Datenschutzverletzungen durch öffentliche Träger

Im sozialrechtlichen Alltag arbeiten Leistungserbringer eng mit öffentlichen Trägern zusammen – etwa mit Jugendämtern, Sozialämtern, Schulträgern oder Gesundheitsbehörden. Dabei kommt es regelmäßig zum Austausch personenbezogener Daten, häufig auch besonders sensibler Kategorien im Sinne des Artikels 9 DSGVO. Datenschutzverletzungen entstehen jedoch nicht nur in den Einrichtungen selbst, sondern zunehmend auch auf Seiten der öffentlichen Stellen – etwa durch ungesicherte Kommunikationswege, unbefugte Weitergaben oder unzulässige Einsichtnahmen.

Leistungserbringer stehen dann vor der Herausforderung, wie sie mit solchen Datenschutzverstößen umgehen sollen – insbesondere wenn sie selbst nicht „Verantwortliche“ im Sinne der DSGVO für die fehlerhafte Verarbeitung sind. Grundsätzlich gilt: Auch wenn die Datenpanne bei einem öffentlichen Träger verursacht wurde, ist der Leistungserbringer verpflichtet, Vorfälle zu dokumentieren, zu bewerten und ggf. selbst eine Meldung an die Aufsichtsbehörde zu prüfen, wenn die betroffenen Personen durch das eigene System betroffen sind oder das Vertrauen in die Datenverarbeitung gefährdet ist.

In der Praxis betreffen solche Fälle häufig:

  • Offenlegung sensibler Informationen durch E-Mails ohne Verschlüsselung

  • Versand personenbezogener Dokumente an falsche Empfänger durch Behörden

  • Fehlende oder falsche Einwilligungsgrundlagen bei Datenweitergabe an Leistungserbringer

  • Unzureichende Trennung von Zuständigkeiten in behördlichen Verfahren

  • Anforderung von Rechnungen mit Klarnamen der Leistungsberechtigen

Ein wichtiger Aspekt in der Bearbeitung solcher Vorfälle ist die Kommunikation mit dem behördlichen Datenschutz. Als externe Datenschutzbeauftragte führen wir regelmäßig Gespräche mit den Datenschutzbeauftragten der öffentlichen Träger. Dabei zeigt sich häufig, dass diese selbst nicht über die datenschutzrechtlichen Vorgänge oder Fehler in der eigenen Organisation informiert wurden. Durch unsere fachliche Begleitung und unabhängige Perspektive können wir helfen, solche Lücken aufzuklären, Fehlerquellen zu identifizieren und konstruktive Lösungen zu entwickeln – oft in sehr kooperativer Atmosphäre.

Die IJOS Datenschutzmanagement-Software (DSM) bietet die Möglichkeit, auch externe Datenschutzverletzungen strukturiert zu dokumentieren, interne Bewertungen vorzunehmen und abgestimmte Maßnahmen zu hinterlegen. So wird der Umgang mit solchen Vorfällen nachvollziehbar und revisionssicher dokumentiert.