ein Regenbogen spannt sich über das blaue Meer
Beratung zum Datenschutz für soziale Einrichtungen

Datenschutz in sozialen Einrichtungen

- ein Rückblick seit Inkrafttreten der DSGVO

Fünf Buchstaben haben uns in den letzten 2 Jahr stetig verfolgt - DSGVO. Die Datenschutz-Grundverordnung hat alle Unternehmen, Vereine und Non-Profit-Organisationen dazu veranlasst, sich mit dem Datenschutz auseinander zu setzen. Nicht, dass dies irgendwie etwas Neues war oder ist, nein: denn die DSGVO gab es schon 2 Jahre zuvor. Und das Bundesdatenschutz-Gesetz ist bereits seit 40 Jahren in Kraft. Wer also sich bereits an bisherige Regelungen gehalten hatte, der hatte also wenig bis gar nichts zu befürchten.

Es gab in den letzten Monaten viele Spekulationen rund um den Schutz der personenbezogenen Daten, von der Nachweisplicht, Richtlinien, Datenaustausch und der Erstellung notwendiger Verzeichnisse. Die meisten Vereine und Einrichtungen  haben nach einschlägigen Studien den Aufwand unterschätzt. Viele Propheten oder Schwarzmaler haben die Datenschutz-Grundverordnung dazu benutzt, sich notwendiger  aber lästiger Aufgaben zu entledigen. Nach dem Motto: ‚Das darf man aus Datenschutz-Gründen nicht mehr.’ Fotos wurden geschwärzt, Klingelschilder entfernt, Patienten nicht behandelt – und das alles im Namen der DSGVO. Sie musste für vieles herhalten. Im Nachhinein hat sich dann doch gezeigt, daß dies oftmals neu-Deutsch ‚Fake-News’ waren, von selbst ernannten Datenschutz-Experten. In der Zwischenzeit hatte man das Gefühl, dass es nicht nur 1 Million Bundestrainer für den deutschen Fußball auf der Couch gibt, sondern gefühlt 2 Millionen ‚Datenschutz-Experten’ und Datenschutzbeauftragte. Der Datenschutz wurde dabei instrumentalisiert.

Auch die angedrohten Abmahnwellen von (windigen) Geschäftemachern blieben aus. Und erfreulicherweise haben sich Aufsichtsbehörden bislang sehr zurückgehalten mit Bußgeldern. Zumeist sind diese auch gar  nicht das Ziel. Überwiegend geht es darum, dass sich Unternehmen den Schutz der personenbezogenen Daten in ihren Fokus nehmen und alle darauf sensibilisiert werden, was mit ihren Daten gemacht wird. Es geht dabei immer um den Schutz der Betroffenen. Dass Unternehmen dabei nicht immer glücklich sind, wenn sie sich um weitere Vorschriften kümmern müssen, leuchtet ein. Trotzdem ist das die Informationsfreiheit ein hohes Gut und ein wichtiges Grundrecht von Menschen. Jeder soll und darf über die Verwendung von seinen Daten selbst entscheiden.

Was aber haben sie nun bislang erledigen müssen?

Nachfolgend eine kleine Checkliste:

  • Haben Sie eine Datenschutzerklärung auf ihrer Homepage, die den Anforderungen der DSGVO entspricht. Diese muss z.B. von jeder Seite erreichbar sein. Am besten als eigenen Reiter neben dem Impressum. Dabei gibt es Pflichtangaben, auf was Sie in einfachen und verständlichen Worten den Umgang mit ihren personenbezogenen Daten beschreiben müssen.
  • Haben Sie mit dem Verarbeitungsverzeichnis begonnen und dokumentieren so ihre Daten, die sie verwenden und die bei Ihnen vorhanden sind? Das Verarbeitungsverzeichnis ist ein zentrales Instrument, denn hier sehen Aufsichtsbehörden, ob sie sich tatsächlich mit Datenschutz auseinandergesetzt haben. Dort werden alle Bereiche bzw. die Verarbeitung der personenbezogenen Daten in einer vorgegebenen Systematik aufgelistet.
  • Haben Sie ihre Informationspflichten gegenüber ihren Mitarbeiterinnen ausreichend genüge getan.
  • Haben Sie alle ihre Verträge auf die neuen Regelungen angepasst. Gibt es dabei ausreichend Informationen zum Datenschutz und wie sie damit umgehen,
  • Haben sie mit allen ihren Auftragsdatenverarbeiter Verträge abgeschlossen. Dann benötigen sie ein Verzeichnis der Auftragsdatenverarbeiter. Auch dort gibt es Muster-Verzeichnisse.
  • Haben Sie einen Datenschutzbeauftragten benannt und der Aufsichtsbehörde gegenüber gemeldet. Dieser kann intern oder extern sein. Ein Datenschutzbeauftragter ist nicht nur eine lästige Pflicht, sondern befreit das Management und  die Führung von vielen Aufgaben und gibt Sicherheit. Er handelt unterstützend und beratend und im besten Fall lösungsorientiert.
  • Haben Sie alle Einwilligungserklärungen von Klienten, Bewohnern, Angehörigen, Mitarbeitern überprüft.
  • Haben Sie ihre Technisch-Organisatorische Maßnahmen (TOM) zur Einhaltung des Datenschutz-Grundverordnung (Beispiele: Zutritts-/Zugangs- und Zugriffskontrolle, Weitergabe-/Eingabe-/Auftrags- und Verfügbarkeitskontrolle, Trennungsgebot) überprüft und dokumentiert.

Nach mehr als einem Jahr lässt sich sagen, dass die DSGVO nicht das Schreckgespenst ist, als was sie häufig dargestellt wird. Gerade die Aufsichtsbehörden haben bisher sehr maßvoll gehandelt, und in der Zwischenzeit werden auch sehr viel kostenlose Materialein sowie Praxishilfen zur Verfügung gestellt. Aber es bliebt auch zu hoffen, dass bei Nichteinhalten der Auflagen streng im Sinne der betroffenen Menschen – also wir alle - vorgegangen wird. Was nicht geht ist das Motto: ‚jetzt warten wir mal ab, was passiert’.  Es bleibt weiterhin zu raten, sich selbst und freiwillig mit der Umsetzung der DSGVO zu beschäftigen und nicht erst abzuwarten, bis die Aufsichtsbehörden aktiv werden und einen dazu auffordern. Bleiben sie also dabei (oder fangen gleich damit an) – ihre Mitarbeiter, Angehörigen, Bewohner werden es ihnen danken, wenn sie sorgsam mit ihren persönlichen Daten umgehen. Und nutzen Sie den Datenschutz, um ihre Prozesse zu überprüfen und überdenken. Dies kann zu Prozessoptimierungen führen und unterm Strich sogar zu Kosteneinsparungen, wenn man ‚alte Zöpfe’ abschneidet und z.B. das Prinzip der Datensparsamkeit konsequent umsetzt.

Der Autor

Uwe Huchler, Diplomökonom Univ., ist selbständiger Analyst und Berater in der Gesundheits- und Sozialwirtschaft (www.uwehuchler.de) sowie Chefredakteur von www.social-software.de. Er berät NPO’s zur Auswahl und zur Einführung  von Software. Als externer Datenschutzbeauftragter betreut er mehrere soziale Einrichtungen, Vereine sowie Bildungseinrichtungen. Mitglied des Berufsverbandes der Datenschutzbeauftragten’ und  der ‚Gesellschaft für Datenschutz und Datensicherheit e.V.’.

Uwe Huchler

Diplomökonom Univ.
Unterer Bühl 4
88400  Biberach

Tel. 07351 5773200

www.uwehuchler.de
www.Kita-datenschutz.info

info@uwehuchler.de