Datenschutz in sozialen Medien

Wenn Einrichtungen des Gesundheits- und Sozialwesens im Rahmen ihrer Unternehmenskommunikation soziale Medien nutzen, spielt im Rahmen des Datenschutzes insbesondere der Schutz von (sensiblen) personenbezogenen Informationen über Patienten und Klienten (im Folgenden „Kunden“ genannt) eine entscheidende Rolle.

Personenbezogene Daten
Personenbezogene Daten von Kunden (im Folgenden: „pb-Daten“) sind alle Informationen, mithilfe derer eine Person eindeutig identifiziert werden kann, u. a. Vorname und Name, Geburtsdatum, Adresse und Telefonnummer. Diese Daten werden nach dem Bundesdatenschutzgesetz (BDSG) und den speziellen Datenschutzgesetzen der Länder bzw. der ab Ende Mai 2018 geltenden europäischen Datenschutz-Grundverordnung (DS-GVO) vor willkürlicher (digitaler) Verarbeitung geschützt. Für die Verarbeitung, d. h. die Erhebung, Speicherung, Übermittlung oder Löschung von pb-Daten, hat eine Rechtfertigung, primär in Form der Einwilligung der betroffenen Person, vorzuliegen. Eine Rechtfertigung kann sich auch daraus ergeben, dass die Daten aufgrund einer Vertragserfüllung oder eines vertragsähnlichen Vertrauensverhältnisses anfallen oder im Rahmen einer Interessenabwägung die Verarbeitung von Daten für die Wahrung der Interessen der speichernden Stelle erforderlich ist und die schutzwürdigen Belange des jeweiligen Klienten nicht beeinträchtigt sind. Die Einhaltung des Datenschutzes gegenüber Patienten, Bewohnern oder Klienten erlangt im Zusammenhang mit den in der Regel bestehenden besonderen Schweigepflichten von Mitarbeitern im Bereich des Gesundheits-und Sozialwesens besondere Bedeutung.

Sichere Kommunikationskanäle
Erfahrungsgemäß ist die berufliche Kommunikation über soziale Netzwerke häufig keinesfalls als sicher zu bezeichnen: Der Einfachheit halber werden oftmals Daten per E-Mail, SMS, WhatsApp oder Facebook-Messenger unverschlüsselt an Mitarbeiter übermittelt und ggf. von diesen anschließend an Kollegen übertragen. Hierfür nutzen die Mitarbeiter nicht selten private Accounts und private Smartphones, weil für die dienstliche Kommunikation entweder keine dienstlichen Endgeräte zur Verfügung stehen – oder
weil es schlicht bequemer ist. Streng genommen dürfen allerdings die vom Klienten selbst über diese Kanäle übermittelten Daten erst gar nicht angenommen werden. Geht also eine Nachricht mit der Telefonnummer des Klienten über den Facebook-Messenger ein, ist sie zu löschen und der Klient darauf hinzuweisen, dass die Daten auf einem anderen Weg übertragen oder im Rahmen eines persönlichen Gesprächs mitgeteilt werden müssen. Dementsprechend sollten pb-Daten von Kunden nur im Notfall über ungesicherte digitale Kanäle ausgetauscht werden.

Als sichere Kommunikationskanäle für pb-Daten sind verschlüsselte E-Mail-Konten oder Messenger-Apps anzusehen, deren Kommunikationsserver in der EU liegt. Zur sicheren Übertragung von pb-Daten via E-Mail muss der genutzte E-Mail-Assistent die Verschlüsselung von Daten ermöglichen. Der Aufwand für die Einrichtung einer standardmäßigen Verschlüsselung von ausgehenden E-Mails in Windows Outlook, Apple Mail oder Thunderbird ist überschaubar. Im Bereich der Messenger sind Facebook, Snapchat, WhatsApp, Threema und Telegramm trotz teil-weiser Verschlüsselung nicht sicher. Zwar bietet die besonders weit verbreitete Applikation WhatsApp mittlerweile eine Ende-zu-Ende-Verschlüsselung an, dennoch werden pB-Daten, insbesondere in Form der Adressbücher des Smartphones mit sämtlichen Kontakten des Nutzers, auf Servern außerhalb der EU abgelegt. Diese Praxis genügt den hiesigen Anforderungen an den Datenschutz nicht. Das gleiche gilt für Snapchat, Threema oder Telegram. Sichere Messenger und daher für die berufliche Kommunikation interessant sind hingegen Wire oder Chatsecure, weil die Daten auf deutsche Server abgelegt werden (können). Keinen Messenger, aber einen sicheren Kommunikations-kanal bietet die Caritas im Rahmen ihrer Online-Beratung (www.caritas.de/onlineberatung) an.

Solange keine pb-Daten übertragen werden, eignen sich jedoch Facebook & Co. für eine Vielzahl von anderen Kommunikationszwecken. So bietet Facebook wie WhatsApp die Möglichkeit, Text-, Audio- oder Videonachrichten und Dokumente zu verschicken sowie Audio- und Videotelefonate/ -konferenzen zu führen. Darüber hinaus können mit Facebook mittels des Antwort-Assistenten oder sogenannter Chat-Bots bereits Anfragen kanalisiert werden. So eignet sich der Antwort-Assistent in besonderer Weise dazu, mit geringem Personaleinsatz, im Rahmen der automatischen Begrüßung auf Beratungsangebote, Sprechzeiten oder auf sichere Kommunikationskanäle für die Übermittlung von pb-Daten hinzuweisen. Mit WhatsApp können durch die „Broadcast“-Funktion Newsletter unkompliziert an eineVielzahl von Empfängern versendet werden. Wie auch bei E-Mail-Newslettern ist hierbei allerdings das sog. „Double Opt-In-Verfahren“ im Rahmen der Einwilligung zu beachten, ein zweistufiges Verfahren, bei dem der Empfänger sich zunächst für einen Newsletter anmeldet und in einem zweiten Schritt die Aufnahme in den Kreis der Abonnenten bestätigt.

Sichere Speicherung
An die Speicherung von pb-Daten werden strenge Sicher-heitsanforderungen geknüpft. Unberechtigte dürfen keinen Zugang zu den Daten erhalten. Dies kann durch eine Verschlüsselung der Daten und bestenfalls eine vom Internet getrennte Ablage erreicht werden. Die Ablage darf jedoch nicht auf fremden bzw. privaten USB-Sticks erfolgen. Diese dürfen auch ansonsten nicht mit dem dienstlichen Rechner verbunden werden. Dienstliche USB-Sticks sind vor dem ersten Einsatz zu verschlüsseln. Außerdem sollte als Schutz vor Datenverlust ein Backup der Daten erstellt werden. Soweit die pb-Daten in der „Cloud“ (z. B. Dropbox) gespeichert werden sollen, ist neben der Verschlüsselung der Daten zu beachten, dass die pb-Daten auf europäischen Servern abgelegt werden.

Einsatz von Fotos und Videos von Klienten und Mitarbeitern
Fotos und Videos über Angebote oder Projekte der Einrichtung können die Internetpräsenz bereichern. Jedoch bedarf es zur Veröffentlichung des schriftlichen Einverständnisses der abgelichteten Personen, es sei denn die Medien sind im Rahmen von öffentlichen Veranstaltungen – wie z. B. einem „Tag der offenen Tür“ – entstanden und die jeweilige Person sticht nicht heraus. In der Einverständniserklärung muss der Ort der Veröffentlichung benannt sein. Im Rahmen der Verwendung von Fotos und Videos Minderjähriger sind weitere Vorgaben zu beachten. Aus Gründen der Rechtssicherheit sollte daher bis zur Volljährigkeit auf das zusätzliche Einverständnis der Erziehungsberechtigten nicht verzichtet werden. Im Falle geschäftsunfähiger Personen hat der gesetzliche Betreuer zuzustimmen. Sofern Bilder von Mitarbeitern z. B. für Image- oder Projektvideos verwendet werden sollen, empfiehlt es sich, zeitlich unbegrenzte separate Modellverträge abzuschließen. Andernfalls kann der Mitarbeiter im Falle seines Ausscheidens aus dem Unternehmen die Löschung der Medien auf der Internetseite oder den sozialen Netzwerken verlangen.

Fazit
Im Vorfeld der Nutzung von sozialen Medien sind die Mitarbeiter bzw. die Mitarbeitervertretungen der Ein-richtung in das Vorhaben einzubeziehen und insbesondere im Hinblick auf die vorgenannten rechtlichen Anforderungen und Maßnahmen im Bereich des Datenschutzes und der (IT-)Sicherheit der Kommunikation zu schulen. Gemeinsam mit den Mitarbeitern sollten verbindliche Leitlinien für eine professionelle Kommunikation entwickelt und die Mitarbeiter hierauf verpflichtet werden. Hierzu gehören neben der Nutzung von dienstlichen Accounts in sozialen Medien auch dienstliche Smartphones. Dienstliche Accounts sind mit starken Passwörtern zu sichern und der Zugang ist nur solchen Mitarbeitern zu gewähren, die ihn benötigen („Need-to-know-Prin-zip“). In jedem Fall ist der jeweilige betriebliche Datenschutzbeauftragte mit der Koordinierung zu betrauen. In Einzelfällen sollten auch Rechtsanwälte zurate gezogen werden.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald, geboren 1983

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Datenschutz im MVZ: Health&Care Management, 12/2019, S. 60.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.


Veröffentlichungen in der Fachpresse
2018

  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39. 
  • Datenschutz erhält mehr Gewicht: neue Caritas, 2/2018, S. 24.
  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018

Veröffentlichungen in der Fachpresse
2017

  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.
  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.