Datenschutz in der Kinder- und Jugendhilfe E-Book

1. Auflage

© WALHALLA Fachverlag, Regensburg

Dieses E-Book ist nur für den persönlichen Gebrauch bestimmt. Alle Rechte, insbesondere das Recht der Vervielfältigung und Verbreitung sowie der Übersetzung, vorbehalten. Kein Teil des Werkes darf in irgendeiner Form ohne schriftliche Genehmigung des Verlages reproduziert, vervielfältigt oder verbreitet werden. Eine entgeltliche oder unentgeltliche Weitergabe oder Leihe an Dritte ist nicht erlaubt. Auch das Einspeisen des E-Books in ein Netzwerk (z. B. Behörden-, Bibliotheksserver, Unternehmens-Intranet) ist nicht erlaubt. Sollten Sie an einer Serverlösung interessiert sein, wenden Sie sich bitte an den WALHALLA-Kundenservice; wir bieten hierfür attraktive Lösungen an (Tel. 0941/5684-210).

Hinweis: Unsere Werke sind stets bemüht, Sie nach bestem Wissen zu informieren. Eine Haftung für technische oder inhaltliche Richtigkeit wird vom Verlag aber nicht übernommen. Verbindliche Auskünfte holen Sie gegebenenfalls bei Ihrem Rechtsanwalt ein.

Kontakt: Walhalla Fachverlag Haus an der Eisernen Brücke 93042 Regensburg Tel. (09 41) 56 84-0 Fax. (09 41) 56 84-111 E-Mail [email protected] Web

Vorwort

Der Datenschutz spielt in den verschiedenen Arbeitsfeldern der Kinder- und Jugendhilfe eine wichtige Rolle. Für viele sozialpädagogische Fachkräfte gehört der vertrauensvolle Umgang mit persönlichen Daten und Informationen aus dem privaten Bereich ihrer Klienten/Klientinnen zur täglichen Praxis und stellt eine unabdingbare Voraussetzung für ihre erfolgreiche Arbeit dar. Datenschutz ist ein integraler Bestandteil des Berufsethos in der Kinder- und Jugendhilfe.

Gleichzeitig gibt es in der Praxis immer wieder Unsicherheiten, vor allem bei der professionellen Zusammenarbeit mit anderen Akteuren. Wann dürfen welche Informationen mit Behörden, Trägern und anderen Institutionen ausgetauscht werden? Wann müssen Informationen sogar an andere weitergegeben werden? Wie ist in diesem Zusammenhang mit der sozialpädagogischen Schweigepflicht umzugehen und welche rechtlichen Bedingungen werden an eine Einwilligung zur Weitergabe von Daten gestellt?

Die Kinder- und Jugendhilfe ist im Achten Sozialgesetzbuch (SGB VIII) geregelt und unterliegt dem Sozialdatenschutz des Sozialgesetzbuches (SGB). Damit kommen neben dem spezialgesetzlich geregelten Sozialdatenschutz in der Kinder- und Jugendhilfe die allgemeinen Regelungen im Sozialgesetzbuch (SGB) Zehntes Buch (X) – Sozialverwaltungsverfahren und Sozialdatenschutz und im Sozialgesetzbuch (SGB) Erstes Buch (I) – Allgemeiner Teil zur Anwendung. Durch die unterschiedlichen Aufgabenbereiche und Berührungspunkte in der Kinder- und Jugendhilfe mit anderen Behörden und Institutionen sind weitere bundesrechtliche und landesrechtliche Regelungen zu beachten. Durch das Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO) ist der Umgang mit dem deutschen Sozialdatenschutzrecht nochmals erweitert worden. Neben dem SGB ist neuerdings unmittelbar die DS-GVO anzuwenden, so dass in der Praxis an vielen Stellen Kenntnisse über die Grundsätze, Begriffe und die Struktur der DS-GVO erforderlich sind. Hinzu kommen als Orientierungshilfe für die Auslegung der Regelungen im europäischen Datenschutzrecht die Erwägungsgründe in der DS-GVO. Die unterschiedlichen datenschutzrechtlichen Grundlagen erfordern nicht nur rechtliche Kenntnisse für den praktischen Umgang, sondern sie bilden insoweit auch die Legitimation und Absicherung sozialpädagogischer Fachlichkeit.

Mit dem Einführungswerk Datenschutz in der Kinder- und Jugendhilfe soll nach einer allgemeinen Einleitung in die neue DS-GVO ein praxisnaher Einblick in die unterschiedlichen datenschutzrechtlichen Grundlagen im Rahmen der Kinder- und Jugendhilfe ermöglicht werden. Dabei sollen vor allem die Sicht der sozialpädagogischen Fachkräfte, die in den unterschiedlichen Arbeitsbereichen der Kinder- und Jugendhilfe täglich mit praktischen sozialdatenschutzrechtlichen Fragen konfrontiert werden, im Mittelpunkt stehen und weniger Fragen der Datensicherheit im Sinne von technischem oder organisatorischem Datenschutz.

Für einen raschen Überblick kann auf die zu Beginn eines jeden Kapitels im Rahmen zusammengefassten Aussagen zurückgegriffen werden. Eine ausführlichere Auseinandersetzung mit den maßgeblichen Begrifflichkeiten und Rechtsvorschriften erfolgt in der nachfolgenden Darstellung. Teilweise sind aus Gründen der Übersichtlichkeit am Ende des jeweiligen Kapitels nochmals Übersichten mit Stichworten und den zugehörigen Rechtsgrundlagen aufgeführt. Im Text sind weiterführende Literaturhinweise, Praxis-Tipps und Querverbindungen eingefügt, die für Interessierte eine über eine Einführung hinausgehende Vertiefung einzelner Rechtsprobleme und die Umsetzung in der Praxis erleichtern sollen. Schließlich wurde auch die Anpassung des SGB VIII im Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die DS-GVO berücksichtigt.

Für die vielfältigen Anregungen in Fortbildungsveranstaltungen und im Rahmen von gemeinsamen Projekten, vor allem mit Kollegen/Kolleginnen aus Jugendämtern, sowie die zuverlässige und fachlich hilfreiche Unterstützung meiner Lektorin, Dr. Julia Eppler, möchte ich mich an dieser Stelle herzlich bedanken.

Prof. Marion HundtBerlin, im März 2019

Abkürzungsverzeichnis

1. Wissen der datenschutzrechtlichen Rahmenbedingungen und deren Gestaltung in der individuellen sozialen Praxis

Die Frage, wie mit Informationen und persönlichen Daten in der Kinder- und Jugendhilfe umzugehen ist und welche Kooperationen und welcher Austausch mit anderen möglich sind, berührt einen zentralen Kernbereich der sozialpädagogischen Arbeit in der Kinder- und Jugendhilfe.

Dabei geht es auf der einen Seite um das Wissen der datenschutzrechtlichen Rahmenbedingungen und deren Gestaltung in der individuellen sozialen Praxis. Sozialpädagogische Fachkräfte in Jugendämtern oder anderen öffentlich-rechtlichen Behörden gehören zur Verwaltung, die nach Art. 20 Abs. 3 GG an Recht und Gesetz gebunden und damit den entsprechenden Bestimmungen im Sozialverwaltungsverfahren und den Datenschutzvorschriften unmittelbar verpflichtet sind. Die Bindung der Verwaltung an Recht und Gesetz wird als Gesetzmäßigkeit der Verwaltung bezeichnet und stellt einen Kerninhalt der Rechtsstaatlichkeit dar. Die Bindung der vollziehenden Gewalt an Recht und Gesetz beinhaltet die Pflicht der Verwaltung, die Anordnungen der Gesetze zu befolgen. Die im SGB geregelten Begünstigungen stehen nicht im freien Ermessen der öffentlichen Verwaltung, sondern sind dazu bestimmt, den sozialen Rechtsstaat zu verwirklichen (vgl. § 31 SGB I sowie BT-Drs. 7/868 S. 27). Das bedeutet allerdings nicht, dass es bei der Anwendung normativer Vorgaben keine sozialpädagogischen Handlungsspielräume gäbe. Zahlreiche Rechtsvorschriften verwenden sog. unbestimmte Rechtsbegriffe, eröffnen einen Beurteilungs- oder Ermessensspielraum bei deren Anwendung. Grundsätzlich sind Gesetze keine feststehenden Anweisungen für Einzelfälle, sondern immer abstrakt und generell formuliert. Das Recht muss für alle denkbaren Einzelfälle und neuen Sachverhalte offen sein und sich der Vielgestaltigkeit von Lebenssituationen anpassen. Dies gilt in der Kinder- und Jugendhilfe (SGB VIII) in besonderer Weise. Das SGB VIII ist durch unbestimmte Rechtsbegriffe geprägt, die im Zuge einer normativen Praxis konkretisiert werden müssen, um die Fachkräfte und Organisationen in die Lage zu versetzen, soziale Praxis zu gestalten.1 Soll eine rechtliche Vorschrift auf einen konkreten Fall angewendet werden, muss geprüft werden, ob die einzelnen Merkmale des vorliegenden Sachverhaltes den Voraussetzungen der Rechtsnorm entsprechen. Dabei ist häufig eine sozialpädagogische Sicht oder Einschätzung gefordert. Datenschutzrechtliche Vorgaben gehören zum Sozialverwaltungsrecht und damit zu den für die sozialpädagogische Arbeit der öffentlichen Jugendhilfe maßgeblich zu beachtenden Rahmenbedingungen.

Rechtliche Vorgaben können Handlungsunsicherheiten ausräumen und sind orientierungsstiftend: Die Einhaltung von Datenschutzregelungen fordern eine klare Haltung und eine konkrete Rollenklärung, sie stellen für die Herstellung der Transparenz im Verwaltungsverfahren einen wichtigen ersten Schritt dar. Wer hat welche Aufgaben und Kompetenzen? Wer darf zur Erfüllung dieser Aufgaben von wem welche Informationen unter welchen Voraussetzungen erhalten, nutzen und weitergeben? Prozesse werden nachvollziehbar, Aufgaben und Ziele für die Beteiligten geklärt und für die Betroffenen verständlich. Rechtliche Vorschriften übernehmen in der sozialen Arbeit insoweit auch die Funktion der Qualitätssicherung. Dies bedeutet, dass mittels gesetzlicher Regelungen bestimmte Standards beschrieben bzw. sogar vorgeschrieben werden.2 Datenschutz ist auf diese Weise auch als Qualitätsmerkmal sozialer Arbeit zu verstehen (vgl. § 79a SGB VIII). Datenschutzrechtliche Vorschriften „behindern“ nicht die sozialpädagogische Fachlichkeit Sozialer Arbeit – wie manchmal aus der Praxis konstatiert wird –, sondern wirken als rechtsstaatliche Kontrolle in erster Linie legitimierend und absichernd.3

Zudem wird das öffentlich-rechtliche Verhältnis der betroffenen Kinder und Jugendlichen und ihrer Familien zum Träger der öffentlichen Jugendhilfe strukturell als Über- und Unterordnungsverhältnis im Sinne einer Subordination geregelt. Das Sozialverwaltungsverfahren wird von der öffentlichen Jugendhilfe geführt und mündet in der Regel in einem grundsätzlich einseitig durch die Behörde erlassenen Bescheid, also einem Verwaltungsakt gem. § 31 SGB X. Auf der Seite der öffentlichen Jugendhilfe handeln professionelle sozialpädagogische Fachkräfte, die aufgrund der strukturellen Situation in der Kinder- und Jugendhilfe mit den deutlich mehr und differenzierteren Handlungsmöglichkeiten ausgestattet sind als ihr Gegenüber. In der Kinder- und Jugendhilfe stehen familiäre Binnenverhältnisse im Mittelpunkt, die mit intimen und häufig höchst emotionalen Lebenssituationen verbunden sind. Das Gefühl der Ohnmacht gegenüber der behördlichen bzw. professionellen (Über-)Macht und dem eigenen Versagen oder krisenhaften Lebenssituationen erschwert es häufig für die Betroffenen, sich mit eigenen Vorstellungen und Wünschen einzubringen, selbstbewusst zu agieren oder gar zu intervenieren. Ganz deutlich wird die strukturelle Machtasymmetrie innerhalb der Kinder- und Jugendhilfe bei den Aufgaben des Kinderschutzes, bei denen die öffentliche Jugendhilfe letztlich auch gegen den Willen von Kindern und Eltern Zwangsmaßnahmen durchsetzen darf, wenn dies als letztes Mittel für den Schutz zur Verfügung steht. Zwar können selbst konkret normierte Rechte und Verfahren nicht immer gewährleisten, dass in der täglichen Praxis Macht- und Herrschaftsmechanismen verhindert und eine Symmetrie hergestellt werden kann, weshalb neben den bestehenden Rechtsbehelfsmöglichkeiten, wie Widerspruch, Klage und Dienstaufsichtsbeschwerde etc. neuerdings Ombudsstellen zum Ausgleich der Machtasymmetrie in der Konzeptfortentwicklung der Kinder- und Jugendhilfe für wichtig erachtet werden.4 Dennoch begrenzen rechtliche Verfahrensvorgaben, wie der Datenschutz, das Machtgefälle und stellen eine Unterstützung bei der Wahrnehmung eigener Persönlichkeitsrechte im Verwaltungsverfahren dar. Datenschutzvorschriften sichern auf diese Weise die Subjektstellung der Betroffenen in Kinder- und Jugendhilfeverfahren. Es soll über sie nicht als Objekte oder im Rahmen des paternalistischen Prinzips der Fürsorge entschieden werden, sondern öffentliche Träger nehmen ihr Gegenüber ernst, fordern zur Partizipation auf und aktivieren im Sinne des Empowerments. Datenschutzvorgaben ermöglichen insoweit eine unabhängige Überprüfung der Qualitätsanforderungen an sozialpädagogische Arbeit und unterstellen das Handeln der Fachkräfte dadurch einer rechtsstaatlichen Kontrolle.

2. Umgang mit persönlichen Daten als Beziehungsarbeit

Auf der anderen Seite stellt der Umgang mit persönlichen Daten von Betroffenen ein wichtiges Element der Beziehungsarbeit dar: Erst verlässliche Vertraulichkeit und geschützte Räume ermöglichen eine Öffnung von Klientinnen und Klienten. Es bedarf einer sicheren Vertrauensbasis, wenn intime Lebensumstände und Problemlagen offenbart, Beratung und Hilfe angenommen werden sollen. Diese stellt die Grundlage für jegliche sozialpädagogische Arbeit dar. Ohne Vertraulichkeit und dem Respekt vor dem selbstbestimmten Umgang mit persönlichen Daten ist nicht nur der Aufbau einer Hilfebeziehung in der sozialen Arbeit gefährdet, vielmehr bedarf es der vertraulichen Zusammenarbeit auch für den Erhalt der Beziehung und für den Leistungserfolg. Eine sinnvolle sozialpädagogische Diagnose und letztlich wirksame und funktionsgerechte Hilfeleistungen sind nur bei einer rückhaltlosen Offenbarung aller wichtigen Lebensumstände durch die Hilfesuchenden möglich.

Datenschutz besteht also nicht nur aus der Rechtsanwendung von Datenschutzregelungen, sondern beinhaltet eine fachlich-ethische Haltung der sozialpädagogischen Fachkräfte. Transparenz und Aufklärung, die Achtung vor den Persönlichkeitsrechten und der Selbstbestimmung der Betroffenen sind Grundlagen der Fachlichkeit der Sozialen Arbeit, die sich letztlich in den konkreten Datenschutzvorschriften widerspiegeln.

1. Verfassungsrechtliche Grundlagen

Der Datenschutz ist durch das Grundrecht auf informationelle Selbstbestimmung verfassungsrechtlich garantiert. Das Bundesverfassungsgericht (BVerfG) hat 1983 in seinem Volkszählungsurteil festgestellt, dass das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 GG i. V. m. der Menschenwürde aus Art. 1 Abs. 1 GG auch das Recht auf informationelle Selbstbestimmung umfasst.

Die wichtigen Leitsätze des Volkszählungsurteils des Bundesverfassungsgerichts lauten:5 „Dieses Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen dieses Rechts auf ,informationelle Selbstbestimmung‘ sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.“

Dementsprechend hat das Grundrecht auf informationelle Selbstbestimmung zu einer spezifischen Ausprägung des Vorbehalts des Gesetzes geführt. Nach der Rechtsprechung des BVerfG werden strenge Anforderungen an das eingreifende Gesetz gestellt. So müssen in dem Gesetz Erhebungs- und Verarbeitungsbefugnisse möglichst normenklar und ausführlich geregelt sein und nach Möglichkeit die Art der Daten, der Anlass der Erhebung und der Zweck der Nutzung, die Dauer der Speicherung und die nutzenden staatlichen Stellen konkret festgelegt werden.6 In der Rechtsprechung des BVerfG zum Grundrecht auf informationelle Selbstbestimmung wird deutlich, dass der Schutz umso intensiver wird, je näher die Daten der Intimsphäre des Betroffenen stehen, die als unantastbarer Bereich privater Lebensgestaltung gegenüber aller staatlicher Gewalt Achtung und Schutz beansprucht. Psychosoziale Daten sind mithin sogar stärker geschützt als rein medizinische Befunde.7 Aus dem Sozialstaatsprinzip des Grundgesetzes kann die Verpflichtung des Staates zur Hilfe von Menschen abgeleitet werden: „Die Fürsorge für Hilfebedürftige gehört zu den selbstverständlichen Verpflichtungen eines Sozialstaats.“8 In diesem Zusammenhang wird durch das BVerfG verdeutlicht, dass persönliches Vertrauen für die soziale Hilfe von grundlegender Bedeutung ist. Es hat in einem Urteil zur Beschlagnahme von Patientenakten einer Suchtberatungsstelle ausgeführt, dass für die Arbeit solcher Beratungsstellen unabdingbare Voraussetzung die Bildung eines Vertrauensverhältnisses ist. Müssen Klienten damit rechnen, dass ihre während der Beratung gemachten Äußerungen Dritten zugänglich gemacht werden, so werden sie regelmäßig gar nicht erst bereit sein, von der Möglichkeit sich beraten zu lassen Gebrauch zu machen.

Angesichts der technischen Entwicklungen gerade auf dem Gebiet der Informationstechnik hat das Bundesverfassungsgericht im Hinblick auf neuartige Gefährdungen des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ abgeleitet.9 Diese Persönlichkeitsgefährdung sieht das BVerfG in der Angewiesenheit des Einzelnen auf die Nutzung informationstechnischer Systeme, denen er persönliche Daten „anvertraue“.

2. Aktuelle europäische Entwicklung (Datenschutz-Grundverordnung)

Im europäischen Datenschutzrecht galt bisher die Datenschutz-Richtlinie10 von 1995, die im deutschen Datenschutzrecht entsprechend umgesetzt worden ist. Diese Richtlinie wurde durch die Datenschutz-Grundverordnung (DS-GVO)11 mit Wirkung zum 25.05.2018 aufgehoben (Art. 94 Abs. 1 DS-GVO). Gleichzeitig stellt dieser Zeitpunkt den Geltungsbeginn für die DS-GVO mit allen Regelungen in allen Unions-Mitgliedstaaten (Art. 99 Abs. 2 DS-GVO) dar. Denn im Unterschied zu einer europäischen Richtlinie bedarf eine europäische Verordnung aufgrund deren unmittelbaren Wirkung keines Umsetzungsaktes in den einzelnen Mitgliedstaaten, sondern gilt nach Art. 288 Abs. 2 AEUV ohne weiteres. Eine Verordnung stellt mithin einen starken Rechtsakt dar. Das bedeutet, dass die DS-GVO ab dem 25.05.2018, wie in den anderen Mitgliedstaaten der Europäischen Union auch in Deutschland, unmittelbar anwendbares Recht geworden ist. Zu den Regelungen in der DS-GVO gehören auch die insgesamt 173 Erwägungsgründe.12 Erwägungsgründe weisen eine ganz besondere Rechtsnatur auf: Einerseits sind sie fester Bestandteil europäischer Rechtsakte, andererseits stehen sie außerhalb des eigentlichen Normtextes.13 Sie geben in komprimierter Form wichtige Auskünfte über Zielsetzungen und Hintergründe für den Erlass eines Rechtsaktes und der vorangegangenen politischen Einigung. Ihnen kommt autoritative Wirkung – allerdings ohne Regelungsfunktion – zu, und sie sind grundsätzlich geeignete und wichtige Orientierungshilfen zur Auslegung.14

Aufgrund der unmittelbaren Geltung steht die DS-GVO in einem Anwendungsvorrang gegenüber dem nationalen Recht, also deutschem Recht, so dass zur Verordnung im Widerspruch stehendes nationales Recht ab Geltungsbeginn nicht mehr zur Anwendung kommen darf. Nach ErwGr 2 zur DS-GVO ist wesentliches Ziel der DS-GVO, in den Mitgliedstaaten der EU ein weitgehend einheitliches Datenschutzniveau zu etablieren, um das primärrechtlich verankerte Grundrecht auf Datenschutz (ErwGr 1 DS-GVO, Art. 8 GRCh, Art. 16 Abs. 2 AEUV) unionsweit zu gewährleisten und so zur Verwirklichung des Raums der Freiheit, der Sicherheit und des Rechts beizutragen. Die DS-GVO schützt nach Art. 1 Abs. 2 DS-GVO die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten. Mit der DS-GVO soll ein solider, kohärenter und klar durchsetzbarer Rechtsrahmen im Bereich des Datenschutzes geschaffen werden (ErwGr 7 DS-GVO), was offenbar mit der Datenschutz-Richtlinie nicht im gewünschtem Maße gelungen war (ErwGr 9 DS-GVO).

Allerdings gibt es in der DS-GVO Konkretisierungs- und Öffnungsklauseln sowie Regelungsaufträge und Ausnahmevorschriften zugunsten des nationalen Rechts.15 Der daraus folgende Anpassungsbedarf auf nationaler Ebene führte zu verschiedenen gesetzlichen bundesdeutschen Änderungen. Diese Art von Regelungstechnik der DS-GVO „führt zu einem in dieser Form neuen Ineinandergreifen von Unionsrecht und nationalem Datenschutzrecht“.16 Letztlich bedeutet dies im Datenschutzrecht ein gestuftes Verfahren: Soweit die DS-GVO Regelungen ohne Öffnungsklausel vorsieht, ist auf sie für die Rechtsanwendung unmittelbar und abschließend zurückzugreifen. Eine nähere Konkretisierung durch das deutsche Recht ist nur auf der zweiten Stufe für die nach der DS-GVO eröffneten Regelungsbereiche möglich. Bildlich könnte davon gesprochen werden, dass die DS-GVO quasi „Fenster“ in das deutsche Recht eröffnet. Für die Beurteilung von datenschutzrechtlichen Fragen sind deshalb neuerdings zwingend auch Kenntnisse der DS-GVO erforderlich.

3. Neue Grundsätze für die Datenverarbeitung nach der DS-GVO

Die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 DS-GVO prägen alle Vorschriften der DS-GVO und sind bei deren Anwendung zu beachten. Sie sind Antworten auf die Frage, welche Bedingungen bei der Verarbeitung personenbezogener Daten gegeben sein müssen, um das Grundrecht auf Datenschutz zu gewährleisten.17 Sie sind bei der Auslegung der einzelnen Bestimmungen der DS-GVO zu berücksichtigen. Sie stellen allerdings nicht nur eine Auslegungshilfe im Sinne von „Programmsätzen“ dar, sondern es handelt sich tatsächlich um verbindliche Regelungen, auch wenn die vielen Rechtsbegriffe „ausfüllungsbedürftig und abwägungsbezogen formuliert sind“.18 Die Verbindlichkeit der Grundsätze für alle Adressaten wird besonders deutlich daran, dass gem. Art. 83 Abs. 5 Buchst. b DS-GVO bei Verstößen gegen diese Grundsätze als Sanktionen Geldbußen verhängt werden können (wobei gem. § 85a Abs. 3 SGB X gegen Behörden und sonstige öffentliche Stellen keine Geldbußen verhängt werden dürfen). Sie sind damit auch rechtsverbindliche Handlungsanweisungen für alle in der Kinder- und Jugendhilfe Tätigen. Folgende neue Grundsätze für die Verarbeitung personenbezogener Daten werden verbindlich durch Art. 5 DS-GVO vorgegeben:

„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“: Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Art. 5 Abs. 1 Buchst. a DS-GVO). Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden (ErwGr 40 DS-GVO).

Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden (ErwGr 39 Satz 2 DS-GVO). Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind (ErwGr 39 Satz 3, ErwGr 58 Satz 1 DS-GVO). Sie sind nach Art. 12 Abs. 1 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Hierzu wird weiter im ErwGr 58 Satz 4 DS-GVO erläutert, dass aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.

„Zweckbindung“: Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Art. 5 Abs. 1 Buchst. b DS-GVO). Allerdings wird dieser Grundsatz durch Art. 6 Abs. 4 DS-GVO wieder eingeschränkt: Eine Zweckänderung verstößt nur dann gegen die Zweckbindung, wenn die Weiterverarbeitung mit dem Erhebungszweck nicht vereinbar ist (Prüfung der Vereinbarkeit mit dem ursprünglichen Zweck).19

Der Zweck der Datenvereinbarung ist Bezugspunkt für die Prüfung des Grundsatzes der Erforderlichkeit, denn die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (ErwGr 39 Satz 7 DS-GVO). Werden personenbezogene Daten bei der betroffenen Person erhoben, hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung u. a. die Zwecke für die Verarbeitung sowie die Rechtsgrundlage mitzuteilen (Informationspflicht nach Art. 13 Abs. 1 Buchst. c DS-GVO). Gleiches gilt, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden (Informationspflicht nach Art. 14 Abs. 1 Buchst. c DS-GVO).

„Datenminimierung“: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 Buchst. c DS-GVO). Der Grundsatz der Datensparsamkeit beschränkt die Datenverarbeitung auf das Erforderliche und unterstützt so den Grundsatz der Zweckbindung.

„Richtigkeit“: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Art. 5 Abs. 1 Buchst. d DS-GVO); es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (ErwGr 39 Satz 11 DS-GVO).

„Speicherbegrenzung“: Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art. 5 Abs. 1 Buchst. e DS-GVO; ErwGr 39 Satz 8 DS-GVO).

„Integrität und Vertraulichkeit“: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Art. 5 Abs. 1 Buchst. f DS-GVO; ErwGr 39 Satz 12 DS-GVO).

„Rechenschaftspflicht (accountibility)“: Der Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und muss dessen Einhaltung nachweisen können (Art. 5 Abs. 2 DS-GVO). Verantwortlicher nach Art. 4 Nr. 7 DS-GVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Pflichtenkreis des Verantwortlichen wird u. a. durch Art. 24 DS-GVO konkretisiert.

Der Verantwortliche muss zudem den Nachweis erbringen, dass die Verarbeitung gemäß der DS-GVO erfolgt. Damit ist gemeint, dass der Verantwortliche jederzeit nachweisen können muss, dass er die personenbezogenen Daten rechtmäßig verarbeitet hat.20 Diese Nachweispflicht wird durch die Pflicht nach Art. 30 DS-GVO, ErwGr 82 DS-GVO, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, konkretisiert. Daneben gibt es noch eine Vielzahl von weiteren Pflichten, für die der Verantwortliche rechenschaftspflichtig ist.

Zusammenfassende Übersicht zu den Grundsätzen für die Verarbeitung personenbezogener Daten:

Art. 5 Abs. 1 Buchst. a

Art. 12 Abs. 1

ErwGr 40

ErwGr 39 Sätze 2 und 3

ErwGr 58 Sätze 1 und 4

Art. 5 Abs. 1 Buchst. b

Einschränkung in:

Art. 6 Abs. 4

Informationspflicht nach:

Art. 13 Abs. 1 Buchst. c

Art. 14 Abs. 1 Buchst. d

ErwGr 39 Satz 7

Art. 5 Abs. 1 Buchst. c

Art. 5 Abs. 1 Buchst. d

ErwGr 39 Satz 11

Art. 5 Abs. 1 Buchst. e

ErwGr 39 Satz 8

Art. 5 Abs. 1 Buchst. f

ErwGr 39 Satz 12

Art. 5 Abs. 2

Verantwortlicher:

Art. 4 Nr. 7

Art. 24

Nachweispflicht:

Art. 30

4. Bundesdeutsche Anpassungsgesetze

Wie gerade dargestellt, bedurfte es für die Ausfüllung der Öffnungsklausel und für die Konkretisierung von Regelungsbedarfen der Änderung und Anpassung des bundesdeutschen Datenschutzrechts. Zeitgleich mit der DS-GVO sind für den Sozialdatenschutz in Deutschland die Änderungen im SGB I und SGB X in Kraft getreten.21 Die Neuregelung des § 35 SGB I und der §§ 67 bis 85a SGB X war also notwendig, um das Sozialdatenschutzrecht an die DS-GVO in terminologischer und systematischer Hinsicht anzupassen. Eine entsprechende Anpassung der Datenschutzvorschriften im SGB VIII – Kinder- und Jugendhilfe – soll noch erfolgen.

§ 35 Abs. 2 Satz 1 SGB I stellt klar, dass die sozialdatenschutzrechtlichen Regelungen im SGB das bereichsspezifische Datenschutzrecht abschließend regeln. Diese haben gegenüber den Regelungen des Bundesdatenschutzgesetzes (BDSG) Vorrang (BT-Drs. 18/12611). Eine Ausnahme gilt für die Fälle, in denen im Sozialgesetzbuch ausdrücklich das Bundesdatenschutzgesetz oder die Landesdatenschutzgesetze für besondere Regelungsfälle für anwendbar erklären. Zuvor war der Sozialdatenschutz nach dem SGB X als ein in sich geschlossenes System geregelt, während er nunmehr gemeinsam durch die DS-GVO und das Sozialgesetzbuch (SGB) abschließend geregelt wird. Die Regelungen des SGB bauen auf der DS-GVO auf und schließen die dort offen gelassenen Lücken und Einzelregelungen. Es handelt sich um ein Mehrebenensystem, welches die praktische Anwendung komplizierter als vorher gestaltet.

Bei der Anpassung des SGB an die Normen der DS-GVO stellte sich die Frage, inwieweit dortige Regelungen inhaltlich wiederholt werden dürfen. Eine Wiederholung der Regelungen aus der DS-GVO in den Sozialdatenschutzgesetzen hätte den Vorteil, dass es für die Anwendung scheinbar nur eine Rechtsgrundlage gibt. Genau dies ist nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) nicht möglich, es gilt vielmehr ein Wiederholungsverbot: Eine Wiederholung von Inhalten einer Verordnung ist untersagt, wenn dadurch der Eindruck einer originären nationalen Regelung entstehen würde. Denn bei der Auslegung dieser Regelung wäre ansonsten die Zuständigkeit des EuGH infrage gestellt.22 Die nationalen Gerichte sind gehalten für die Auslegungsfragen zum Datenschutzrecht nach der DS-GVO den Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens nach § 267 Abs. 1 Buchst. b AEUV anzurufen. Eine Wiederholung ist allenfalls erlaubt, soweit sie erforderlich ist, um eine nationale Vorschrift mit der Präzisierung oder Einschränkung im Rahmen der Öffnungsklausel verständlich zu machen (ErwGr 8 DS-GVO). Wegen dieses unionsrechtlichen Wiederholungsverbotes konnten die Begriffsbestimmungen aus der DS-GVO in dem geänderten SGB nicht erneut wiedergegeben werden.23 Dies macht die Anwendung der Gesetze für die Praxis in der Kinder- und Jugendhilfe nicht einfacher. Der Regelungsgehalt des § 67 SGB X wurde erheblich gekürzt, da viele der Begriffe in der DS-GVO bereits definiert sind. Wird in deutschen Sozialgesetzen auf Regelungen in der DS-GVO verwiesen, wird die amtliche Bezeichnung verwendet. Diese lautet nicht nur „DS-GVO“, sondern: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“.

5. Begriffsdefinitionen

Es reicht mithin nicht aus, sich in der sozialpädagogischen Praxis in der Kinder- und Jugendhilfe ausschließlich mit dem Sozialdatenschutz nach dem SGB zu beschäftigen. Für die Anwendung der neuen datenschutzrechtlichen Situation bedeutet dies Folgendes: Sind Begriffsdefinitionen nicht im SGB zu finden, muss auf die Definitionen aus der DS-GVO zurückgegriffen werden. Denn soweit die DS-GVO Begriffe nicht definiert oder enthält, bleiben im SGB X die entsprechenden Definitionen als bereichsspezifische Regelungen erhalten (BT-Drs. 18/12611, 101).

Wegen der Praxisrelevanz werden nachfolgend die unterschiedlichen Begriffsbestimmungen, die im Rahmen der Kinder- und Jugendhilfe von Bedeutung sein könnten, sowie die Fundstellen der neuen Definitionen im SGB und der DS-GVO (sog. Legaldefinitionen) mit den entsprechenden Erläuterungen und Hinweisen auf die Erwägungsgründe aufgeführt:

„Sozialdaten“ sind personenbezogene Daten, die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden (§ 67 Abs. 2 Satz 1 SGB X). Das personenbezogene Datum wird also dadurch zum Sozialdatum, dass es von einer SGB-Stelle bei Wahrnehmung ihrer Aufgaben erhoben oder verwendet wird.

„Betriebs- und Geschäftsgeheimnisse“ sind alle betriebs- oder geschäftsbezogenen Daten, auch von juristischen Personen, die Geheimnischarakter haben (§ 67 Abs. 2 Satz 2 SGB X), wie z. B. die Betriebs- und Geschäftsgeheimnisse freier Träger (z. B. Angaben über Angestellte oder Vertragsinhalte). Sie sind Sozialdaten gleichgestellt (§ 35 Abs. 4 SGB I).

„Nicht-öffentliche Stellen“ sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter § 81 Abs. 3 SGB X fallen. Darunter fallen auch Träger der freien Jugendhilfe.

„Aufgaben“ sind in § 67 Abs. 3 SGB X erläutert.

Ansonsten gelten die Begriffsbestimmungen der DS-GVO unmittelbar. Dabei ist insbesondere Art. 4 DS-GVO von besonderer Relevanz. Im Sinne dieser Vorschrift bezeichnet der Ausdruck:

„Personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Nr. 1 DS-GVO). In Abgrenzung zu den besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DS-GVO (sog. sensible Daten) werden alle anderen personenbezogenen Daten häufig als „einfache personenbezogene Daten“ bezeichnet.

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DS-GVO). Der Begriff der Verarbeitung umfasst also neuerdings als Oberbegriff zahlreiche Datenverarbeitungsvorgänge.

„Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (Art. 4 Nr. 3 DS-GVO).

„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen (Art. 4 Nr. 4 DS-GVO).

„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Nr. 5 DS-GVO). In der DS-GVO wird lediglich der Begriff der Pseudonymisierung und nicht der der Anonymisierung erläutert. Anonymisieren ist das Verändern personenbezogener Daten derart, dass die hinter den Einzelangaben über persönliche oder sachliche Verhältnisse stehende betroffene Person nicht bzw. nicht mehr identifiziert werden kann (ErwGr 26 Satz 5 DS-GVO. Die Grundsätze des Datenschutzrechts sind auf anonyme Daten nicht anwendbar (ErwGr 26 Satz 5 DS-GVO). Die Anonymisierung ist mithin ein „Mehr“ gegenüber der Pseudonymisierung.

„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird (Art. 4 Nr. 6 DS-GVO). Unter Dateisystem fallen auch Akten und Aktensammlungen. Allerdings nicht, wenn diese nicht nach bestimmten Kriterien geordnet sind (z. B. unsortierte Papierstapel oder Notizzettel), ErwGr 15 DS-GVO. Um einen ausreichenden Sozialdatenschutz zu gewährleisten, ermöglicht § 35 Abs. 2 Satz 2 SGB I die weitergehende Anwendung des § 67 SGB X: danach fallen auch Aktensammlungen ohne weiteres unter den Begriff der Sozialdaten.

Rechtsprechung zur Vertiefung: Nach der Rechtsprechung des BGH (Urt. vom 29.11.2016 – VI ZR 530/15) stellt ein sozialmedizinisches Gutachten mit personenbezogenen Daten auch als Teil einer Akte eines sozialgerichtlichen Verfahrens keine Datei im Sinne von Art. 3 Abs. 1, Art. 2 Buchst. c der Datenschutzrichtlinie (Richtlinie 95/46/EG) dar.

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (Art. 4 Nr. 7 DS-GVO). Konkretisiert wird diese Definition durch § 67 Abs. 4 Satz 2 SGB X, wonach als Verantwortlicher in der Kinder- und Jugendhilfe die Organisationseinheit, die eine Aufgabe nach dem SGB VIII funktional durchführt, anzusehen ist (Art. 4 Nr. 7 DS-GVO i. V. m. § 67 Abs. 4 Satz 2 SGB X).

„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DS-GVO).

„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger. Die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung (Art. 4 Nr. 9 DS-GVO).

„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten (Art. 4 Nr. 10 DS-GVO).

„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art. 4 Nr. 11 DS-GVO).

„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (Art. 4 Nr. 12 DS-GVO).

„Genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden (Art. 4 Nr. 13 DS-GVO).

„Biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (Art. 4 Nr. 14 DS-GVO).

„Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DS-GVO).

„Aufsichtsbehörde“ ist eine von einem Mitgliedstaat gem. Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle (Art. 4 Nr. 21 DS-GVO), welche in der Jugendhilfe nach § 81 Abs. 1 Nr. 2 SGB VIII der/die Landesdatenschutzbeauftragte einnimmt.

Personenbezogene Daten lassen sich klassifizieren (Datenklassen). Dabei geht es um das Gewicht der Daten in Bezug auf die Integrität der Persönlichkeit und den entsprechenden Umgang hiermit.24 Eine besondere Kategorie personenbezogener Daten (sensible Daten, ErwGr 10 Satz 5 DS-GVO) findet sich in Art. 9 Abs. 1 DS-GVO, der eine Stufung der Schutzintensität vornimmt, und in Art. 10 DS-GVO:

Die „besondere Kategorie personenbezogener Daten“ sind solche, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (Art. 9 Abs. 1 DS-GVO i. V. m. Art. 4 Nr. 13 und Nr. 14 DS-GVO). Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (ErwGr 51 Satz 1 DS-GVO). Zum einen geht es bei diesen personenbezogenen Daten um die vorsorgliche Beachtung von Diskriminierungsverboten (vgl. Art. 3 Abs. 3 GG, Art. 21 GRCh, Art. 14 EMRK), zum anderen um den Schutz eines engeren persönlichen Lebenskreises des Betroffenen.25 Im Gegensatz hierzu sind personenbezogene Daten, die diese besonderen Kategorien nicht erfüllen, „einfache personenbezogene Daten“.

Zu dem Bereich der besonders sensiblen Daten zählt noch als selbstständige Regelung die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen, Straftaten oder damit zusammenhängende Sicherungsmaßregeln (Art. 10 DS-GVO).

6. Das System des Datenschutzes in der Kinder- und Jugendhilfe

Grundsätzlich sind die Regelungen in der DS-GVO vorrangig vor nationalen Regelungen, also auch vor den deutschen Datenschutzregelungen anzuwenden. Soweit die DS-GVO Regelungen ohne eine Öffnungsklausel vorsieht, gelten diese Regelungen unmittelbar und abschließend. Eine nähere Konkretisierung durch das deutsche Recht ist nur für die nach der DS-GVO eröffneten spezifischen Regelungsbereiche (sog. „Fenster“) möglich. Allerdings gibt es auch hier wieder ein abgestuftes Verfahren, welches durch das Ineinandergreifen der unterschiedlichen Gesetzbücher nicht besonders anwendungsfreundlich ist: Es hat sich insofern grundsätzlich nichts an dem System des Datenschutzes in der Kinder- und Jugendhilfe verändert. Auch nach den Neuerungen im Sozialdatenschutz handelt sich um ein mehrstufiges System – mit der Veränderung, dass die Regelungen der DS-GVO vorgehen.

1. Stufe: Ausgangspunkt im deutschen Sozialdatenschutz bildet mit der Definition des Sozialgeheimnisses der § 35 SGB I, wonach jeder einen Anspruch darauf hat, dass die ihn betreffenden Sozialdaten von den Leistungsträgern nicht unbefugt verarbeitet werden. Im Sozialleistungsbereich werden Daten, häufig sehr sensible Daten zur Gesundheit und anderen intimsten Lebensumständen, nahezu der gesamten Bevölkerung verarbeitet, weshalb sie einem besonderen Schutz unterliegen. Das Sozialgeheimnis ist die spezialgesetzliche Ausformung des Grundrechts auf informationelle Selbstbestimmung für den Sozialleistungsbereich.26 Die Wahrung des Sozialgeheimnisses umfasst die Verpflichtung, auch innerhalb des Leistungsträgers sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Diese Vorschrift regelt den Schutzbereich des Datenschutzes in Inhalt und Umfang und außerdem die Adressaten des Sozialdatenschutzes. § 35 Abs. 2 Satz 1 SGB I normiert ein sog. gesetzliches Verbot mit Erlaubnisvorbehalt. Das meint, dass die Verarbeitung von Sozialdaten grundsätzlich nur nach den Rechtsvorschriften unter dem Erlaubnisvorbehalt der DS-GVO sowie des Zweiten Kapitels des SGB X und der übrigen Bücher des SGB erlaubt sind.

2. Stufe: Konkretere Vorgaben, wie genau dieser Schutz zu verwirklichen ist, finden sich – soweit nicht Regelungen in der DS-GVO vorhanden sind oder konkretisiert werden sollen – im Sozialgesetzbuch X im zweiten Kapitel („Schutz der Sozialdaten“ in den §§ 67 bis 85a SGB X). Diese Vorschriften gelten für alle öffentlichen Sozialleistungsträger und alle Sozialleistungsbereiche.

Das Bundesdatenschutzgesetz (BDSG) ist nur so weit anwendbar, als über §§ 67 bis 85a SGB X unmittelbar eine Bezugnahme erfolgt. Das ist der Fall in:

§ 67a Abs. 1 Satz 3 SGB X auf § 22 Abs. 2 BDSG,

§ 67b Abs. 1 Satz 3 SGB X auf § 22 Abs. 2 BDSG,

§ 75 Abs. 3 Satz 1 SGB X auf § 22 Abs. 2 Satz 2 BDSG,

§ 75 Abs. 6 SGB X auf § 40 Abs. 1 BDSG,

§ 80 Abs. 4 SGB X auf §§ 9, 13, 14, 16, 40 BDSG,

§ 81 Abs. 2 Satz 1 SGB X auf §§ 14 bis 16 BDSG,

§ 81 Abs. 4 Satz 1 SGB X auf §§ 5 bis 7 BDSG,

§ 81a Abs. 1 Satz 2 SGB X auf § 20 BDSG,

§ 85 Abs. 1 SGB X auf § 42 Abs. 1 und 2 BDSG und

§ 85a Abs. 1 SGB X auf § 41 BDSG.

Darüber hinaus ist das BDSG nicht anwendbar. Das Gleiche gilt für das jeweilige Landesdatenschutzgesetz, es ist nur dann heranzuziehen, wenn eine Bezugnahme erfolgt. Dies ist der Fall für die Bestellung eines Landesdatenschutzbeauftragten (§ 81 Abs. 1 Nr. 2 und Abs. 2 Satz 2 SGB X).

3. Stufe: Für den spezifischen Bereich der öffentlichen Kinder- und Jugendhilfe enthält das SGB VIII besondere Vorschriften zum Datenschutz, die zu den allgemeinen Bestimmungen des Sozialdatenschutzes hinzutreten, § 61 Abs. 1 SGB VIII. Zu dem Ausgangspunkt des Sozialdatenschutzes in § 35 SGB I (Stufe 1), den konkreten Vorschriften zum Schutz von Sozialdaten für alle Sozialgesetzbücher in den §§ 67 bis 85a SGB X (Stufe 2), kommen noch die für die Kinder- und Jugendhilfe spezifischen Datenschutzvorschriften in den §§ 61 bis 68 SGB VIII hinzu (Stufe 3), die den allgemeinen Sozialdatenschutz voraussetzen und ergänzen. Allerdings gilt dies nur, wenn durch die öffentliche Jugendhilfe Aufgaben nach dem SGB VIII wahrgenommen werden. Diese spezielleren Datenschutzregelungen im SGB VIII sind im Verhältnis zu den allgemeinen Sozialdatenschutzregelungen vorrangig anzuwenden und verdrängen insoweit die allgemeinen Regelungen im SGB X.27 Dabei sind die Begriffsanpassungen durch das Zweite Gesetz zur Anpassung des Datenschutzrechts zu beachten, sobald dies in Kraft tritt.

4. Stufe: Daneben finden sich auch in anderen Gesetzen datenschutzrechtliche Bestimmungen, die bei der sozialpädagogischen Arbeit in der Kinder- und Jugendhilfe zu beachten sind, beispielsweise die Mitwirkung an gerichtlichen Verfahren, die Strafnormen des StGB, insbesondere zur Schweigepflicht, die Auskunftsrechte und -pflichten gegenüber den Ausländerbehörden oder die Auskunfts- bzw. Informationspflichten gegenüber dem Betroffenen oder Dritten.

In der praktischen Anwendung sollte mit dem spezielleren vor dem allgemeineren Gesetz bei einer Prüfung begonnen werden, mithin also die Stufen von hinten nach vorne geprüft werden.

1. Vorgaben aus der DS-GVO

Bei der Zulässigkeit der Verarbeitung von personenbezogenen Daten ist zwischen der Verarbeitung einfacher personenbezogener Daten (Art. 6 DS-GVO) und der Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DS-GVO) zu unterscheiden. Es finden sich anzuwendende Rechtsgrundlagen für beide Kategorien zum einen unmittelbar in der DS-GVO und zum anderen solche, die einer näheren Spezifizierung und Ausgestaltung des nationalen Gesetzgebers bedürfen, im Sozialgesetzbuch.

Die Frage der Zulässigkeit der Verarbeitung einfacher personenbezogener Daten ist in Art. 6 DS-GVO geregelt. Danach gilt ein Verbot der Datenverarbeitung unter dem Vorbehalt einer Erlaubnis und nimmt das Verbotsprinzip aus Art. 8 Abs. 1, 2 Satz 1 GRCh auf, das einen Eingriff durch eine Datenverarbeitung in das Grundrecht auf Datenschutz nur auf gesetzlicher Grundlage erlaubt. In Art. 8