Per 1. September 2023 ist nach vielen Jahren der Vorbereitung die Revision des Eidgenössischen Datenschutzgesetzes in Kraft getreten. Das ist ein guter Anlass, die bestehenden Regeln für die Tätigkeit im Sozialwesen zu vergegenwärtigen und die Neuerungen vorzustellen. Ein Überblick über Erfordernisse für Organisationen und Fachpersonen im Sozialwesen sowie konkrete Praxistipps runden den Überblick ab.
Worum geht es im Datenschutz?
Im Kern geht es beim Datenschutz um den verfassungsmässigen, grundrechtlichen Anspruch auf informationelle Selbstbestimmung und den Schutz der Persönlichkeit.1 Ein Anspruch auf Datenschutz ergibt sich zudem aus internationalen Verpflichtungen, so aus dem Recht auf Privatsphäre der Europäischen Menschenrechtskonvention (EMRK) und aus der Europäischen Datenschutzkonvention des Europarates. Von erheblicher Bedeutung ist auch die Datenschutzgrundverordnung der EU (DSGVO). Konkretisiert wird der Datenschutz im Eidgenössischen Datenschutzgesetz, in kantonalen Datenschutzgesetzen, durch die strafrechtlichen Amts- und Berufsgeheimnisse sowie in einer Vielzahl von weiteren Spezialnormen.
Im Zentrum steht dabei die Selbstbestimmung der Betroffenen, sowie der Schutz vor dem Missbrauch persönlicher Daten und vor Diskriminierung durch die Datenbearbeitung.
Mit Blick auf diese Zielsetzungen bezieht sich der Datenschutz auf Informationen, die sich auf eine konkrete oder bestimmbare Person beziehen. Dabei ist zu beachten, dass der Schutzbedarf auch entstehen kann, wenn Informationen und Daten verknüpft werden, beispielsweise die IP-Adresse eines Computers mit der Person, die das Gerät benutzt.
Die Normen legen Rahmenbedingungen für den Schutz vor unzulässiger Datenbearbeitung fest. Diese Standards definieren, welche Daten wie und unter welchen Voraussetzungen
- eingeholt werden dürfen,
- gespeichert und verändert werden dürfen,
- weitergegeben werden dürfen.
Von einer Datenbearbeitung betroffene Personen haben das Recht, von den entsprechenden Stellen Auskunft über deren Datenbearbeitung einzuholen und ev. auf Korrektur oder Löschung persönlicher Daten. Das gilt etwa für Verbeiständete oder Sozialhilfebeziehende, genauso wie für Heimbewohner*innen oder Personen, die von einer privatrechtlich agierenden Stelle beraten werden.
Nicht zu unterschätzen ist die Bedeutung der Datenschutzbehörden: Die Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDOEB) können private Personen in Datenschutzfragen beraten und sie können systematische Verstösse gegen das DSG ahnden.
Für kantonale Stellen haben die Datenschutzstellen des Kantons eine Beratungs-, Aufsichts- und Kontrollfunktion.
Regelung auf Bundes- und Kantonsebene
In der Schweiz gibt es 27 Datenschutzgesetze: Das revidierte Datenschutzgesetz des Bundes (DSG) und 26 kantonale Datenschutzgesetze. Zusätzlich spielen Spezialregeln in vielen Spezialgesetzen des Bundes und der Kantone eine Rolle2, ebenso Bestimmungen zu Amts- und Berufsgeheimnissen. Durch das Amtsgeheimnis (Art. 320 StGB) sowie das strafrechtliche (Art. 321 StGB) und das datenschutzrechtliche (Art. 62 DSG) Berufsgeheimnis werden für den Bereich der Sozialen Arbeit strafrechtliche Schweigepflichten normiert, unabhängig davon, ob Soziale Arbeit im öffentlichen Auftrag oder in privatem Mandat erfolgt. Dies gilt so für alle Sozialarbeitenden, Sozialpädagog*innen, Soziokulturelle Animator*innen, Gemeindeanimator*innen, Arbeitsagog*innen etc.
Die 27 Datenschutzgesetze enthalten unter anderem Regeln zum Zweck und zum Anwendungsbereich. Sie definieren die Grundbegriffe wie „besonders schützenswerte Daten“ und enthalten Regeln zur Datenbearbeitung und zur Datensicherung sowie Regelungen zum Verfahren, zur Aufsicht und zu Sanktionen bei Verletzungen des Datenschutzes.
Das Bundesgesetz über den Datenschutz (DSG), das jetzt revidiert wurde, enthält (nicht abschliessende) Bestimmungen über die Datenbearbeitung für Private und für Bundesbehörden.
Rechtsgrundlagen und Geltungsbereiche
Die per 1. September 2023 in Kraft getretenen Neuerungen betreffen nur das DSG des Bundes. Sie sind also unmittelbar (nur) anwendbar auf Bundesorgane und auf Private, die keine öffentlichen Aufgaben wahrnehmen und deswegen nicht dem jeweiligen kantonalen Datenschutzgesetz unterstellt sind. Konkret dürften die Regeln vor allem relevant sein für private Beratungsstellen, Betreuungseinrichtungen und Heime sowie private Institutionen der Soziokultur.
Für die Regelung des Datenschutzes kantonaler Behörden sind grundsätzlich die Kantone zuständig. Auch wenn kantonale Stellen Bundesaufgaben erfüllen, wie etwa eine Ausgleichskasse der AHV, gilt das kantonale Datenschutzgesetz. Sämtliche 26 Kantone verfügen über allgemeine Datenschutzgesetze, in denen die Datenbearbeitung für kantonale Organe entsprechend den verfassungsrechtlichen Prinzipien des Datenschutzes (siehe Infobox) geregelt ist. Zum Teil werden auch Regeln über den Öffentlichkeitsgrundsatz der Verwaltung in den gleichen Gesetzen verankert.3 Viele Kantone haben in den letzten Jahren ihre Gesetze an die internationalrechtlichen Vorgaben angepasst.
Was ist generell im Bereich des Datenschutzes zu beachten?
Im gesamten Bereich des Datenschutzes gelten bestimmte Prinzipien, die in allen Datenschutznormierungen verankert sind. Einige dieser Grundsätze sollen hier erläutert werden:
- Die Bearbeitung von Daten muss der Rechtmässigkeit entsprechen: Viele Organisationen des Sozialwesens gehören zur Verwaltung (Bund, Kanton oder Gemeinden). In diesem Fall sind die Regeln, vor allem das Kriterium der „Rechtmässigkeit“, streng. Die Bearbeitung von Personendaten braucht in diesem Bereich immer eine gesetzliche Grundlage und ein ausreichendes öffentliches Interesse. In vielen Kantonen genügt es, dass die Datenbearbeitung zur Erfüllung einer auf einer Gesetzesgrundlage beruhenden Aufgabe notwendig ist. Dies gilt auch für private Institutionen (wie Vereine oder Stiftungen etc.), wenn sie Aufgaben wahrnehmen, die in einem Gesetz oder einem kommunalen Reglement als öffentliche Aufgabe bezeichnet werden. So etwa die Krankenkassen oder private Unternehmen, welche Aufgaben der Sozialhilfe für einen Kanton oder eine Gemeinde übernehmen.
- Die Rechtfertigung der Datenbearbeitung bedeutet, dass Private ohne Rechtfertigungsgrund keine Personendaten gegen den Willen einer Person bearbeiten dürfen. Staatliche Stellen benötigen dafür eine gesetzliche Grundlage für ihren entsprechenden Auftrag und ein genügendes gesetzliches Interesse.
- Die Weitergabe besonders schützenswerter Daten wie Informationen über die Gesundheit, die soziale Situation oder soziale Hilfen benötigen immer einen besonderen Rechtfertigungsgrund (siehe Infobox). Das gilt für private wie für staatliche Stellen.
- Die Datenbearbeitung muss darüber hinaus verhältnismässig sein. Das gilt sowohl für die Erfüllung privater als auch öffentlicher Aufgaben. Das bedeutet, die Datenbeschaffung, -bearbeitung und -weitergabe muss für den transparent gemachten öffentlichrechtlichen oder privaten Zweck geeignet, erforderlich und zumutbar sein.
- Für die Durchsetzung des Datenschutzes sehen die Datenschutzerlasse verschiedene Ansprüche vor, welche der Transparenz und der Richtigkeit dienen:
- Rechte auf Information vor der Datenbearbeitung,
- Anspruch auf Auskunft und Einsicht,
- Rechte auf Berichtigung oder Sperrung von Daten,
- Schadenersatz- und Genugtuungsansprüche für den Fall von Datenschutzverletzungen.
Grundprinzipien des Datenschutzes
- Bearbeitung der Daten nach Treu und Glauben
- Rechtmässigkeit der Bearbeitung der Daten
- Rechfertigungsnotwendigkeit der Datenbeschaffung und der Datenweitergabe
- Verhältnismässigkeit und Zweckbindung der Bearbeitung der Daten
- Transparenz der Datenbearbeitung
- Richtigkeit der Datenbearbeitung
- Die Rechtfertigung der Datenbearbeitung bedeutet, dass Private ohne Rechtfertigungsgrund keine Personendaten gegen den Willen einer Person bearbeiten dürfen. Staatliche Stellen benötigen dafür eine gesetzliche Grundlage für ihren entsprechenden Auftrag und ein genügendes gesetzliches Interesse.
- Die Weitergabe besonders schützenswerter Daten wie Informationen über die Gesundheit, die soziale Situation oder soziale Hilfen benötigen immer einen besonderen Rechtfertigungsgrund (siehe Infobox). Das gilt für private wie für staatliche Stellen.
- Die Datenbearbeitung muss darüber hinaus verhältnismässig sein. Das gilt sowohl für die Erfüllung privater als auch öffentlicher Aufgaben. Das bedeutet, die Datenbeschaffung, -bearbeitung und -weitergabe muss für den transparent gemachten öffentlichrechtlichen oder privaten Zweck geeignet, erforderlich und zumutbar sein.
- Für die Durchsetzung des Datenschutzes sehen die Datenschutzerlasse verschiedene Ansprüche vor, welche der Transparenz und der Richtigkeit dienen:
- Rechte auf Information vor der Datenbearbeitung,
- Anspruch auf Auskunft und Einsicht,
- Rechte auf Berichtigung oder Sperrung von Daten,
- Schadenersatz- und Genugtuungsansprüche für den Fall von Datenschutzverletzungen.
Rechtfertigungsgründe
- Die freiwillige und informierte Einwilligung der betroffenen Person. Bei sensiblen Daten muss diese ausdrücklich erfolgen. Im Sozialwesen sind praktisch immer sensible Daten im Spiel. Insoweit bedarf die Bearbeitung von Daten zur Unterstützung und Hilfe mit und für die Adressat*innen immer der ausdrücklichen Zustimmung der Betroffenen. Wichtig ist dabei, dass eine solche Einwilligung eine Weitergabe von Informationen nur legitimiert, wenn die betroffene Person tatsächlich weiss, wozu und mit welchen möglichen Folgen sie einwilligt.
- Ein überwiegendes privates oder öffentliches Interesse, etwa eine Notwehrsituation.
- Die in einem Gesetz vorgesehene Ermächtigung oder Verpflichtung zur Datenbekanntgabe. Dabei muss immer genau analysiert werden, ob und unter welchen Voraussetzungen die entsprechende Regel eine Informationsweitergabe an wen erlaubt. Oft sind dabei Güterabwägungen notwendig. Ein Beispiel ist Frage einer Meldung an die Kindesschutzbehörden durch Amtspersonen oder Fachpersonen, die beruflich mit Kindern arbeiten: Eine Meldung ist bei konkret bekannten Gefährdungen der Integrität der Kinder dann Pflicht, wenn die Fachpersonen durch ihre eigenen Instrumente keine Abhilfe schaffen können.4
Was bedeuten die Neuerungen des Datenschutzgesetzes für den Sozialbereich?
Das Bundesgesetz über den Datenschutz (DSG) wurde primär mit Blick auf eine Angleichung des Datenschutzstandards in der Schweiz an die Datenschutzgrundverordnung (DSGVO) der EU revidiert. Es soll insbesondere auf die technologische Entwicklung und die Digitalisierung aktuelle Antworten liefern.
Mit Blick auf den Sozialbereich verlangt das revidierte DSG von allen dem DSG unterstellten privaten Institutionen einige allgemeine organisatorische Massnahmen:
- Datenverarbeitungen müssen in Verzeichnissen geführt und regelmässig anpasst werden (Art. 12 DSG). Das Verzeichnis muss folgende Mindestangaben enthalten:
- Person der/des Verantwortlichen
- Bearbeitungszweck
- Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
- Kategorien der Datenempfangenden
- Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
- Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen zur Vermeidung der Verletzungen der Datensicherheit)
- Diese Verpflichtung besteht immer dann, wenn die Institution mehr als 250 Mitarbeitende aufweist oder wenn besonders schützenswerte Daten in grossem Umfang bearbeiten werden. Das dürfte nach unserer Einschätzung insbesondere für mittelgrosse Betreuungsinstitutionen der Fall sein, nicht aber für kleinere Organisationen, etwa in der Jugendarbeit.
- Ein Datenschutzkonzept und Reglement ist notwendig, wenn besonders schützenswerte Personendaten bearbeitet werden. Das ist im Sozialbereich praktisch immer der Fall. Das Konzept muss Angaben enthalten zur Organisation und ihren Aufgaben, zum Datenbearbeitungs- und Kontrollverfahren, aber auch zu den Massnahmen zur Gewährleistung der Datensicherheit (Art. 5 DSV), ebenso zum Umgang mit Pannen und Leaks etc.
- Wenn Dritte die Datenbearbeitung wahrnehmen, so sind im Datenschutzreglement der Datenfluss zu regeln und die Verantwortlichkeiten zu bestimmen. (Art. 9 DSG)
- Private Institutionen müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDOEB) Verletzungen der Datensicherheit unverzüglich melden, wenn mit der Verletzung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person einhergeht. (Art. 24 DSG)
- Eine datenschutzberatende Person ist zwar nicht verpflichtend zu benennen. Für grössere Institutionen ist dies aber sinnvoll. (Art. 10 DSG)
Für die Arbeit mit Klient*innen bzw. Adressat*innen müssen private Organisationen insbesondere Folgendes beachten
- Betroffene müssen grundsätzlich darüber informiert werden, dass und wofür persönliche Daten beschafft werden, und wem sie weitergeleitet werden. Der betroffenen Person sind die Zwecke der Datenbearbeitung und die Kontaktdaten der für den Datenschutz verantwortlichen Person mitzuteilen. Ebenso ist bekanntzugeben, bei wem weitere Daten eingeholt werden. Bei einer Weitergabe an Dritte sind die Stellen zu benennen, welche die Daten empfangen. Werden Daten ins Ausland bekanntgegeben, so ist der Staat zu nennen. Das gilt etwa auch bei Speicherungen auf „Clouds“. (Art. 19 und Art. 20 DSG)
- Sollen Daten zum Profiling (Art. 21 DSG) verwendet werden, also zur personenbezogenen Datenanalyse durch die (automatisierte) Speicherung und Verknüpfung verschiedener Informationen, so muss eine ausdrückliche Einwilligung vorliegen. Das ist der Grund, weshalb etwa bei Websites präzisere Einwilligungen zu Cookies und ähnlichem notwendig sind. Für Organisationen im Sozialbereich dürfte das vor allem bei der Nutzung von Homepages zur Interaktion relevant sein.
- Werden automatisierte Einzelentscheidungen vorgenommen (Art. 6 DSG) besteht neu ein Anspruch auf Erläuterung eines «automatisierten» Entscheides durch eine natürliche Person.
- Betroffene haben, von bestimmten Ausnahmen abgesehen, Einsichts-, Korrektur- und Löschungsrechte. (Art. 25 DSG; Art. 26 DSG)
- Neu bestehen Rechte auf Datenherausgabe und Datenübertragung. (Art. 28 DSG; Art. 29 DSG) Die betroffene Person kann verlangen, dass ihre persönlichen Daten in einem üblichen elektronischen Format (z.B. Excel) an sie oder an von ihr bezeichnete Dritte herausgegeben werden. Die Herausgabe bzw. Übertragung muss in der Regel kostenlos gewährt werden. Eine Verweigerung wäre nur zum Schutz überwiegender Interessen (z.B. Missbrauch gegenüber Dritten) möglich.
- Explizit wird nun geregelt, dass Personendaten zu vernichten oder zu anonymisieren sind, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind. Allerdings müssen sie weiterhin so lange aufbewahrt werden, wie dies gesetzliche Aufbewahrungspflichten oder der Schutz vor Haftpflichtansprüchen verlangen. Das galt bislang aber auch schon implizite.
- Wenn Datenbearbeitungen, etwa durch die Art der Daten, ein erhöhtes Risiko für die Gefährdung der Persönlichkeits- und Grundrechte aufweisen, gilt die Notwendigkeit einer so genannten Datenschutzfolgeabschätzung (Art. 22 DSG). In diesem Fall sind Sicherungsmassnahmen vorzusehen. Das ist etwa der Fall bei der Nutzung von heiklen medizinischen Informationen.
- Strenger wurden die Sanktionenregeln. Verstösse gegen das DSG können nun mit erheblichen Bussen bis zu CHF 250' 000 sanktioniert werden (Art. 60ff. DSG). Das zielt insbesondere auf Organisationen und Organisationsverantwortliche und kann für Organisationen im Sozialwesen ein Anreiz sein, die entsprechenden Regeln ernst zu nehmen.
Was ist zu tun? Praxistipps
- In der Praxis des Sozialwesens sind die technologischen Anforderungen an die Datensicherheit noch nicht überall erfüllt. Das hat auch damit zu tun, dass entsprechende Systeme kostspielig sein können und die Ressourcen im Sozialwesen (anders als etwa im Banken- oder im Gesundheitswesen) nicht ohne Weiteres vorhanden sind. Zur rechtlich konformen Wahrnehmung von Aufgaben im Sozialbereich sind entsprechende Nachbesserungen und die Sicherstellung der Datensicherheit aber ein „Must“.
- Fragen zur Datenbeschaffung, Bearbeitung und Weitergabe müssen in einem Datenschutzkonzept klar geregelt sein. Hier ist zunächst eine klare Fokussierung und eine präzise Umschreibung der Angebote und des Auftrages einer Institution oder Stelle notwendig. Daraus kann dann abgeleitet werden, wer, wie, unter welchen Voraussetzungen welche Informationen sammelt, bearbeitet und ev. weitergibt. Der Beizug einer Fachperson, insbesondere zur Umschreibung und zur formalen Regelung heikler Güterabwägungen, ist unabdingbar.
- Unabdingbar sind weiter das Einführen und Einhalten von Vorgaben zur Datensicherheit in der Alltagspraxis. So sollte die Nutzung von E-Mail oder anderer unsicherer Datenübertragungsmittel zumindest für sensible Informationen (Gutachten, Beschlüsse etc.) unterlassen werden und auf die Verwendung sicherer Instrumente umgestellt werden (Incamail, HIN etc.).
- Für viele Fachpersonen sind Fälle anspruchsvoll, wo Dritte nach Informationen nachfragen. Typische Fragen betreffen dabei den Datenaustausch mit anderen Behörden, etwa den Strafverfolgungsorganen oder der KESB, aber auch die Weitergabe von Informationen an gesetzliche Vertretungspersonen, Sozialversicherungen etc. Antworten sind von der Situation der betroffenen Person und vom je unterschiedlichen Auftrag der Institutionen abhängig. Zu beachten sind aber auch kantonale Unterschiede der rechtlichen Rahmenbedingungen.
Die allgemeinen Regeln finden sich in diesem Text oben bei den Grundprinzipien des Datenschutzes. Die allgemeinen Grundregeln finden sich auch etwas vertieft im Ratgeber von AvenirSocial.
Es ist für Institutionen ratsam, dazu ein massgeschneidertes, praxistaugliches Hilfsmittel zu erstellen. Dabei sind die jeweils typischen Fragen mit den Mitarbeitenden zu analysieren und strukturiert zu beantworten. Zu benennen sind die Regeln und die Zuständigkeiten. Dies kann Teil eines gut durchdachten Datenschutzkonzeptes werden.
1 Vgl. Art. Art. 13 BV; BGE 144 II 77 m.w.H.
2 Vgl. zum Beispiel Art. 33 ATSG für den Sozialversicherungsbereich oder Art. 57a ff. Sozialhilfegesetz des Kantons Bern für die Sozialhilfe im Kanton Bern
3 Siehe als Beispiel das Gesetz über die Information und den Datenschutz (IDG) des Kantons Zürich.
4 Art. 314d ZGB
- Datenschutz in der Sozialen Arbeit, Avenir Social: https://avenirsocial.ch/wp-content/uploads/2023/01/Datenschutz-i-d-SA_180123.pdf
- Rechtsgrundlagen Datenschutz, EDÖB:https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/grundlagen/ndsg.html
- Europäische Datenschutzgrundverordnung, EU:https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE
- Datenschutz, Artiset: https://www.artiset.ch/Fachwissen/Datenschutz/PGoDV/?lang=de&keyword=
Autor*in
Thomas Brunner
Seit zwei Wochen gilt das revidierte eidgenössische Datenschutzgesetz. Auch wenn dabei die Grundsätze des Datenschutzes unverändert bleiben, gibt es im Detail Änderungen, welche die Soziale Arbeit betreffen.
In seinem aktuellen Fokusbeitrag erklärt unser Rechtsexperte Peter Mösch die gesetzlichen Grundlagen und Neuerungen und legt dar, was Organisationen aus dem Sozialbereich zu beachten haben. So müssen etwa Fragen zur Datenbeschaffung, -bearbeitung und -weitergabe neu in einem Datenschutzkonzept klar geregelt sein.
Dazu ein Hinweis in eigener Sache: Wir haben die Einführung des neuen Datenschutzgesetzes zum Anlass genommen, unsere eigene Datenschutzerklärung zu überarbeiten und zu aktualisieren. Sie finden Sie hier.
Falls Sie Praxisfragen im Zusammenhang mit dem Datenschutz haben, dann laden wir Sie ein, unsere Rechtsberatung zu nutzen. Unsere Expert*innen für «Datenschutz, Persönlichkeitsschutz und Haftung» beantworten Ihre Fragen innerhalb von max. 5 Tagen.
Ich wünsche Ihnen erhellend Lektüre.