Artikel 4 EU-DSGVO ergänzend zu §§ 67 Buchstabe a-d SGB X
Artikel 6 Absatz 2 und 3 EU-DSGVO in Verbindung mit § 35 SGB I
Artikel 9 EU-DSGVO
Bundesdatenschutzgesetz
§ 213 SGB IX
Für AZAV-zugelassene IFD siehe Anhang.
.
Fachkräfte in Integrationsfachdiensten haben Zugang zu sehr persönlichen Informationen. Der vertrauensvolle Umgang mit diesen Daten ist Voraussetzung für ihre Arbeit. Träger und Mitarbeitende von Integrationsfachdiensten sind verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten.
Datenschutz
In den gesetzlichen Bestimmungen zum Datenschutz sind der Schutz vor der missbräuchlichen Verarbeitung personenbezogener Daten sowie der Schutz des Rechts auf informationelle Selbstbestimmung aufgeführt.
Datenschutz umfasst dabei die Sicherheit dieser Daten bei allen Verarbeitungsvorgängen (von der Erhebung über die Speicherung bis hin zur Vernichtung) und den Schutz der Betroffenen und anderer vor möglichen Folgen einer solchen Datenverarbeitung.
Die Erhebung, Verarbeitung und Nutzung von Sozialdaten erfolgt unter den Voraussetzungen der Europäischen Datenschutzgrundverordnung und des Zweiten Kapitels des SGB X.
Die Datenschutzgrundnorm, § 35 SGB I, ist hierbei der Ausgangspunkt jeder datenschutzrechtlichen Prüfung.
Artikel 6 EU-DSGVO regelt die Zulässigkeit der Verarbeitung von Personendaten. § 35 Absatz 2 SGB I legt fest, dass Sozialdaten nur verarbeitet werden dürfen, soweit die Vorschriften der §§ 67 ff. SGB X und der anderen Sozialgesetzbücher dies vorsehen und soweit nicht die EU-DSGVO vorrangig anzuwenden ist.
Eine unbefugte Verarbeitung der Daten ist nicht zulässig.
Die Datenschutzregelungen orientieren sich an bedeutenden Grundsätzen:
Verbot mit Erlaubnisvorbehalt: Es ist alles verboten, wofür es nicht ausdrücklich eine Erlaubnis (eine Einwilligung oder eine gesetzliche Regelung) gibt.
Erforderlichkeit: Es werden nur Daten erhoben, die zwingend benötigt werden, um die gestellte Aufgabe rechtmäßig, vollständig und in angemessener Zeit erfüllen zu können (siehe Kapitel 2.4.2 Dokumentation und 4.1.1 Einzelfalldokumentation). Eine Erhebung von Daten auf Vorrat ist nicht erlaubt.
Zweckbindung: Daten sind an den Grund der Erhebung gebunden und dürfen nicht zu einem anderen Zweck genutzt werden.
Erneute Legitimation bei Zweckänderung: Bei jeder Zweckänderung muss grundsätzlich eine neue Berechtigung vorliegen, nur diese Legitimation darf für den neuen Zweck verwendet werden.
Transparenz: Betroffene müssen wissen, warum welche Daten zu welchem Zweck erhoben werden und welche Rechte sie in diesem Zusammenhang in Anspruch nehmen können.
Den Betroffenen stehen individuelle Rechte zu. Sie können Auskunft über die von ihnen verarbeiteten Daten einfordern, sie können verlangen, dass die Daten gelöscht werden, sobald sie nicht mehr benötigt werden, sie haben das Recht, fehlerhafte Daten korrigieren zu lassen und sie haben ein Recht auf Widerspruch gegen die Datenverarbeitung.
Für den Integrationsfachdienst folgt hieraus, dass die Klienten bzw. Arbeitgeber, die beraten werden, über ihre Rechte im Zusammenhang mit der Datenerhebung im Integrationsfachdienst und der Weitergabe bzw. Verarbeitung umfassend in geeigneter barrierefreier Form informiert werden müssen.[1]
Das heißt, der Integrationsfachdienst informiert darüber, welche persönlichen Daten erhoben und gespeichert werden. Bereits bevor personenbezogene Daten aufgenommen werden, sind der betroffenen Person ihre Rechte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und leicht verständlichen Sprache zu vermitteln.
Im ersten Gespräch mit dem Beteiligten, bei dem persönliche Angaben erfragt werden, müssen die folgenden Informationen erteilt werden:
Name und Kontaktdaten der/des Verantwortlichen für den Datenschutz, ggf. Kontaktdaten der/des Datenschutz-Beauftragten, nach welcher Rechtsvorschrift und zu welchem Zweck (was und warum) die Daten verarbeitet werden,
wem die Daten (eventuell oder sicher) übermittelt werden,
wie lange die Daten gespeichert werden,
welche Rechte die Betroffenen haben (u.a. auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Datenverarbeitung, Beschwerde bei der zuständigen Aufsichtsbehörde).
Der Integrationsfachdienst klärt die Menschen mit Behinderung in einer für die Person verständlichen Form persönlich bzw. schriftlich über den Sozialdatenschutz zu Beginn der Zusammenarbeit auf.
Ein entsprechendes Merkblatt zum Sozialdatenschutz nach den gesetzlichen Regelungen ist der Person auszuhändigen. Der Erhalt und die Erläuterung dieses Merkblattes muss, auf Grund der besseren Nachweisführung schriftlich von ihr bestätigt und vom Integrationsfachdienst entsprechend dokumentiert werden.
Die Belehrung der Mitarbeitenden des Integrationsfachdienstes über ihre Pflichten nach §§ 67a und 76 SGB X ist vom Träger des Integrationsfachdienstes zu dokumentieren.
Entsprechende Hinweise zum Datenschutz müssen auch auf der Homepage des Integrationsfachdienstes angebracht sein. Im E-Mail-Verkehr sowie bei der Nutzung sogenannter Social Media sind die Vorgaben des Schutzes von Personendaten unbedingt einzuhalten.
Die Erhebung von Sozialdaten durch den Integrationsfachdienst und ihre Übermittlung an das Integrationsamt oder den jeweils zuständigen Leistungsträger ist nur insoweit zulässig, als es zur Beauftragung und Ergebnisbewertung des Integrationsfachdienstes erforderlich ist. Es gelten die Vorschriften des § 67 ff. SGB X.
Persönliche Daten der Klientinnen/Klienten dürfen ohne deren Einwilligung nicht an Personen oder Institutionen, die nicht unmittelbar an dem Eingliederungsprozess beteiligt sind, bekannt gegeben werden.
Bei den Trägern und in den Diensten müssen daher geeignete technische und organisatorische Maßnahmen getroffen sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Artikel 32 EU-DSGVO).
Dazu gehört auch, dass die Datenverarbeitung des Integrationsfachdienstes durch geeignete Maßnahmen von der sonstigen Datenverarbeitung eines Trägers getrennt wird.
Die Mitarbeitenden des Integrationsfachdienstes haben nach § 213 SGB IX die Betriebs- und Geschäftsdaten von Rehabilitationsträgern, dem Integrationsamt sowie den Unternehmen, die im Rahmen der Aufgabenerledigung bekannt werden, geheim zu halten.
Die Beteiligten sind ebenfalls darüber zu informieren, dass ihre Daten zu statistischen Zwecken an das Integrationsamt weitergegeben werden.
Im Zusammenhang mit den statistischen Zwecken wird vorausgesetzt, dass die Ergebnisse der Verarbeitung keine personenbezogenen sondern aggregierte Daten sind und diese Ergebnisse oder personenbezogenen Daten nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen verwendet werden (ErwgGr. 162 EU-DSGVO).
Datensicherheit
Die Datensicherheit ist zu gewährleisten, um Daten jeglicher Art gegen Bedrohungen, Manipulation, unberechtigten Zugriff oder Kenntnisnahme abzusichern. Dabei geht es um die Maßnahmen, welche ergriffen werden müssen, um die Sicherheit von Daten sicherzustellen.
Die Datenverarbeitung im Integrationsfachdienst muss so erfolgen, dass die Daten insbesondere vor Vernichtung, Verlust, Veränderung, unbefugter Offenlegung und unbefugtem Zugang (unbeabsichtigt oder unberechtigt) geschützt sind, beispielsweise durch technische Maßnahmen und durch ein verantwortungsvolles Nutzerverhalten.
Der Träger des Integrationsfachdienstes muss die Arbeitsbedingungen und technischen Voraussetzungen so gestalten, dass die zur Verschwiegenheit verpflichteten Mitarbeitenden dieser Verpflichtung verantwortungsvoll nachkommen können.
In Bezug auf den Datenschutz und die Datensicherheit haftet der durch das Integrationsamt beauftragte Träger des Integrationsfachdienstes auch für seine Mitarbeitenden und Beauftragten.
Die Integrationsämter ihrerseits tragen mit der Regelung eines landesspezifischen Dokumentationssystems dafür Verantwortung, dass die Datenverarbeitung separat und einheitlich auf der Grundlage des Datenschutzes erfolgt und die Sicherheit der Daten bei der Verarbeitung gewährleistet ist.
Die genauen Regelungen zum Datenschutz und zur Datensicherheit ergeben sich aus den Vorgaben der Datenschutzbeauftragten der Landesbehörden.
[1] Die genannten Rechte werden nur der Person zugesprochen, die von der Maßnahme betroffen ist. Andere Beteiligte haben diese Rechte nicht. Öffentlich zugängliche Daten wie Büroanschriften etc. sind keine schützenswerten Daten.
Länderspezifische Anforderungen sind zu prüfen.
.
Die Datenschutzgesetze sehen viele unterschiedliche Maßnahmen vor, die einzuhalten (und ggf. nachzuweisen) sind, um die Sicherheit der Daten zu gewährleisten.
Dazu gehören z. B. die
Verpflichtung aller Beschäftigten auf den Datenschutz
Benennung eines Datenschutzbeauftragten
Einhaltung verschiedener Sicherheitsmaßnahmen, insbesondere bei der elektronischen Datenverarbeitung.
Im Bereich der Sozialen Arbeit und Beratung muss wegen der Sensibilität der verarbeiteten Daten regelmäßig ein hohes Schutzniveau gewährleistet werden. Angemessene Maßnahmen zur Sicherstellung dieses Niveaus können z. B. sein:
Anonymisierung, Pseudonymisierung und/oder Verschlüsselung von Daten,
Beschränkung des Zugangs zu den Daten (z. B. durch Passwortschutz und Regelung der Benutzerrechte für den Datenzugriff),
Beschränkung der Aufbewahrung personenbezogener Daten (Vorgabe und Beachtung von Fristen für die Löschung und Vernichtung, siehe dazu Artikel 17 EU-DSGVO),
Sensibilisierung der an der Datenverarbeitung Beteiligten,
Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherstellen (aktuelles Betriebssystem, Virenscanner, regelmäßige Backups, sichere Kommunikation ggf. mit Ende-zu-Ende-Verschlüsselung),
regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.
Der verantwortungsvolle Umgang mit bzw. der Schutz persönlicher Daten durch die Fachkräfte im Integrationsfachdienst bezieht sich auch im Besonderen auf das verantwortungsvolle Nutzerverhalten im Arbeitsalltag. Als Beispiele sind hier zu nennen:
Sperren des Rechners beim Verlassen des Büros,
keine Datenerhebung im öffentlichen Raum (Telefonate im ÖPNV etc.),
Vorkehrungen bei der Ausübung der Tätigkeit im Homeoffice, sodass schutzwürdige Daten unbeteiligten Dritten nicht zugänglich sind.
Des Weiteren wird auf die Arbeitshilfe der Bundesarbeitsgemeinschaft für Rehabilitation e.V. „Datenschutz im trägerübergreifenden Reha-Prozess“ in der jeweils gültigen Fassung hingewiesen.
- Übergeordnete Umsetzungshilfen und Hinweise zur Nachweisführung sind nicht vorhanden.
.
Alle Mitarbeiter*innen, die Daten der Klienten*innen verarbeiten, sind über die Grundsätze des Datenschutzes aufzuklären. Sie sind arbeitsvertraglich oder aufgrund einer gesonderten Vereinbarung an die Datenschutzgrundsätze zu binden. Dies obliegt dem jeweiligen Anstellungsträger (IFD-Träger, evtl. Kooperationspartner).
Die Grundsätze des Datenschutzes ergeben sich aus dem EU-Recht (EU-DSGVO), dem Bundesdatenschutzrecht (BDSG, SGB I, SGB X) und dem Landesdatenschutz des Landes NRW (DSG NRW).
Erlaubnis zur Verarbeitung personenbezogener Daten:
Die Erlaubnis zur Verarbeitung personenbezogener Daten ergibt sich aus dem gesetzlichen Auftrag der Integrationsfachdienste zur Ergebnisbeobachtung nach § 197 SGB IX.
Vor der Verarbeitung von Daten natürlicher Personen ist der/die Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über seine Rechte aufzuklären. Bei betrieblichen Ansprechpersonen kann dies als Verweis (Verlinkung) auf eine entsprechende Seite im Internet erfolgen, bei Klienten*innen sollte dies in der Regel persönlich erfolgen.
Sollte die Aufklärung über die Rechte nicht sofort möglich sein, so ist diese schnellstmöglich nachzuholen, spätestens beim ersten persönlichen Gespräch.
Verarbeitung besonderer Kategorien personenbezogener Daten:
Für die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO (hier: Gesundheitsdaten) ist in jedem Einzelfall die Erlaubnis des/der Betroffenen einzuholen.
Datenschutzmerkblatt:
Um die Aufklärung des/der Betroffenen über seine/ihre Rechte zu erleichtern, stellt das LVR-Inklusionsamt den Integrationsfachdiensten ein Merkblatt zum Sozialdatenschutz zur Verfügung. Um besonderen Zielgruppen gerecht zu werden, liegt dies auch in einfacher Sprache vor.
In beiden Merkblättern sind alle Rechte des/der Betroffenen aufgeführt, die sich aus dem Datenschutz ergeben.
Mit der Unterschrift erklärt der/die Klient*in (oder sein*e/ihre gesetzliche Vertreter*in), dass ihm/ihr seine/ihre Rechte erläutert wurden und sie/er mit der Verarbeitung besonderer Kategorien personenbezogener Daten einverstanden ist.
Wenn der/die Klient*in aus behinderungsbedingten Gründen die Zustimmung verweigert, kann die Fachkraft mit Erlaubnis des LVR-Inklusionsamtes eine pseudonymisierte Klientin/einen pseudonymisierten Klienten in KlifdWeb anlegen, die/der keinerlei Rückschlüsse auf die natürliche Person zulässt.
Datenauswertung zu statistischen Zwecken:
Die Ergebnisse der Verarbeitung zu statistischen Zwecken sind aggregierte Daten und werden nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen verwendet.
Von aggregierten Daten ist auszugehen, wenn in keine ausgewertete Kohorte weniger als sechs Datensätze fallen.
- Länderspezifische Vorgaben/Anforderungen sind nicht vorhanden.
.