Die Erstellung und Übermittlung von Rechnungen an öffentliche Träger ist in der sozialwirtschaftlichen Praxis ein zentraler Verwaltungsvorgang, der regelmäßig personenbezogene Daten umfasst. Dabei geht es um Leistungen nach dem SGB VIII, SGB IX oder SGB XII, die gegenüber dem Jugendamt, dem Sozialamt oder dem Landeswohlfahrtsverband abgerechnet werden. In diesen Rechnungen finden sich häufig Angaben wie Name, Geburtsdatum, Maßnahmezeitraum und Betreuungsform der betroffenen Person. Auch wenn die Verarbeitung dieser Daten grundsätzlich auf gesetzlicher Grundlage erfolgt, gilt dennoch der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO. Demnach dürfen personenbezogene Daten nur in dem Umfang verarbeitet werden, wie es für den jeweiligen Zweck erforderlich ist – und dieser Zweck ist bei einer Rechnung regelmäßig die belegbare Geltendmachung der Vergütung für eine konkret erbrachte Leistung.

In der Praxis kommt es jedoch immer wieder vor, dass öffentliche Träger, insbesondere Jugendämter, explizit auf die Angabe von Klarnamen in Rechnungen bestehen, obwohl dies datenschutzrechtlich weder erforderlich noch zulässig ist. Oft reichen bei der Abrechnung sogenannte verschlüsselte Identifikatoren aus, etwa die Hilfeplannummer, das Aktenzeichen oder eine individuelle Träger-ID, mit der der öffentliche Träger die zugehörige Person eindeutig zuordnen kann. Die Anforderung eines Klarnamens ist dann rechtswidrig, wenn der Träger diesen nicht zur Rechnungsprüfung benötigt und sich durch ein weniger eingriffsintensives Mittel der Identifikation ebenso verlässlich arbeiten lässt. Einrichtungen, die auf diese Problematik hinweisen, geraten häufig in eine rechtlich missliche Lage, da sie sich zwischen datenschutzkonformem Verhalten und der Durchsetzung ihrer Leistungsansprüche bewegen müssen.

Besonders kritisch ist diese Praxis bei Leistungen nach §§ 27 ff. SGB VIII, bei denen es sich regelmäßig um besonders sensible Hilfen handelt. Der Schutz der Persönlichkeitsrechte der betroffenen Kinder, Jugendlichen und Familien hat hier oberste Priorität. Die pauschale Offenlegung von Klarnamen in Rechnungsunterlagen stellt daher eine unnötige Preisgabe sensibler Daten dar und ist mit den Grundprinzipien der DSGVO nicht vereinbar. Es ist nicht Aufgabe der Einrichtung, rechtswidrige Verwaltungsvorgaben der Kostenträger widerspruchslos umzusetzen. Vielmehr sollte in solchen Fällen auf eine datenschutzkonforme Alternative verwiesen und im Zweifel eine datenschutzrechtliche Stellungnahme oder sogar eine Intervention durch den betrieblichen oder externen Datenschutzbeauftragten erwogen werden.

Einrichtungen, die dauerhaft Rechnungen an öffentliche Träger stellen, sollten dafür ein standardisiertes Verfahren entwickeln, das sowohl die berechtigten Informationsbedarfe der Kostenträger erfüllt als auch den Datenschutz der Betroffenen wahrt. Dabei ist insbesondere die Gestaltung von Rechnungsformularen, die Trennung von Stammdaten und Leistungsnachweisen sowie die Absicherung der Übertragungswege zu beachten. Die IJOS Datenschutzmanagement-Software (DSM) stellt hierfür eine strukturierte Lösung bereit, mit der Abrechnungsprozesse dokumentiert, Risiken bewertet und interne Standards hinterlegt werden können. Sie hilft auch dabei, den Umgang mit Anforderungen öffentlicher Stellen nachvollziehbar zu dokumentieren und zu begründen, warum bestimmte personenbezogene Daten nicht herausgegeben werden. Über die Whistleblower-Plattform der IJOS GmbH kann zudem ein sicherer Kanal geschaffen werden, um datenschutzwidrige Anforderungen öffentlicher Träger zu melden oder interne Bedenken rechtssicher zur Sprache zu bringen.

Die datenschutzkonforme Abrechnung gegenüber öffentlichen Trägern erfordert nicht nur technisches Know-how, sondern auch klare rechtliche Orientierung und die Bereitschaft, datenschutzrechtliche Grenzen zu verteidigen – auch gegenüber der öffentlichen Verwaltung. Klarnamen sind kein Pflichtbestandteil einer Rechnung, wenn die Identifikation auf andere Weise möglich ist. Einrichtungen sind gut beraten, ihre Verfahren an diesem Grundsatz auszurichten und sich nicht zur Mitverantwortung für datenschutzwidrige Routinen drängen zu lassen.