grob kann die Akte in ein Hilfeakte und in eine Leistungsakte unterschieden werden und sollte so aus dem
Gesichtspunkt des Datenschutzes in der Aktenführung getrennt sein. Grundsätzlich sind, was den Akteninhalt betrifft, nur
Informationen und Material aufzunehmen, die für die Erbringung der Leistung unbedingt notwendig sind.
Ein Fall ist -gleichgültig nach welchem System eine Akte geführt wird- so aussagekräftig zu dokumentieren, dass die
Fachkraft oder ihre Vertretung den aktuellen Sachstand vor Augen hat oder nachvollziehen kann.
Nach Hilfeabschluss und der Erstellung und Versendung eines Abschlussberichtes des/der KollegIn an den Kostenträger /
fallführenden zuständigen CasemanagerIn entfällt grundsätzlich die Zweckbindung inhaltlicher Art.
Alle Aufzeichnungen der KollegInnen, die für die Erstellung von Berichten nötig waren, sind unmittelbar nach Ende der
Maßnahme mit den Betroffenen durchzugehen, entsprechend wird geprüft, welche Aufzeichnungen ggf. ausgehändigt
und welche so aufbewahrt werden, dass nur Berechtigte Zugang dazu haben. Zudem müssen nicht mehr benötigte Daten
/ Aufzeichnungen gelöscht werden. Für die Leistungsakte (z.B. Kostenzusicherung) gilt, dass z.B. nach der
Abgabenordnung / des Handelsgesetzbuches im Sinne von Buchungsunterlagen die Zehn-Jahres-Frist einzuhalten ist.
Besonderheiten: Für Bremen sind für eventuelle Nachprüfungen alle Originalunterlagen des Verwendungsnachweises
über den gewährten Zuschuss aus Mitteln der Freien Hansestadt 5 Jahre aufzubewahren (Infoschreiben vom 06.04.2019)
Mail LK VER vom 26.09.21: “Fallakte” muss im Grunde mit Erhalt des Einstellungsbescheid vernichtet werden.
Für die Hilfeakte bzw. ergänzende Aufzeichnungen wird zurzeit Folgendes empfohlen, da Fristen unbestimmt sind.
Alle in Papierform vorliegenden Unterlagen der falldurchführenden KollegInnen werden nach Fallende und der
Versendung des Abschlussberichtes in die Verwaltung von SoFa e.V. gebracht, die dort für “etwaige Rückfragen” 6 Monate
zugriffssicher eingelagert werden. Entsprechend werden diese Unterlagen nach Ablauf datenschutzkonform entsorgt.
-- Dies ist eine unverbindliche Empfehlung, dies kann durch entsprechende Vereinbarungen mit den Kostenträgern
regional unterschiedlich gehandhabt werden--
Interner Umgang mit Covid 19
Wie schon unter “Aktuelles” beschrieben
(http://shared.xara.com/6q6NHpYPGG/#xl_xr_page_umgang%20mit%20covid%2019%20-%201
gibt es datenschutzrechtliche Besonderheit im Umgang mit Covid 19.
Es muss u.a eine Checkliste über Teilnehmer_Innen eines Angebotes geführt werden, um bei eventuellen Neuinfektionen
von Besucher_Innen nachweisen zu können, an welchem Angebot der/die Infizierte teilgenommen hat und mit welchem
Personen er/sie in Kontakt war. Wir sind als Träger für diese Datenerhebung verpflichtet. Die Datenerhebung erfolgt daher
auf der Grundlage des Art. 6 Absatz 1 S. 1 lit.c, Abs. 3 der DS-GVO
Diese Checkliste muss für jedes einzelne stattfindende Angebot geführt werden und unter datenschutzrechtlichen
Bedingungen gesichert sein. Gesichert heißt, die Listen müssen in einem abschließbaren Schrank, wenn möglich, in dem
Büro der Einrichtung aufbewahrt werden. Die Listen dürfen nicht öffentlich einsehbar sein.
Nach 21 Tagen müssen die Listen entweder in unserer Datenschutztonne entsorgt oder mittels den in den Einrichtungen
vorhandenen P-4 Aktenschreddern vernichtet werden, damit entfällt der Zweck der Speicherung.
Ein/e Besucher_In oder die Erziehungsberechtigten kann nicht nach Teilnahme eines Angebotes darauf drängen, dass der
Name in der Liste vor Ablauf der 21 Tagefrist gelöscht wird.
Besucher_Innen oder die Erziehungsberechtigten der Besucher_Innen, die keine Datenerfassung z.B. durch das interne
Dokument 7_Checkliste TN wollen, dürften folgerichtig nicht am Angebot teilnehmen bzw. die Einrichtung als
“Nichterfasste_r” besuchen. WICHTIG:UPDATE 20.04.22 Das Dokument 7_ Checkliste zur Kontaktrückverfolgung
wird nicht mehr geführt, entsprechend die geführten Listen datenschutzkonform vernichtet
Für die Datenerfassung im Umgang mit Covid 19 mittels der internen Dokumente wird keine Einwilligung benötigt.
Wichtig ist jedoch, dass den Besucher_Innen und/oder Erziehungsberechtigten der Sinn und Zweck der Erhebung
personenbezogener Daten erklärt wird, wir den Grundsätzen der Vertraulichkeit und Transparenz nachkommen.
Verpflichtungserklärung MA Covid 19
UPDATE 25.11.21 Rücknahme eines internen Dokumentes
--Präzisierung durch Erlasse--, Hinweis Mail Hygienebeauftragte vom 25.11.21
Entsprechendes Dokument ist nicht mehr zum Download bereitgestellt.
Laut aktuellem Beschluss und Gesetzesgrundlage, tritt die 3G-Regel am Arbeitsplatz am 24.11.21 in Kraft. Die Regelungen
sollen bundesweit bis zum 19.03.2022 gelten. UPDATE: 20.04.22 Es gibt keine 3G-Regel am Arbeitsplatz mehr!
Nach dem neuen § 28 b Absatz 1 Infektionsschutzgesetz müssten wir als Arbeitgeber_in eine 3G-Regelung bei uns im
Verein einführen, wenn ein physischer Kontakt zwischen Arbeitgeber_In und Beschäftigten, den Betriebsangehörigen
untereinander sowie zu anderen Personen nicht ausgeschlossen werden kann.
Aus diesem Anlass sind wir als Arbeitgeber_In verantwortlich für die Überprüfung der 3G-Nachweise vor dem Betreten
der Arbeitsstätte. Wir können aber unter Beachtung der Anforderungen an den Beschäftigungsdatenschutz die Kontrolle
auch an geeignete Beschäftigte oder Dritte delegieren.
Wenn wir als Arbeitgeber_In den Impf- oder Genesenennachweis kontrollieren und diese Kontrolle dokumentiert haben,
können Beschäftigte mit gültigem Impf- oder Genesenennachweis anschließend grundsätzlich von den täglichen
Zugangskontrollen ausgenommen werden. Bei geimpften und genesenen Personen muss das Vorhandensein eines
gültigen Nachweises nur einmal erfasst und dokumentiert werden. Bei Genesenen ist in diesem Fall zusätzlich das
Enddatum des Genesenen-Status zu dokumentieren.
UPDATE 20.04.22, Widerruf das Maßnahme zum 25.04.22
Das nachfolgende Dokument 8_Verpflichtungserklärung Impfstatus Hygiene_Coronavirus SARS-CoV-2 Einhaltung
von 3G am Arbeitsplatz wurde am 20.04.22 irrtümlicherweise aus dem System entnommen, jedoch am 25.04.
aufgrund der Niedersächsischen Absonderungsverordnung reaktiviert. Grund Lohnfortzahlung --
Verdienstausfalls …..ohne Auffrischungsimpfung entfällt ab dem 25.04.22
Daher verbliebt das ausgefüllte Dokument + Kopie Impfausweis noch beim Träger.
Videochat
Wie schon unter “Aktuelles” beschrieben
müssen wir auch im Videochat (z.B. Teamsitzungen) den Datenschutz berücksichtigen. In der Vielzahl von Diensten und
Anbietern gilt es immer zu berücksichtigen, das ein Dienst in Anspruch genommen wird, der die Grundsätze der DS-GVO
berücksichtigt. Manche Dienste sind sehr anwenderfreundlich, jedoch kann dabei nicht bei allen Anbietern gewährleistet
werden, dass die DSGVO eingehalten wird. Dies ist häufig bei Diensten zu beobachten, die ihre Server außerhalb der EU
verortet haben. UPDATE 10.02.22: Wir empfehlen und raten daher den Dienst von Jitsi Meeit/EU zu nutzen.
IONOS kann für interne Besprechungen bis zu 5 Personen genutzt werden.
Hier der Link zum Anbieter mit all seinen Beschreibungen zur Nutzung des Dienstes.
https://www.ionos.de/office-loesungen/video-chat
Im Zuge der Bereitstellung und der Migration aller Dienstmailadressen wird dann der Videodienst von Microsoft Teams
präferiert, die Nutzung wird dann über den internen Emailverteiler angekündigt. Dieser Dienst darf jedoch schon als
Alternative genutzt werden.
Update 03.02.22: Der Videodienst Jitsi darf als Alternative genutzt werden. Einen Vertrag zur Auftragsverarbeitung
müssen wir nicht abschließen, denn Jitsi Meet ist ein frei nutzbarer Dienst, der keine Daten erhebt und verarbeitet. Wir
geben daher keine Daten an Dritte weiter.
https://shared.xara.com/6q6NHpYPGG/#xl_xr_page_umgang%20mit%20covid%2
019%20-Aktualisiert-a
Datenschutztonne
Wir haben mit dem Dienstleister documentus einen Datenträgervernichtungsvertrag gemäß der DS-GVO und unter
Berücksichtigung der DIN 66399 geschlossen. Documentus ist ein Auftragsverarbeiter gemäß Art. 32 DS-GVO.
Im Vertrag sind alle relevanten Maßnahmen für die Sicherheit der Verarbeitung präzise und umfassend beschrieben.
Folgende Unterlagen werden beim Träger SoFa e.V. mittels einer Datenschutztonne verarbeitet /entsorgt.
•
veraltete Mitarbeiter / Personaldaten aus der Personalverwaltung
•
Adressdaten, bei denen die Zweckbindung und die Erforderlichkeit entfallen ist
•
Bewerberdaten
•
Dienstbeurteilungen / Zeugnisse / Mitarbeiterbewertungen
•
Gesundheitsdaten (Krankmeldungen)
•
Entsorgung von Fallbögen, Hilfeplänen, Berichten, Handlungsplänen, Aufzeichnungen, Kostenzusicherungen aus dem
Bereich des SGB VIII, wenn die Zweckbindung, Erforderlichkeit und die gesetzlichen Aufbewahrungsfristen entfallen;
dies betrifft auch die KollegInnen der eingesetzten insofern erfahrenen Fachkräfte (8a Schutzfachkräfte)
•
Entsorgung von eigenen Akten, Aufzeichnungen etc. u.a im Kontext von Beratungen im Bereich der Schulsozialarbeit
bei ausscheidenden KollegInnen, sofern keine Einwilligung für eine Weiterverarbeitung von den
Erziehungsberechtigten, in Einzelfällen auch der SchülerInnen gegeben wurde bzw. vorliegt. Dieser Grundsatz ist
auch bei wechselnden KollegInnen zu beachten!
•
Im Bereich JGG, hier Ambulant sozialpädagogische Maßnahmen für junge Straffällige im Landkreis Verden--mit den
entsprechenden Aufzeichnungen, Weisungen, Urteilen etc., wenn die Zweckbindung, Erforderlichkeit und die
gesetzlichen Aufbewahrungsfristen entfallen
•
der Bereich der Wiedereingliederung, hier im Besonderen 45 a SGB XI für alle Aufzeichnungen etc. mit dem Wegfall
der Zweckbindung.
Grundsätzliches Einwilligung/Schweigepflicht
Voraussetzung für eine wirksame Einwilligung
1)
Die Datenübermittlung ist zur Erfüllung der Aufgabe erforderlich.
2)
Die Einwilligung wird als vorangegangene Zustimmung eingeholt
3)
Es erfolgt eine ausführliche, objektive Aufklärung der betroffenen Personen in einer verständlichen, klaren,
einfachen Sprache über die Erforderlichkeit und den Zweck.
4)
Die Einwilligung bezeichnet in verständlicher Form die Art der Information, die Stelle/Person und denn Zweck
der Datenübermittlung.
5)
Die Einwilligung bezieht sich auf den konkreten Einzelfall, daher keine pauschalen Einwilligung.
6)
Es wird klargestellt, ob beide Seiten wechselseitig von der --hier Schweigepflicht-- entbunden werden.
7)
Die betroffene Person trifft ihre freie Entscheidung (für/gegen die Einwilligung) nach dem Abwägen des Für und
Wider bei einer sachlichen Beurteilung der in Betracht kommenden Aspekte.
Grundsätzliches Einwilligung/Schweigepflicht
Voraussetzung für eine wirksame Einwilligung
8)
Die Einwilligung erfolgt schriftlich (Ausnahmen möglich)
9)
Wir die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt (--hier Einwilligung und(oder
Schweigepflichtentbindung), ist sie in ihrem äußeren Erscheinungsbild deutlich hervorzuheben, dies geschieht deutlich
in der Kopfzeile des entsprechenden Dokumentes.
10)
Die Einwilligung ist durch die betroffene Person eigenständig durch Namenszug zu unterschreiben.
11)
Die Einwilligung verliert ihre Gültigkeit, wenn sie von der betroffenen Person widerrufen wird oder ihr Anlass
wegfällt.
12)
Es erfolgt eine Belehrung über die jederzeitige Widerrufsmöglichkeit.
13)
Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein.
Entsprechende Einwilligungen und Schweigepflichtentbindungen stehen den Kolleg_Innen auf unserer Homepage
passwortgeschützt bzw. auf dem Terminal ohne Passworteingabe zur Verfügung. Hierbei gibt es unterschiedliche
Vorgabedokumente in der Schweigepflichtentbindung in den Dienstleistungsbereichen Hilfe zur Erziehung und der
Schulsozialarbeit, zudem Einwilligungen allgemein und eine Einwilligung nur für Ferienfahrten / Unternehmungen.
Verlinkung
Paragraphen
Verschlüsselung Emails
In der Terminalumgebung ist grundsätzlich im Outlook über eine gesteuerte Lizenzverwaltung folgendes Add-in
NoSpamProxy zugewiesenen Kolleg_Innen verfügbar. Über NoSpamProxy können Emails mit folgenden Möglichkeiten
verschlüsselt werden, in denen vertrauliche Daten (z.B. im Dienstleistungsbereich HzE) verschickt werden können.
•
Es können Email “automatisch”
•
Emails mit einigen Voreinstellungen verschlüsselt
•
oder Emails über eine PDF Mail verschlüsselt werden
Dabei werden folgende Techniken eingesetzt.
S/MIME-Signatur und Verschlüsselung S/MIME ist ein empfohlener und international vereinbarter Standard zur
elektronischen Signatur und Verschlüsselung von E-Mails. Dabei handelt es sich um ein asymmetrisches
Verschlüsselungsverfahren mit öffentlichen und privaten Schlüsseln. Um S/MIME nutzen zu können, müssen Sender
und Empfänger über ein Zertifikat verfügen. NoSpamProxy bietet dabei die volle Unterstützung der jeweils neuesten im
Standard veröffentlichten Verschlüsselungsverfahren. Ältere Verfahren werden zur Wahrung der Kompatibilität ebenso
unterstützt.
PGP Mail: Pretty Good Privacy Mit der Unterstützung von PGP-Verschlüsselung bietet NoSpamProxy eine weitere
Möglichkeit zum datenschutzkonformen Austausch von verschlüsselten Daten und Nachrichten.
PDF Mail: Für den häufigen Fall, dass Empfänger_Innen keinen PGP-Schlüssel oder kein persönliches Zertifikat haben,
bietet NoSpamProxy mit der PDF-Mail-Funktion einen zusätzlichen Weg für den sicheren Versand von E-Mails und
Dokumenten, der keine Anforderungen an den/r Empfänger_In stellt. Dazu wandelt NoSpamProxy die E-Mail mit allen
Anhängen automatisch in ein passwortgeschütztes PDF-Dokument um. Das Passwort kann dem/r Empfänger_In z.B. per
weitere Mail oder SMS zugesandt werden. Alternativ kann der/die Empfänger_In über die Anmeldung im NoSpamProxy-
Webportal ein eigenes Passwort vergeben. Zum Öffnen des Dokuments wird dann lediglich ein PDF-Reader
(z.B. Adobe) benötigt.
E-Mail-Signaturen / Versendung
Obwohl der Hinweis in der Fußzeile / Signatur einer Nachricht, dass diese vertraulich und bei Fehlversendung zu löschen
sei, bei der richtigen E-Mail Kommunikation nicht im Sinne der DS-GVO ist, möchten wir trotzdem darum bitten, folgenden
Passus in die Signaturen eurer E-Mail zu schreiben.
“ Diese Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten.
Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese Mail. Anhänge, die dieser Mail beigefügt wurden, dürfen dabei nicht geöffnet werden.
Das unerlaubte Kopieren, Abspeichern und Verschicken fremder E-Mailanlagen sowie die unbefugte Weitergabe des
Inhaltes dieser E-Mail ist nicht gestattet.”
Verändert umgehend daher eure E-Mailsignaturen …..
Weiter Infos zur E-Mailversendung
Wenn du eine E-Mail verschicken möchtest und die E-Mail-Adressen der Empfänger in das An-Feld schreibst, sind die E-
Mail-Adressen aller Empfänger für alle Beteiligten sichtbar, dies nicht empfehlenswert.
Stattdessen bietet es sich oftmals an, eine so genannte Blindkopie zu versenden.
Wenn du die E-Mail an alle Adressaten als Blindkopie verschickt hast, können die Empfänger dieser Blindkopie nicht
herausfinden, an wen die E-Mail versendet wurde. Alle E-Mail-Adressen, die du ins Bcc-Feld eingetragen hast, können von
den Empfängern nicht eingesehen werden, dies macht Sinn, wenn E-Mails außerhalb unseres kollegialen Austausches
auch an andere Personen verschickt werden sollen. Um eine E-Mail als Blindkopie zu verschicken, schreibe die E-Mail-
Adressen der Empfänger nicht in das An- oder Cc-Feld, sondern in das Bcc-Feld.
Das Bcc-Feld liegt bei outlock unter dem Cc-Feld.
Bcc ist übrigens eine Abkürzung des englischen Wortes Blind Carbon Copy und heißt auf Deutsch Blindkopie.
Generell kannst du die Empfänger einer E-Mail in die drei Felder An, Cc und Bcc eintragen.
E-Mail-Signaturen / Terminalumgebung
Nach der vollständigen Datenmigration aller Kolleg_Innen auf unsere Terminalumgebung und der geschützten
Emailkorrespondenz wird folgende Signatur für alle Kolleg_Innen verpflichtend, entsprechend die alte durch die neue
Signatur ersetzt. (Update 09.01.23. Der Hyperlink zu den Details der Datenschutzerklärung musste entfernt werden.
Pflichtinformationen gemäß Artikel 13 DSGVO Im Falle des Erstkontakts sind wir gemäß Art. 12, 13 DSGVO verpflichtet, Ihnen folgende datenschutzrechtliche Pflichtinformationen
zur Verfügung zu stellen: Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre personenbezogenen Daten nur, soweit an der Verarbeitung ein berechtigtes Interesse besteht
(Art. 6 Abs. 1 lit. f DSGVO), Sie in die Datenverarbeitung eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO), die Verarbeitung für die Anbahnung, Begründung, inhaltliche Ausgestaltung
oder Änderung eines Rechtsverhältnisses zwischen Ihnen und uns erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO) oder eine sonstige Rechtsnorm die Verarbeitung gestattet. Ihre
personenbezogenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung
entfällt (z. B. nach abgeschlossener Bearbeitung Ihres Anliegens). Zwingende gesetzliche Bestimmungen – insbesondere steuer- und handelsrechtliche Aufbewahrungsfristen –
bleiben unberührt. Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Ihnen
steht außerdem ein Recht auf Widerspruch, auf Datenübertragbarkeit und ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Ferner können Sie die Berichtigung, die
Löschung und unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen. Details entnehmen Sie unserer
Datenschutzerklärung. Unseren Datenschutzbeauftragten erreichen Sie unter holger.nanz@sofa-ev.de.
Weiter Infos zur E-Mailversendung
Wenn du eine E-Mail verschicken möchtest und die E-Mail-Adressen der Empfänger in das An-Feld schreibst, sind die E-
Mail-Adressen aller Empfänger für alle Beteiligten sichtbar, dies nicht empfehlenswert.
Stattdessen bietet es sich oftmals an, eine so genannte Blindkopie zu versenden.
Wenn du die E-Mail an alle Adressaten als Blindkopie verschickt hast, können die Empfänger dieser Blindkopie nicht
herausfinden, an wen die E-Mail versendet wurde. Alle E-Mail-Adressen, die du ins Bcc-Feld eingetragen hast, können von
den Empfängern nicht eingesehen werden, dies macht Sinn, wenn E-Mails außerhalb unseres kollegialen Austausches
auch an andere Personen verschickt werden sollen. Um eine E-Mail als Blindkopie zu verschicken, schreibe die E-Mail-
Adressen der Empfänger nicht in das An- oder Cc-Feld, sondern in das Bcc-Feld.
Das Bcc-Feld liegt bei outlock unter dem Cc-Feld.
Bcc ist übrigens eine Abkürzung des englischen Wortes Blind Carbon Copy und heißt auf Deutsch Blindkopie.
Generell kannst du die Empfänger einer E-Mail in die drei Felder An, Cc und Bcc eintragen.
Nutzung Messengerdienst Hoccer
Für den berufliche Kommunikationsaustausch von KollegIn zu KlientInnen oder im beruflichen Kontext des Trägers SoFa
e.V. kann der Messengerdienst Hoccer verwendet werden. Wenn der Kontakt von einem SoFa-MitarbeiterIn zum KlientIn
mittels generiertem Code per SMS, E-Mail und/oder QR-Code hergestellt wird, besteht der Kontakt nur zwischen den
Empfänger und Adressaten und kann nicht von anderen eingesehen werden. (ENDE zu ENDE Verschlüsselung)
Unbedingt vor Nutzung mit Klienten absprechen
Eine Einwilligung z.B. der KlientInnen erfolgt über die Annahme des zugesandten Codes des Admin, die Kommunikation
untereinander wird hergestellt. Vorab wird dies in der Ausübung der entsprechenden Dienstleistungsbereich mit dem
KlientInnen vom ausübenden KollegInnen besprochen. Grundsätzlich werden nur Termine abgesprochen; inhaltliche
Bereiche, wie z. B. sensible personenbezogene Daten, Krankheiten, inhaltliche Beschreibung und sensible inhaltsbezogene
Sachlagen aus einem HzE Fall sollen nicht über den Messengerdienst übermittelt werden.
Nach Beendigung eines Falles oder bei einem Wechsel (Fallübernahme durch KollegIn) werden die Kontaktdaten gelöscht.
Ein MitarbeiterInnen von SoFa e.V., der/die beruflich innerhalb des Dienstleistungsbereiches wechselt bzw. auch
ausscheidet, muss aus dem internen Gruppenchat sofort von Admin gelöscht werden. Admin ist der- oder diejenige,
der/die die Gruppe erstellt hat. Sollte der Admin ausscheiden, dann löscht er/sie sich selbst und ein anderer Admin
übernimmt die Aufgabe (Admin-Wechsel).
Umgang mit Userdaten
Wenn Hoccer genutzt wird, werden verschiedene Daten untereinander übermittelt. Alle Daten, die Hoccer dabei einsehen
könnte. Die IP-Adresse des mit Hoccer verbundenen Gerätes (ausschließlich bei Nutzung des Services) oder die IP-Adresse
des Routers, im Falle der Nutzung eines NAT Netzwerks. Dies ist in der Regel der Fall, wenn das Endgerät mit einem WLAN
Netz verbunden ist. Die IP-Adresse deines Kommunikationspartners, wenn dieser online ist. Eine zufallsgenerierte
Nummer, die eine Client-ID darstellt usw. Die Dienst Hoccer hat seinen Hauptsitz und seine Server in Deutschland.
Datenschutzbestimmung Hoccer. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Nutzung Messengerdienst Signal
Für den berufliche Kommunikationsaustausch von KollegIn zu KlientInnen oder im beruflichen Kontext des Trägers SoFa
e.V. kann der Messengerdienst Signal verwendet werden. Der Kontakt von einem SoFa-MitarbeiterIn zum KlientIn wird
über die Handynummer / Telefonnummer hergestellt. Der Kontakt zwischen den Empfänger und Adressaten kann nicht
von anderen eingesehen werden. (ENDE zu ENDE Verschlüsselung)
Unbedingt vor Nutzung mit Klienten absprechen
Eine Einwilligung z.B. der KlientInnen erfolgt über die zwanglose Annahme im Austausch des Kommunikationsweges.
Vorab wird dies in der Ausübung der entsprechenden Dienstleistungsbereich mit dem KlientInnen vom ausübenden
KollegInnen besprochen. Grundsätzlich werden nur Termine abgesprochen; inhaltliche Bereiche, wie z. B. sensible
personenbezogene Daten, Krankheiten, inhaltliche Beschreibung und sensible inhaltsbezogene Sachlagen aus einem HzE
Fall sollen nicht über den Messengerdienst übermittelt werden.
Nach Beendigung eines Falles oder bei einem Wechsel (Fallübernahme durch KollegIn) werden die Kontaktdaten gelöscht.
Ein MitarbeiterInnen von SoFa e.V., der/die beruflich innerhalb des Dienstleistungsbereiches wechselt bzw. auch
ausscheidet, muss aus dem internen Gruppenchat gelöscht werden.
Umgang mit Userdaten
Wenn Signal genutzt wird, werden verschiedene Daten untereinander übermittelt. Alle Daten, die Signal dabei einsehen
könnte. Die IP-Adresse des mit Signal verbundenen Gerätes (ausschließlich bei Nutzung des Services) oder die IP-Adresse
des Routers, im Falle der Nutzung eines NAT Netzwerks. Dies ist in der Regel der Fall, wenn das Endgerät mit einem WLAN
Netz verbunden ist. Die IP-Adresse deines Kommunikationspartners, wenn dieser online ist. . Die Dienst Signal hat seinen
Hauptsitz und seine Server in den USA, untersteht jedoch dem EU-Datenschutzbestimmungen (EU-US-privacy shield).
Datenschutzbestimmung bzw. hier die terms & privacy Policy Signal. Dieser Vorgang ist im „Verzeichnis von
Verarbeitungstätigkeiten“ beschrieben.
Übersicht Cookies
Über den Anbieter cookiebot scannen wir 1x im Monat unsere Homepage und erhalten einen ausführlichen Bericht aller
Cookies. Aufgrund dieses Scans haben wir unseren Cookiebanner auf die entsprechenden Cookietypen angepasst, die sie
ablehnen oder bestätigen können.
Cookies sind kleine Textdateien, die von Webseiten verwendet werden, um die Benutzererfahrung effizienter zu gestalten.
Laut Gesetz können wir Cookies auf Ihrem Gerät speichern, wenn diese für den Betrieb dieser Seite unbedingt notwendig
sind. Für alle anderen Cookie-Typen benötigen wir Ihre Erlaubnis.
Diese Seite verwendet unterschiedliche Cookie-Typen. Einige Cookies werden von Drittparteien platziert, die auf unseren
Seiten erscheinen. Sie können über unseren neuen Cookiebanner jederzeit Cookies an- oder ablehnen.
Es gibt folgende Cookietypen:
Präferenz-Cookies ermöglichen einer Webseite sich an Informationen zu erinnern, die die Art beeinflussen, wie sich eine
Webseite verhält oder aussieht, wie z. B. Ihre bevorzugte Sprache oder die Region in der Sie sich befinden.
Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen
anonym gesammelt und gemeldet werden.
Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die
relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende
Drittparteien sind.
Nicht klassifizierte Cookies sind Cookies, die wir gerade versuchen zu klassifizieren, zusammen mit Anbietern von
individuellen Cookies.
Hier beispielhaft ein Scanbericht unserer Homepage vom Dezember 2023 --bitte anklicken--
Surfen im Internet ohne Cookies
Durch das freiwillige Installieren des Addon “Ghostery” in dem genutzten Browser können sie sehen, welche Cookies die
jeweiligen von ihnen besuchten Seiten / Homepages nutzen. Diese werden von ghostery automatisch blockiert und
können eingesehen werden. Die Nutzung des Addons ist nur eine Empfehlung zur Unterbindung von Werbecookies und
es liegt ganz bei ihnen, dieses Addon bei sich auf ihren Browser zu installieren oder eben auch nicht.
Unsere Homepage nutzt ein individuelles Tool zur Unterbindung von Cookies und kann von ihnen individuell angepasst
werden.
Kurz zu Ghostery, Quelle Wikipedia:
Ghostery ist eine Software, die den Anwender beim Surfen auf versteckte Dienste hinweist, die im Hintergrund private
Daten an Seitenbetreiber übermitteln, und diese auf Wunsch blockiert. Das Programm ist als Software-Erweiterung für die
Webbrowser Firefox, Safari, Chrome, Opera, Edge und Internet Explorer verfügbar sowie als eigenständige Webbrowser-
App für Android und Apple IOS
Dienste von Dritten google-Dienst
Das Analysetool erfasst auf unserer Homepage seit dem 18.12.23 keine Daten. Durch die komplett neue Version
GA 4 ist die Konfiguration nun deutlich komplexer geworden, weswegen wir im System google analytics manuell
abgestellt haben. Unsere Homepage SoFa e.V. nutzt google-analytics.
Google-analytics ist erlaubt, wenn nach der DS-VGO folgende Voraussetzungen erfüllt sind, die wir als Träger zum
25.05.2018 umgesetzt haben:
•
Abschließen eines A(D)V-Vertrag mit google
o
(entsprechender Vertrag ist zum Sitz nach Irland von uns verschickt worden
•
IP-Anonymisierung aktiviert (nicht umfassend beschrieben)
o
Unser ID-Trackingcode unserer Homepage wurde abgerufen und
o
ein bereitgestellter HTML-Quellcode mit Javascript vor unserem google-analytics Tracking Code platziert.
•
In unseren Datenschutzbestimmungen können Sie der Datenerfassung widersprechen (wurde farblich
hervorgehoben)
•
Setzen eines Opt-out
•
In unserem Cookiebanner der SoFa-Homepage können Sie jederzeit und ganz individuell google-analytics an- oder
ablehnen
•
Mehr Informationen von google unter diesem Link
Unsere anderen mit der Haupthomepage von SoFa e.V. verknüpften Internetseiten über den Anbieter Jimdo
sofafreizeitseite, sofaabewerbung, JuLe und weitere nutzen auch google-analytics, entsprechend deren
Datenschutzbestimmungen können sie die Erfassung von Nutzerdaten widersprechen.
Dienste von Dritten JotForm, Beschwerde
Für unseres Beschwerdemanagement und Feedback nutzen wir den Anbieter JotForm.
Wir haben mit JotForm einen Datenverarbeitungs-Addendums (DPAs) abgeschlossen. Die Datenschutzvereinbarungen
von JotForm bieten Vertragsbedingungen an, die den DS-GVO-Anforderungen erfüllen.
Auszug JotForm:
Wir als JotForm respektieren Ihre Daten und Ihre Privatsphäre sehr. Als der europäische Gerichtshof das EU-US Safe
harbor agreement für ungültig erklärt hat, haben wir mit unseren EU Safe Forms geantwortet. EU Safe Forms bietet Ihren
Daten eine sichere Lokation auf unseren exklusiv für diesen Zweck bereitgestellten Servern in Deutschland.
Beschwerde:
Über das Kontaktformular „Beschwerde“ nehmen Sie Kontakt zum Qualitätsbeauftragten (QB) von SoFa e.V., Holger Nanz
auf. Ihre Versendung Ihrer Beschwerde wird bei Eingang über seine Mailadresse umgehend durch den QB beantwortet
(Direkter Beschwerdevorgang). Sie erhalten einen Auszug Ihrer Eingaben. Die Mail und der Eingang im System des
Anbieters JotForm werden umgehend gelöscht. Der Auszug der Beschwerde wird intern bei uns als Vorgang
passwortgeschützt gespeichert (Beendigung der Beschwerde im indirekten Beschwerdevorgang) und über einen
Maßnahmeplan in unserem Qualitätsmanagementsystem gesteuert und bearbeitet. Sie können jederzeit Einblick (Kopie
des schriftlichen Einganges) über die relevante Eingangsbearbeitung erhalten, wenn es einem zwingenden Grund dafür
gibt und durch Sie eingefordert wird. Zudem können Sie Ihre Beschwerde im internen Bearbeitungssystem durch Holger
Nanz als Qualitätsbeauftragten löschen lassen. Eine Zusammenfassung aller Eingänge ist ohne Angaben
personenbezogener Daten über das Infografikportal infogr.am aufgeführt, grafisch aufbereitet und nur über ein Passwort
für den QB einsehbar. Der Vorgang “Beschwerde” ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten JotForm, Feedback
Für unseres Beschwerdemanagement und Feedback nutzen wir den Anbieter JotForm.
Wir haben mit JotForm einen Datenverarbeitungs-Addendums (DPAs) abgeschlossen. Die Datenschutzvereinbarungen von
JotForm bieten Vertragsbedingungen an, die den DS-GVO-Anforderungen erfüllen.
Auszug JotForm:
Wir als JotForm respektieren Ihre Daten und Ihre Privatsphäre sehr. Als der europäische Gerichtshof das EU-US Safe
Harbor agreement für ungültig erklärt hat, haben wir mit unseren EU Safe Forms geantwortet. EU Safe Forms bietet Ihren
Daten eine sichere Lokation auf unseren exklusiv für diesen Zweck bereitgestellten Servern in Deutschland.
Feedback:
Über das erweiterte Kontaktformular „Feedback“ nehmen Sie Kontakt zum Qualitätsbeauftragten von SoFa e.V., Holger
Nanz auf. Ihre Versendung wird nach Eingang über meine Mailadresse umgehend durch mich beantwortet. Sie erhalten
einen Auszug Ihrer Eingaben. Die Mail und der Eingang im System des Anbieters JotForm werden umgehend gelöscht. Ihr
Eingang wird in unser internes System passwortgeschützt abgespeichert , als Vorgang bearbeitet und über einen
Maßnahmeplan in unserem Qualitätsmanagementsystem gesteuert. Sie können jederzeit Einblick (Kopie des schriftlichen
Einganges) über die relevante Eingangsbearbeitung erhalten, wenn es zwingende Gründe dafür gibt und Sie es
einfordern. Zudem können Sie Ihr Feedback im System durch Holger Nanz als Qualitätsbeauftragten löschen lassen. Eine
Zusammenfassung aller Eingänge ist ohne Angaben personenbezogener Daten über das Infografikportal infogr.am
aufgeführt, grafisch aufbereitet und nur über ein Passwort für den QB einsehbar. Dieser Vorgang ist im „Verzeichnis von
Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten, Infogram
Über den Dienst von infogr.am werden alle statistischen Daten ohne direktem Personenbezug aller Einrichtungen
eingepflegt. Es werden Daten erhoben, die auch von den statistischen Landesämtern eingefordert werden. Unsere
Eingaben werden durch zwei passwortgeschützte interne Dokumente erhoben. Diese Daten dienen dazu, unsere interne
Audits durchzuführen. Diese intern anonymisierte Statistiken, die durch den QB ausgewertet werden, dienen uns für die
für die hier beschriebenen Zwecke i.S.d. Art. 6 Abs 1. lit.f DS-GVO.
Jede Einrichtung hat einen individuellen passwortgeschützen Zugang zu diesen allgemeinen Daten.
Diese Daten sind u.a. Besucherzahlen allgemein, die unterteilt werden in verschiedene Alterssegmente (unter 10 Jahre
etc.) und den vier sogenannte „Produktgruppen“ wie z.B. die Offene Tür zugeordnet sind.
Das Einpflegen der gesammelter Datensätze findet 1x im Jahr durch den QB statt; die Zusammenfassung aller
Einrichtungen sind über unsere Homepage https://infogram.com/regionaler-vergleich-2015-und-2016-1g4qpzly7kwo21y
für alle Nutzer unserer Homepage einsehbar. Lediglich beim Besuch werden Daten gespeichert, nämlich:
•
Gesamtansicht pro Tag und Monat
•
Geographischer Standort Deutschland und andere
•
Empfehlungen www.sofa-ev.de, sofa-ev.de und andere
•
und sind nicht mit google-analytivs verknüpft.
Alle oben aufgeführt Daten werden grafisch aufbereitet und sind nur über ein Passwort für den QB einsehbar.
Manche Grafiken können aus dem System heraus als jpeg oder png durch den QB isoliert werden. Diese Grafiken dienen
für die Jahresberichte der Einrichtungen. Dieser Vorgang ist im „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben.
Dienste von Dritten surveymonkey, jetzt Momentive
Über den Dienst von surveymonkey werden Daten, die in Abfragen aufgrund einer Freiwilligkeit gesammelt werden,
erhoben und gesammelt.
Wir machen als Träger solche Abfragen, da diese von den Kostenträgern zunehmend eingefordert werden. Solche Daten
können als Datenreport zusammengefasst und Vertretern der Kostenträgern präsentiert werden.
Abfragen sind:
•
Freiwillige Bewertung von Inhouseseminaren durch die KollegInnen ) über Kollektor „berufliche Emailadresse der
TeilnehmerInnen“
•
Bewertungen von externen Seminaren über Kollektor „berufliche Emailadresse der TeilnehmerInnen“
•
interne freiwillige Personalabfragen (nach vorherigem dezidiertem schriftlichen Bezug durch den QB) über Kollektor
„berufliche Emailadresse der TeilnehmerInnen“
•
Freiwillige Abfrage der BesucherInnen der Jugendhäuser (ohne Nennung der Namen etc. durch einen erstellten
Feedbackbogen mit dem Kollektor QR-Code.
Alle Abfragen werden durch den QB vom Träger SoFa e.V. geschlossen und können zusammengefasst ohne Namen
statistisch und grafisch aus dem System durch besondere Eingangsdaten (durch den QB) abgerufen werden.
Die Nutzungsbestimmungen sind die Datenschutzrichtlinien von survemonkey sind im Oktober 2022 angepasst worden.
UPDATE:
Zudem sind die Sicherheitsrichtlinen bei dem Dienst surveymonkey seit Anfang Oktober 2022 wesentlich verbessert
worden. Für unsere Abfragen bedeutet das eine ergänzende Schutzabfrage. Surveymonkey erkennt vorab, wenn ein
anderer nicht registrierter Computer (wir haben 2 PC autorisiert) den Login-Zugang mittels Passwort als Nutzer dieses
Dienst anfordert, Dieser Zugriff erfordert vorab die Eingabe eines zusätzlichen Sicherheitscodes, der einer von uns
hinterlegten Emailadresse zugesendet wird. Dieser muss nun eingegeben werden, um überhaupt im Anmeldesystem
weiter zu kommen.
Dienste von Dritten Prezi
Über den Dienst von Prezi sind Präsentationen durch den Träger SoFa e.V. erstellt worden, die einerseits
passwortgeschützt den KollgInnen zur Verfügung gestellt werden und andererseits das Organigramm von SoFa e.V.
So sehen die erfassten Daten aus (interne Inhousseminaren)
Das sind die Nutzungsbestimmungen von Prezi.
Dienste von Dritten Dropbox
Über den Dienst von Dropbox sind unsere auf der Homepage zum Download bereitgestellten Dokumente, Flyer und
weitere Unterlagen wie z.B. Broschüren sicher über eine https-Verbindung untergebracht und abrufbar. Dieser Schritt
wurde notwendig, da unsere verknüpften und passwortgeschützten Dokumente mit einer fremden Werbung unterlegt
worden sind, soll heißen, beim Abruf eines Dokumentes wurde ein anderes Fenster mit fremden Werbung vorgeschaltet.
Mit Dropbox können unsere internen Dokumente nun besser gelenkt und besser mit Zugriffsrechten versehen werden.
Alle Dokumente als passwortgeschützte PDF enthalten keine mit personenbezogene Daten beschriebene Felder, unsere
Dokumente werden durch die entsprechenden KollegInnen heruntergeladen und mit einem PDF-Programm geöffnet.
Hierbei muss erneut ein Passwort (265-bit Verschlüsselung) eingegeben werden.
Das sind die Datenschutzbestimmungen von Dropbox
Datenschutz / Schutzauftrag bei Kindeswohlgefährdung
Grundsätzlich bei Fragen von gewichtigen Anhaltspunkten im Rahmen des Schutzauftrages oder welche bestimmten
Risikoschwellen als Eingangsvoraussetzungen für das 8a (intern/extern) Verfahren durch insoweit erfahrene Fachkräfte
erfüllt sein müssen, sind zu diesen fachlichen Fragen auch Fragen des Datenschutzes, die mit geltendem Recht zu lösen
sind, zu klären. Soweit dem Träger bzw. den von Ihnen beschäftigten Fachkräften zur Sicherstellung dieses Schutzauftrags
Informationen bekannt werden oder ermittelt werden müssen und die Weitergabe dieser Informationen zur
Sicherstellung des Schutzauftrages erforderlich ist, besteht keine die Wahrnehmung dieser Aufgabe einschränkenden
datenschutzrechtlichen Vorbehalte.
Insofern gilt der Grundsatz, dass Sozialdaten zu dem Zweck übermittelt oder genutzt werden dürfen, zu dem sie
erhoben worden sind. Danach ist die Weitergabe anvertrauter Daten an die Fachkräfte, die zum Zweck der Abschätzung
des Gefährdungsrisikos nach § 8a SBG VIII hinzugezogen werden zulässig.
Handelt es sich hierbei allerdings um hinzugezogene externe Fachkräfte, müssen die Daten vor Weitergabe / Übermittlung
an die Fachkräfte anonymisiert oder pseudonymisiert werden.
Grundsätzlich gilt der Grundsatz, dass die Informationsweitergabe an das Jugendamt immer im Wissen (d.h. nicht immer
mit Einverständnis) der Betroffenen erfolgt.
AUSNAHME: Dies gilt nicht, soweit der wirksame Schutz des Kindes oder Jugendlichen gem. § 8a SGB VIII dadurch in Frage
gestellt würde. Hinweis auf § 4 KKG (3) Scheidet eine Abwendung der Gefährdung nach Absatz 1 aus oder ist ein
Vorgehen nach Absatz 1 erfolglos und halten die in Absatz 1 genannten Personen ein Tätigwerden des Jugendamtes für
erforderlich, um eine Gefährdung des Wohls eines Kindes oder eines Jugendlichen abzuwenden, so sind sie befugt, das
Jugendamt zu informieren; hierauf sind die Betroffenen vorab hinzuweisen, es sei denn, dass damit der wirksame Schutz
des Kindes oder des Jugendlichen in Frage gestellt wird. Zu diesem Zweck sind die Personen nach Satz 1 befugt, dem
Jugendamt die erforderlichen Daten mitzuteilen
Infos Schutzauftrag bei Kindeswohlgefährdung
Wenn eine/r Mitarbeiter_In bei uns gewichtige Anhaltspunkte für eine Kindeswohlgefährdung bekannt geworden sind,
ist es zulässig und gefordert:
• Daten zum Ziel der Gefährdungsabschätzung mit Kolleg_Innen bzw. einer unseren insoweit erfahrenen Fachkraft, die
derselben Einrichtung angehören, zu verwenden.
• Daten zum Ziel der Gefährdungsabschätzung an eine insoweit erfahrene Fachkraft, die der eigene Einrichtung nicht
angehört, zu übermitteln. Die Daten und Namen sollen vorrangig anonymisiert (unkenntlich gemacht) oder zumindest
pseudonymisiert (geändert) werden.
• Daten gegenüber den Personensorge- oder Erziehungsberechtigten bzw. dem Kind/Jugendlichen zum Zweck der
gemeinsamen Abschätzung des Gefährdungsrisikos zu offenbaren.
• Daten an das Jugendamt zu übermitteln, wenn die Abschätzung des Gefährdungsrisikos ergeben hat, dass die eigene
Hilfe und ggf. weitere bisher in Anspruch genommene Hilfen nicht ausreichen, die Gefährdung abzuwenden.
Weitere Infos Schutzauftrag bei Kindeswohlgefährdung
Soweit dem Träger bzw. den von ihm beschäftigten Fachkräften zur Sicherstellung dieses Schutzauftrags
Informationen bekannt werden oder von ihm ermittelt werden müssen und die Weitergabe dieser Informationen
zur Sicherstellung des Schutzauftrags erforderlich ist, bestehen keine die Wahrnehmung dieser Aufgabe
einschränkenden datenschutzrechtlichen Vorbehalte.
Insofern gilt der Grundsatz, dass Sozialdaten zu dem Zweck übermittelt oder genutzt werden dürfen, zu dem sie
erhoben worden sind (§ 64 Abs. 1 SGB VIII, § 69 Abs. 1 Nr. 1 und 2 SGB X). Bei anvertrauten Daten sind die
Regelungen des § 65 Abs. 1 Nr. 4 SGB VIII zu beachten.
Die für eine 2 Gefährdungseinschätzung notwendigen Informationen sind gemäß § 64 Absatz 2a SGB VIII
ausschließlich in pseudonymisierter Form an die insoweit erfahrene Fachkraft zu übermitteln. Der Träger der
Einrichtung hat den Schutz der Sozialdaten des Kindes und seiner Personensorge- bzw. Erziehungsberechtigten in
der den §§ 61 bis 65 SGB VIII entsprechenden Weise zu gewährleisten.
Link zu den entsprechenden Paragrafen
https://www.gesetze-im-internet.de/sgb_8/__64.html
https://www.gesetze-im-internet.de/sgb_8/__61.html
https://www.gesetze-im-internet.de/sgb_8/__62.html
https://www.gesetze-im-internet.de/sgb_8/__63.html
https://www.gesetze-im-internet.de/sgb_8/__65.html
https://www.gesetze-im-internet.de/sgb_10/__69.html
Link zu entsprechenden Paragrafen SGB 8
Link zum entsprechenden Paragrafen SGB 10
Geheimnisträger i.S.d. § 203 StGB / § 4 Abs.1 KKG
GeheimnisträgerIn erster Linie sind hier die sog. Geheimnisträger i.S.d. § 203 StGB zu nennen, die sich, aufgrund Ihrer
Stellung und des daraus begründeten Vertrauensverhältnisses, besondere Verschwiegenheitsverpflichtungen ausgesetzt
sehen. Sowohl das SGB VIII aber auch diverse Spezialgesetze, wie z.B.: das Gesetz zur Kooperation im Kinderschutz (KKG)
enthalten explizite Regelungen, wann und in welchem Umfang Kindeswohlgefährdungen von Geheimnisträgern an das
zuständige Jugendamt gemeldet werden dürfen. Diese gelten als sog. gesetzliche Erlaubnistatbestände, die zum einen
eine datenschutzrechtliche Erlaubnisnorm bilden und zum anderen eine strafrechtlich relevante Handlung i.S.d. § 203
StGB ausschließen. Eine solche Spezialnorm für Geheimnisträger findet sich in § 4 Abs. 3 KKG.
Danach sind Geheimnisträger
•
Ärzte,
•
Angehörige anderer Heilberufe,
•
Berufspsychologinnen oder -psychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung,
•
Ehe-, Familien-, Erziehungs- oder Jugendberaterinnen oder -beratern sowie
•
Beraterinnen oder Beratern für Suchtfragen in einer Beratungsstelle, Mitgliedern oder Beauftragten einer anerkannten
Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,
•
staatlich anerkannten Sozialarbeiterinnen oder -arbeitern oder staatlich anerkannten Sozialpädagoginnen
oder -pädagogen oder
•
Lehrerinnen oder Lehrern
verpflichtet, soweit ihnen im Rahmen ihrer beruflichen Tätigkeit gewichtige Anhaltspunkte für die Gefährdung des Wohls
eines Kindes oder eines Jugendlichen bekannt werden, zunächst mit dem Kind oder Jugendlichen und den
Personensorgeberechtigten die Situation zu erörtern und, soweit erforderlich, bei den Personensorgeberechtigten auf die
Inanspruchnahme von Hilfen hinzuwirken (soweit hierdurch der wirksame Schutz des Kindes oder des Jugendlichen nicht
in Frage gestellt wird, § 4 Abs. 1 KKG).
Geheimnisträger i.S.d. § 203 StGB / § 4 Abs.1 KKG
Bei der Beurteilung des Vorliegens einer Kindeswohlgefährdung haben die Geheimnisträger einen Anspruch auf Beratung
durch den Träger der öffentlichen Jugendhilfe (Jugendamt), § 4 Abs. 2 KKG.
Voraussetzung für eine Einschaltung des Jugendamtes ist also:
•
Bestehende Anhaltspunkte für eine Gefährdung des Kindeswohls
•
Feststellung einer Kindeswohlgefährdung ggf. mit Hilfe von Beratung durch das Jugendamt (pseudonymisierte
Falldarstellung)
•
Erörterung der Situation mit den Sorgeberechtigten (soweit nicht kontraproduktiv)
•
Versuch der Gefährdungsabwendung in Interaktion mit den Betroffenen
•
Scheitern/Erfolglosigkeit vorrangiger Maßnahmen
•
Interessenabwägung
•
Vorherige Information der Erziehungsberechtigten (nicht Einwilligung!)
Die konkrete Handlungsmöglichkeit steht jedoch stets im Ermessen des Geheimnisträgers.