Datenschutz im Sozialwesen: Im Gespräch mit Peter Mösch Payot

Im Sozialwesen wird mit hochsensiblen Daten gearbeitet - das ist allgemein bekannt. Deshalb ist es wichtig, sich immer wieder mit dieser Tatsache auseinanderzusetzen und sie in den Arbeitsalltag einzubauen. Durch die Integration von Datenschutz und Anpassungsfähigkeit kann eine Software das Thema Datenschutz frühzeitig aufgreifen und entsprechend kanalisieren. Doch was bedeutet Datenschutz? Ist es dasselbe wie Datensicherheit? Datenschutz umfasst die Regeln, zum Umgang mit personenbezogenen Daten: Wie und wo werden sie erhoben? Wer darf sie wem weitergeben? Aber eben auch, wie werden sie bearbeitet und gesichert? Die Datensicherheit umfasst somit als Teil des Datenschutzes die Massnahmen, die verhindern sollen, dass Unbefugte auf Datenbanken und Websites zugreifen können. So gehen Datenschutz und Datensicherheit Hand in Hand.

Aline Beutler: «In welchen alltäglichen Arbeiten sind Fachpersonen mit Datenschutz konfrontiert?»

Peter Mösch Payot: «Insbesondere im Erfassen von Daten, beim Schreiben von Verlaufsdokumentationen und bei der Frage, wem sie wie Informationen weitergeben.»

Aline Beutler: «Welche Bedeutung hat dies konkret für das Sozialwesen?»

Peter Mösch Payot: «Bei der Arbeit im sozialen Bereich ist die Klärung des Auftrags unerlässlich. Daraus kann grundsätzlich abgeleitet werden, zu welchem Zweck Informationen erfasst und Akten erstellt werden dürfen, und wem die Daten wie weitergegeben werden und wem nicht. Manchmal können aber auch andere Grundlagen als der Auftrag der Klienten und Klientinnen bestehen, dass Informationen weitergegeben werden dürfen oder müssen, etwa bestimmte gesetzliche Grundlagen. Das Erheben von Daten kann auf jeden Fall für die Betroffenen von erheblicher Bedeutung sein. Hier ein kleines Beispiel: Ein Kind wird fremdplatziert, die Eltern des Kindes sind zerstritten und werfen sich gegenseitig vor, die Kinder schlecht zu behandeln. Im Rahmen des Sorgerechtsstreits kann es nun sein, dass die Eltern, die KESB oder ein Gericht die Herausgabe von Informationen etwa der Schule oder eine Betreuungsinstitution verlangen. Der Inhalt der Akten der Schule oder der Betreuungsinstitution kann für die Entscheidung über den künftigen Verbleib der Kinder relevant und wesentlich sein.

Grundsätzlich sind etwa in einer Betreuungsinstitution nur Informationen zu erheben, welche für die eigene Tätigkeit notwendig sind. Die also benötigt werden, um die Arbeit fortzusetzen. Die Fachperson muss zudem sicherstellen, dass diese Daten und Verlaufsdokumente aussagekräftig und zweckmässig sind. Wichtig ist, dass die Institutionen im Weiteren die Grundlagen kennen, unter welchen Voraussetzungen welche Informationen sie an wen herausgeben dürfen, bzw. müssen, und welche nicht. Ich stelle fest, dass oft noch zu viel dokumentiert wird, vor allem im sozialpädagogischen Bereich. Dem kann mit einer klaren Auftragsklärung entgegengewirkt werden.» 

Aline Beutler: «Was sind seitens Institutionen die grössten Herausforderungen?»

Peter Mösch Payot: «Ein klares Informationsmanagement, dies setzt eine Rollen- und Auftragsklärung voraus. Eine klare Definition wie sinn- und zweckmässig dokumentiert wird. Das Wissen darüber welche persönlichen und amtlichen Daten an Dritte gezeigt werden dürfen, wobei besonders darauf zu achten ist, dass die Daten Dritter in der Dokumentation geschützt sind.

Als Herausforderung für die Fachpersonen möchte ich auch das häufig fehlende Wissen über technische Aspekte erwähnen. 

Diese Aspekte sind aber keineswegs neu, sondern sind mit der Diskussion zum neuen Datenschutzgesetz wieder mehr in den Mittelpunkt der Aufmerksamkeit gerückt.»

Aline Beutler: «Welche Chancen und Risiken bietet das Datenschutzgesetz?»

Peter Mösch Payot: «Als wohl grösste Chance sehe ich die Stärkung des Problembewusstseins der Fachpersonen. Sie sind besser sensibilisiert und setzen sich intensiver mit dem Thema auseinander. Als Risiken sehe ich die damit einhergehenden Mehrkosten und personellen Ressourcenaufwände für die Einhaltung des Datenschutzes seitens der Institutionen und Organisationen. Vor allem bezüglich der technischen Aspekte der Datensicherheit, oder auch der Pflicht, den Datenzugang kontrollieren und protokollieren zu können. Datenschutz kann und wird wohl auch vermehrt ein Thema der Aufsicht sein. Institutionen müssen damit rechnen, dass die Einhaltung des Datenschutzes vermehrt kontrolliert werden wird, und dass sie ev. zukünftig Berichte zum Datenschutz verfassen oder gar eine Zertifizierungsprozess durchlaufen müssen.»

Aline Beutler: «Gibt es kantonale Unterschiede in der Handhabung des Datenschutzes? Wenn ja, welche?»

Peter Mösch Payot: «Ja, es gibt kantonale Unterschiede. Unter Umständen kommt bei Institutionen das kantonale Datenschutzrecht zur Anwendung, wenn sie öffentliche Aufgaben wahrnehmen. Die grössten Unterschiede sind wohl bei der Frage der Archivierung und Löschung von Daten zu finden. Hierbei sollten sich die jeweiligen zuständigen Personen mit dem kantonalen Datenschutzbeauftragten abzuklären. Wichtig gilt es auch zu hinterfragen, was mit «Löschung» explizit gemeint ist. Ein Löschbutton bedeutet in der Software oftmals noch nicht, dass die Daten vollständig weg sind. Vielmehr sind diese für den Nutzer oder die Nutzerin der Software nicht mehr sichtbar, aber in den Datenbanken noch hinterlegt.»

Aline Beutler: «Was muss seitens Software-Anbietenden zum Thema Datenschutz berücksichtigt werden?»

Peter Mösch Payot: «Die Software muss über eine integrierte Zugangskontrolle verfügen und ein Protokoll führen, wenn Daten geändert werden. Die Protokollierung hilft die Nachvollziehbarkeit von geänderten Daten zu gewährleisten - wer, wann und was wird aufgezeichnet. Ein Berechtigungskonzept ermöglicht es Fachpersonen, bestimmte Daten einzusehen oder zu überarbeiten. Die Software muss daher bereits über einen solchen Mechanismus verfügen. Es muss möglich sein, Daten innerhalb der Software anzupassen oder zu korrigieren. Das Klientel kann auf Grundlage der Akteneinsicht Änderungen an den Daten verlangen. Die Software sollte auch die Möglichkeit bieten, alle Daten der Person z. B. in Form einer Liste auszugeben. Für Fachpersonen ist es wichtig, Informationen von Dritten in den Akten zu schützen. Wünschenswert wäre natürlich, dass dies durch eine KI innerhalb der Software geschieht, so dass die Fachperson nur einen Knopfdruck oder Mausklick vom Ausdrucken der Daten entfernt ist. Darüber hinaus muss eine Datenschutzerklärung zwischen der sozialen Institution oder Organisation und dem Software-Anbietenden erstellt werden und es müssen Schutzmassnahmen für Datenbanken und Websites gewährleistet sein.

Zusammengefasst soll eine Software folgende Punkte beinhalten:

• Protokollierung
• Berechtigungskonzept
• Daten veränderbar/korrigierbar
• Auszug von Daten aus Software
• Datenschutzerklärung zwischen Institution und Software-Anbietende
• Schutzmassnahmen für Datenbanken und Webseiten

Zu beachten ist auch, dass Software-Anbietende, die ihr Produkt im Ausland hosten, spezielle Regeln beachten müssen. Wenn sie dies etwa in Europa tun, müssen die Voraussetzungen der Europäischen Datenschutzgrundverordnung eingehalten werden und daraufhin müssen ihre Verträge geprüft werden»

Hierzu weitere Informationen bei der EDÖB (Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen): https://www.edoeb.admin.ch/de/datenschutz

Zusätzlicher Auszug aus dem revidierten DSG:

«Privacy by Design» und «Privacy by Default» (neu: Art. 7 DSG)

«Im revidierten DSG sind neu die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) verankert. […] Der Datenschutz durch Technik verlangt, dass sie ihre Applikationen u.a. so ausgestalten, dass die Daten standardmässig anonymisiert oder gelöscht werden. Datenschutzfreundliche Voreinstellungen schützen die Nutzer von privaten Online-Angeboten, […] indem nur die für den Verwendungszweck unbedingt nötigen Daten bearbeitet werden, solange sie nicht aktiv werden und weitergehende Bearbeitungen autorisieren.»

TOGETHER bietet:

• Protokollierung von Änderungen an
  • Ereignissen
  • Personendaten
• Feingranulares Berechtigungssystem mit Sicherheitsgruppen
• Daten sind veränderbar
• Mittels Reporting können alle Daten, welche ins TOGETHER fliessen auch als solche bspw. in Liste zusammengezogen werden
• Entwicklungsstandort ist ausschliesslich die Schweiz. Die Server befinden sich in einem etablierten Schweizer Rechenzentrum.
• Entsprechende Schutzmassnahmen für die Sicherung der Datenbanken sind etabliert.

Das Team hinter TOGETHER entwickelt die Software laufend weiter und kann damit die Bedürfnisse der Kundschaft zum Thema Datenschutz abholen und umsetzen.

Vielen Dank an Herrn Mösch Payot für das informative und aufschlussreiche Interview zum Thema Datenschutz. 

Herr Mösch Payot bietet Schulungen / Workshops für Institutionen an und geht dabei auf die spezifischen Fragestellungen der Fachpersonen ein. Kontakt: moeschpeter [at] bluewin.ch (moeschpeter[at]bluewin[dot]ch)

Datenschutz und Datensicherheit sind im Sozialwesen essenziell, da mit sensiblen Daten gearbeitet wird. Sie stellen rechtliche und technische Anforderungen an Fachpersonen, Institutionen und Softwarelösungen. Klare Strukturen, gezielte, zweckmässige Dokumentation und moderne Technologien bieten Chancen, erhöhen jedoch den Ressourcenaufwand und die Kosten.

Quellen:

• Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (2025): https://www.edoeb.admin.ch/de/das-neue-datenschutzgesetz-aus-sicht-des-edob [Zugriff 20.01.2025]

Abbildung:

• Peter Mösch Payot (2025): persönliche Aufnahme