Artikel 4 EU-DSGVO ergänzend zu §§ 67 Buchstabe a–d SGB X
Artikel 6 Absatz 2 und 3 EU-DSGVO in Verbindung mit § 35 SGB I
Artikel 9 EU-DSGVO
§§ 22 und 38 Absatz 1 Satz 1 Bundesdatenschutzgesetz
§ 213 SGB IX
Für AZAV-zugelassene IFD siehe Anhang.
.
Fachkräfte in Integrationsfachdiensten haben Zugang zu sehr persönlichen Informationen. Der vertrauensvolle Umgang mit diesen Daten ist Voraussetzung für ihre Arbeit. Träger und Mitarbeitende von Integrationsfachdiensten sind verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten.
Datenschutz
In den gesetzlichen Bestimmungen zum Datenschutz sind der Schutz vor der missbräuchlichen Verarbeitung personenbezogener Daten sowie den Schutz des Rechts auf informationelle Selbstbestimmung aufgeführt.
Datenschutz meint dabei die Sicherheit dieser Daten bei allen Verarbeitungsvorgängen (von der Erhebung über die Speicherung bis hin zur Vernichtung) und den Schutz der Betroffenen und anderer vor möglichen Folgen einer solchen Datenverarbeitung.
Die Erhebung, Verarbeitung und Nutzung von Sozialdaten erfolgt unter den Voraussetzungen der Europäischen Datenschutzgrundverordnung und des Zweiten Kapitels des SGB X.
Die Datenschutzgrundnorm, § 35 SGB I, ist hierbei der Ausgangspunkt jeder datenschutzrechtlichen Prüfung.
Artikel 6 EU-DSGVO regelt die Zulässigkeit der Verarbeitung von Personendaten. § 35 Absatz 2 SGB I legt fest, dass Sozialdaten nur verarbeitet werden dürfen, soweit die Vorschriften der §§ 67 ff. SGB X und der anderen Sozialgesetzbücher dies vorsehen und soweit nicht die EU-DSGVO vorrangig anzuwenden ist.
Eine unbefugte Verarbeitung der Daten ist nicht zulässig.
Die Datenschutzregelungen orientieren sich an bedeutenden Grundsätzen:
Verbot mit Erlaubnisvorbehalt: Es ist alles verboten, wofür es nicht ausdrücklich eine Erlaubnis (also eine Einwilligung oder eine gesetzliche Regelung) gibt.
Erforderlichkeit: Es werden nur Daten erhoben, die zwingend benötigt werden, um die gestellte Aufgabe rechtmäßig, vollständig und in angemessener Zeit erfüllen zu können (siehe Kapitel 2.4.2 Dokumentation und 4.1.1 Einzelfalldokumentation). Eine Erhebung von Daten auf Vorrat ist nicht erlaubt.
Zweckbindung: Daten sind an den Grund der Erhebung gebunden und dürfen nicht zu einem anderen Zweck genutzt werden.
Erneute Legitimation bei Zweckänderung: Bei jeder Zweckänderung muss grundsätzlich eine neue Berechtigung vorliegen, nur diese Legitimation darf für den neuen Zweck verwendet werden.
Transparenz: Betroffene sollen wissen, warum welche Daten zu welchem Zweck erhoben werden und welche Rechte sie in diesem Zusammenhang in Anspruch nehmen können.
Den Betroffenen stehen individuelle Rechte zu. Sie können Auskunft über die von ihnen verarbeiteten Daten einfordern, sie können verlangen, dass die Daten gelöscht werden, sobald sie nicht mehr benötigt werden, sie haben das Recht fehlerhafte Daten korrigieren zu lassen und sie haben ein Recht auf Widerspruch gegen die Datenverarbeitung.
Für den Integrationsfachdienst folgt hieraus, dass die Klienten bzw. Arbeitgeber, die beraten werden, über ihre Rechte im Zusammenhang mit der Datenerhebung im Integrationsfachdienst und der Weitergabe bzw. Verarbeitung umfassend in geeigneter barrierefreier Form informiert werden müssen.[1]
Das heißt, der Integrationsfachdienst informiert darüber, welche persönlichen Daten erhoben und gespeichert werden. Bereits bevor personenbezogene Daten aufgenommen werden sind der betroffenen Person ihre Rechte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und leicht verständlichen Sprache zu vermitteln.
Bereits im ersten Gespräch mit dem Beteiligten, bei dem persönliche Angaben erfragt werden, müssen die folgenden Informationen erteilt werden:
Name und Kontaktdaten der/des Verantwortlichen für den Datenschutz, ggf. Kontaktdaten der/des Datenschutz-Beauftragten, nach welcher Rechtsvorschrift und zu welchem Zweck (was und warum) die Daten verarbeitet werden,
wem die Daten (eventuell oder sicher) übermittelt werden,
wie lange die Daten gespeichert werden,
welche Rechte die Betroffenen haben (u.a. auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Datenverarbeitung, Beschwerde bei der zuständigen Aufsichtsbehörde).
Der Integrationsfachdienst klärt die Menschen mit Behinderung in einer für die Person verständlichen Form persönlich bzw. schriftlich über den Sozialdatenschutz zu Beginn der Zusammenarbeit auf. Ein entsprechendes Merkblatt zum Sozialdatenschutz nach den gesetzlichen Regelungen ist auszuhändigen. Der Erhalt und die Erläuterung dieses Merkblattes muss, auf Grund der besseren Nachweisführung schriftlich, von ihr bestätigt und vom Integrationsfachdienst entsprechend dokumentiert werden.
Die Belehrung der Mitarbeitenden des Integrationsfachdienstes über ihre Pflichten nach §§ 67a und 76 SGB X ist vom Träger des IFD zu dokumentieren.
Die genauen Regelungen ergeben sich in Abhängigkeit von Vorgaben der Datenschutzbeauftragten der Landesbehörden.
Entsprechende Hinweise zum Datenschutz müssen auch auf der Homepage des IFD angebracht sein. Im E-Mail-Verkehr sowie bei der Nutzung sogenannter Social Media sind die Vorgaben des Schutzes von Personendaten unbedingt einzuhalten.
Die Erhebung von Sozialdaten durch den Integrationsfachdienst und ihre Übermittlung an das Integrationsamt oder jeden anderen jeweils zuständigen Leistungsträger ist nur insoweit zulässig, als es zur Beauftragung und Ergebnisbewertung des IFD erforderlich ist. Es gelten die Vorschriften des § 67 ff. SGB X.
Persönliche Daten der Klientinnen/Klienten dürfen ohne deren Einwilligung nicht an Personen oder Institutionen, die nicht unmittelbar an dem Eingliederungsprozess beteiligt sind, bekannt gegeben werden.
Bei den Trägern und in den Diensten müssen daher geeignete technische und organisatorische Maßnahmen getroffen sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Artikel 32 EU-DSGVO). Dazu gehört auch, dass die Datenverarbeitung des Integrationsfachdienstes durch geeignete Maßnahmen von der sonstigen Datenverarbeitung eines Trägers getrennt wird.
Die Mitarbeitenden des Integrationsfachdienstes haben nach § 213 SGB IX die Betriebs- und Geschäftsdaten von Rehabilitationsträgern, dem Integrationsamt sowie den Unternehmen, die im Rahmen der Aufgabenerledigung bekannt werden, geheim zu halten.
Gemäß § 38 Absatz 1 Satz 1 BDSG ist ergänzend zu den Vorgaben der EU-DSGVO ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Die Beteiligten sind ebenfalls darüber zu informieren, dass ihre Daten zu statistischen Zwecken an das Integrationsamt weitergegeben werden.
Im Zusammenhang mit den statistischen Zwecken wird vorausgesetzt, dass die Ergebnisse der Verarbeitung keine personenbezogenen Daten, sondern aggregierte Daten sind und diese Ergebnisse oder personenbezogenen Daten nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen verwendet werden (ErwgGr. 162 EU-DSGVO).
Datensicherheit
Die Datensicherheit ist zu gewährleisten, um Daten jeglicher Art gegen Bedrohungen, Manipulation, unberechtigten Zugriff oder Kenntnisnahme abzusichern. Dabei geht es um die Maßnahmen, welche ergriffen werden müssen, um die Sicherheit von Daten sicherzustellen.
Die Datenverarbeitung im Integrationsfachdienst muss so erfolgen, dass die Daten insbesondere vor Vernichtung, Verlust, Veränderung, unbefugter Offenlegung und unbefugtem Zugang (unbeabsichtigt oder unberechtigt) geschützt sind, beispielsweise durch technische Maßnahmen und durch ein verantwortungsvolles Nutzerverhalten.
Der Träger des Integrationsfachdienstes muss die Arbeitsbedingungen und technischen Voraussetzungen so gestalten, dass die zur Verschwiegenheit verpflichteten Mitarbeitenden dieser Verpflichtung verantwortungsvoll nachkommen können.
In Bezug auf den Datenschutz und die Datensicherheit haftet der durch das Integrationsamt beauftragte Träger des Integrationsfachdienstes auch für seine Mitarbeitenden und Beauftragten.
Die Integrationsämter ihrerseits tragen mit der Regelung eines landesspezifischen Dokumentationssystems dafür Verantwortung, dass die Datenverarbeitung separat und einheitlich auf der Grundlage des Datenschutzes erfolgt und die Sicherheit der Daten bei der Verarbeitung gewährleistet ist.
[1] Die genannten Rechte werden nur der Person zugesprochen, die von der Maßnahme betroffen ist. Andere Beteiligte haben diese Rechte nicht. Öffentlich zugängliche Daten wie Büroanschriften etc. sind keine schützenswerten Daten.
Länderspezifische Anforderungen sind zu prüfen.
.
Die Datenschutzgesetze sehen viele unterschiedliche Maßnahmen vor, die einzuhalten (und ggf. nachzuweisen) sind, um die Sicherheit der Daten zu gewährleisten.
Dazu gehören z. B. die
Verpflichtung aller Beschäftigten auf den Datenschutz
Benennung eines Datenschutzbeauftragten
Einhaltung verschiedener Sicherheitsmaßnahmen, insbesondere bei der elektronischen Datenverarbeitung.
Im Bereich der Sozialen Arbeit und Beratung muss wegen der Sensibilität der verarbeiteten Daten regelmäßig ein hohes Schutzniveau gewährleistet werden. Angemessene Maßnahmen zur Sicherstellung dieses Niveaus können z. B. sein:
Anonymisierung, Pseudonymisierung und/oder Verschlüsselung von Daten,
Beschränkung des Zugangs zu den Daten (z. B. durch Passwortschutz und Regelung der Benutzerrechte für den Datenzugriff),
Beschränkung der Aufbewahrung personenbezogener Daten (Vorgabe und Beachtung von Fristen für die Löschung und Vernichtung, siehe dazu Artikel 17 EU-DSGVO),
Sensibilisierung der an der Datenverarbeitung Beteiligten,
Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherstellen (aktuelles Betriebssystem, Virenscanner, regelmäßige Backups, sichere Kommunikation ggf. mit Ende-zu-Ende-Verschlüsselung),
regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.
Der verantwortungsvolle Umgang mit bzw. der Schutz persönlicher Daten durch die Fachkräfte im Integrationsfachdienst bezieht sich auch im Besonderen auf das verantwortungsvolle Nutzerverhalten im Arbeitsalltag. Als Beispiele sind hier zu nennen:
Sperren des Rechners beim Verlassen des Büros,
keine Datenerhebung im öffentlichen Raum (Telefonate im ÖPNV etc.),
Vorkehrungen bei der Ausübung der Tätigkeit im Homeoffice, sodass schutzwürdige Daten unbeteiligten Dritten nicht zugänglich sind.
- Übergeordnete Umsetzungshilfen und Hinweise zur Nachweisführung sind nicht vorhanden.