Digitalisierung der Sozialen Arbeit: Nutzung von Software aus den USA?

Von Barbara Bayer, Programmleiterin Soziales & Gesundheit des Walhalla Verlages

 

Mitarbeiter und Mitarbeiterinnen der Sozialen Berufe bewegen sich auf dünnem Eis. Jedenfalls dann, wenn sie Vorschriften zum Datenschutz sowie zur Schweigepflicht rechtskonform einhalten möchten. Die Corona-Pandemie verschärft diese Situation nun noch, da viele Tätigkeiten „ins Netz“ verlagert wurden. Online-Beratungen, Kommunikation mit den Klienten über Messenger, interne Besprechungen über Videokonferenzen – in den letzten Monaten wurde mit viel Engagement Herausragendes geleistet, um „den Laden am Laufen“ zu halten. Und der Datenschutz? Nun ja, dieser musste zunächst „hintanstehen“; verwendet wurden Software und Tools, die für die Betroffenen funktionieren. Keine Zeit war, zu überprüfen, ob diese DSGVO-konform sind.

Da es sich beim Austausch mit den Klienten, beim Austausch untereinander in Fallbesprechungen um besonders sensible Daten handelt, ist es aber spätestens jetzt geboten, die eingesetzten Werkzeuge zu überprüfen. Nicht zuletzt deshalb, weil uns das sog. Schrems II-Urteil – neben den „normalen“ DSGVO-Problemen – nun noch eine weitere Hürde in den Weg stellt. In diesem Urteil hat der Europäische Gerichtshof festgestellt, dass das sog. „Privacy Shield“ keine Gültigkeit besitzt (Urt. v. 16.07.2020, Az. C-311/18).

Ein Datenaustausch in die USA ist von daher noch problematischer als er bisher schon war. Datenweitergabe in die USA und Soziale Arbeit? Aber sicher, überlegen Sie doch einmal, welche Software, welche Tools sie verwenden, auf welchen Sozialen Netzwerken sich Ihre Organisation bewegt. Das sind doch einige, nicht wahr? Und was ist jetzt die Konsequenz – alles abschalten? Nein, aber bewusst mit dieser rechtlich in der Schwebe befindlichen Situation umgehen. Wie, das soll im Folgenden aufgezeigt werden.

 

Was ist der Privacy Shield?

Der sogenannte „Privacy Shield“ ist eine informelle Vereinbarung zwischen der EU-Kommission und den USA. Er ermöglichte bisher die Verarbeitung personenbezogener Daten aus Europa in den USA.

 

Worum geht es in dem Urteil?

Der österreichischer Jurist Max Schrems hält die Weitergabe seiner Facebook-Nutzerdaten aus Irland in die USA für unzulässig. Deshalb hat er von der irischen Datenschutzbehörde verlangt, diese Weitergabe zu stoppen. Das zuständige irische Gericht hat im Verfahren den EuGH angefragt, ob der Privacy Shield mit den europäischen Datenschutzregeln vereinbar sei. Dies verneinte der EuGH in seinem Urteil: Die Vereinbarung wahre nicht das europäische Datenschutzniveau, weil sie Zugriffsmöglichkeiten von US-Sicherheitsbehörden auf persönliche Daten aus der EU nicht ausschließe und für Betroffene keinen wirksamen Rechtsschutz garantiere.

 

Ist eine Datenverarbeitung in die USA jetzt noch möglich?

Die Zulässigkeit der weiteren Verarbeitung personenbezogener Daten aus der EU in den USA hängt nach den Vorgaben des EuGH nunmehr davon ab, ob die einschlägigen europäischen Vorschriften dort eingehalten werden. Dies gilt insbesondere für die nach europäischem Recht unzulässigen Zugriffe von US-amerikanischen Sicherheitsbehörden. Datenschutzrechtlich Verantwortliche dürfen Verarbeitungen von personenbezogenen Daten aus der EU in den USA nur zulassen, wenn sie gewährleisten können, dass betroffenen EU-Bürgern dort die nach der DSGVO erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe zur Verfügung stehen und dass sie insgesamt gleichwertige Schutzrechte wie innerhalb der EU genießen.

Für „Normalkunden“ sind diese Vorgaben kaum umsetzbar. Oder können Sie sich vorstellen, von Facebook oder der Zoom Video Communications, Inc. entsprechende Zusagen zu erhalten und individuell in einem Schriftstück niederzulegen? Eben. Für die Praxis bedeutet die derzeitige Lage ein Rechtsvakuum. Wir werden wohl warten müssen, bis die EU neue Vereinbarungen mit den USA schließt, um hier wieder sicheren Boden unter den datenschutzrechtlichen Füßen zu haben; erste Gespräche sind bereits angelaufen.

 

Was kann die Organisation, das Unternehmen nun tun?

Ignorieren kann man das EUGH-Urteil natürlich nicht. Die Organisation muss schon nachweisen können, dass sie alles tut, um die DSGVO-Vorgaben einzuhalten. Dazu gehört insbesondere, sich einen Überblick zu verschaffen und Folgen abzuschätzen:

  • Ermitteln Sie in einem ersten Schritt alle Auftragnehmer, die in den USA personenbezogene Daten für Sie verarbeiten bzw. Zugriffsmöglichkeiten haben. Erstellen Sie eine entsprechende Dienstleister-/Softwareliste.
  • Prüfen Sie, ob diese Anbieter an einer Lösung arbeiten um das Schutzniveau zu wahren. Dies kann oft auf den Homepages nachgelesen werden, teilweise werden auch Newsletter an die technisch Verantwortlichen der Organisation geschickt (z. B. Google). Dokumentieren Sie dies bzw. speichern Sie diese „Zwischenstände“ ab.
  • Prüfen Sie, ob ein Wechsel zu Anbietern möglich ist, die Daten in Europa verarbeiten (z. B. Messengerdienste – anstelle WhatsApp evtl. besser Threema, deren Sitz in der Schweiz ist?). Dokumentieren Sie diesen Evaluationsprozess, um nachweisen zu können, dass Sie sich um Alternativen bemühen.
  • Fragen Sie bei den Anbietern nach, ob Ihre Daten auf EU-Servern verarbeitet/gespeichert So bietet z. B. Microsoft die Möglichkeit, Daten auf EU-Servern zu speichern (auch hier bleiben Rechtsunsicherheiten, ist aber derzeit besser als nichts).
  • Passen Sie Ihre Datenschutzerklärungen an, in dem Sie Formulierungen zum Privacy Shield entfernen. Dies betrifft insbesondere Texte, die Sie zum Auftritt Ihrer Organisation in sozialen Netzwerken (z. B. Facebook, Instagram) erstellt haben.

 

Welche Garantien letztendlich getroffen werden können, ist derzeit noch offen bzw. im Fluss. In jedem Fall sollte man jedoch bereits jetzt zeigen, dass man proaktiv tätig wird und sich unternehmensseitig um das Thema kümmert bzw. nach einer Lösung sucht; die oben genannten Tipps sind hierfür der erste Schritt.

 

Autorinnen/Autoren

  • Rezensionen

    Dieses Set enthält folgende Produkte:
      Auch in folgendem Set erhältlich:

      • nach oben

        Ihre Daten werden geladen ...