Grundsätzlich dürfen durch Fachkräfte keine privaten Geräte (bspw. Smartphones) genutzt werden, sondern allenfalls Diensthandys, die jeweils einer bestimmten Fachkraft zugeordnet sind. Aufgrund der breiten und kurzfristigen Umstellung auf digitale Kommunikationswege war es insbesondere im Lockdown ab März 2020 vielfach nicht möglich, diese Anforderung zu erfüllen. Dies führte dazu, dass bspw. der Bayerische Landesdatenschutzbeauftragte die Nutzung privater Geräte im behördlichen Kontext akzeptierte (s. Sonderinformationen 1 zum mobilen Arbeiten mit Privatgeräten zur Bewältigung der Corona-Pandemie, gültig bis zum 21.6.2020). Es wird jedoch von öffentlichen Stellen erwartet, dass diese die Zwischenzeit zur Beschaffung von elektronischen Kommunikationsmitteln genutzt haben, so dass nur noch im absoluten Ausnahmefall – etwa bei Lieferengpässen – auf private Geräte zurückgegriffen werden sollte (s. Sonderinformation 3). Diese Maßstäbe gelten nach hiesiger Auffassung auch für den besonders sensiblen Bereich der Jugendhilfe: sofern keine anderweitige Aufrechterhaltung der Hilfebeziehung möglich ist, sollten Ausnahmen möglich sein, Defizite in der Ausstattung der Mitarbeiter*innen sind jedoch nicht in gleichem Maße nachvollziehbar wie zu Beginn der Pandemie.

Was die datenschutzrechtlichen Grenzen betrifft, so darf zu Pandemiezeiten insbesondere in Fällen, in denen die Entscheidung für eine Nutzung digitaler Kommunikationswege ausschlaggebend dafür ist, ob das Jugendamt überhaupt Kontakt mit Minderjährigen und ihren Familien halten kann, ein zu strenges Festhalten an Datenschutzgrundsätzen nicht dazu führen, dass dem Jugendamt die Grundlage für die Erfüllung seiner Aufgaben entzogen wird. So kommt zB eine Nutzung von WhatsApp in Betracht, wenn diese zur Aufgabenerfüllung erforderlich ist. Die Kommunikation mittels Skype (bspw. notwendige Hilfeplankonferenzen) ist zwar problematischer als die Nutzung von WhatsApp (mit Ende-zu-Ende-Verschlüsselung), letztlich wird man aber auch diese Kommunikationsform als erforderlich ansehen müssen, wenn andernfalls faktisch keine Möglichkeit zur Aufgabenerfüllung besteht. Wichtig ist Transparenz gegenüber den betroffenen Personen sowie Sensibilität aller Beteiligten bei der Nutzung entsprechender digitaler Dienste. Von der Nutzung von Instagram oder Facebook ist eher abzusehen, da auch hier keine standardmäßige Ende-zu-Ende-Verschlüsselung gegeben ist und Inhalte mitgelesen werden können.

Grundsätzlich gilt auch in der derzeitigen Ausnahmesituation: Es sollte bei der Entscheidung über die Nutzung von digitalen Diensten stets im Einzelfall eine Abwägung getroffen werden zwischen dem Gewicht der (sozial)datenschutzrechtlichen Bedenken und dem Wert der Verwendung für die Verfolgung des Ziels einer funktionsfähigen Kinder- und Jugendhilfe. (Ausführlich zu datenschutzrechtlichen Fragestellungen im Zusammenhang mit digitaler Leistungserbringung DIJuF-Rechtsgutachten DRG-1256.)

Um Videotelefonate zu ermöglichen, müssen die Jugendhilfeträger ihren Fachkräften geeignete Software zur Verfügung stellen. Aus der sowohl für öffentliche als auch für freie Jugendhilfeträger bestehenden Pflicht, das im SGB VIII, SGB X und der DSGVO verankerte Schutzniveau bei der Datenverarbeitung zu gewährleisten, folgt auch eine Verpflichtung, bei der Auswahl der Technik auf Datensicherheit zu achten, damit zB Unbefugte keine Kenntnis der zum Teil sensiblen Informationen der betroffenen Familien erlangen (vgl. Art. 28 und 32 DSGVO). Die Corona-Krise hat auch die Jugendhilfeträger in die Situation gebracht, unter großem Zeitdruck digitalisierte Arbeitsformen finden zu müssen, um weder zur weiteren Verbreitung der Krankheit beizutragen, noch die für die Familien sehr bedeutsamen Hilfen einzustellen. Nach Auffassung des Instituts sollte die weitere Gewährleistung der Aufgabenerfüllung nicht an datenschutzrechtlichen Bedenken gegenüber den verfügbaren Softwarelösungen bzw. an einem Gefühl der Überforderung bei der Auswahl scheitern. Im Zweifel erscheint die nahtlose Aufrechterhaltung der Aufgabenerfüllung vorrangig gegenüber einem ausführlichen und zeitintensiven Auswahlprozess der Software. Allerdings ist insoweit auch zu berücksichtigen, dass seit Beginn des ersten Lockdowns in Deutschland nun rund 10 Monate vergangen sind, so dass eine Überforderungssituation nicht mehr im gleichen Maße zu Lasten des Datenschutzes gerechtfertigt werden kann.

Sofern die Fachkräfte noch immer keine Dienstcomputer oder Diensthandys nutzen können und daher ausnahmsweise auf private Geräte zurückgreifen, sollten personenbezogene Daten der Klient*innen (auch weniger sensible Daten wie Telefonnummern) nicht längere Zeit dort gespeichert werden. Nach Auffassung des Instituts ist die Speicherung personenbezogener Daten der betreuten Familien auf Privathandys im Regelfall nicht zulässig, da diese Daten dadurch die berufliche Sphäre verlassen. Das Löschen der Daten – etwa nach Ausscheiden der Fachkraft aus dem Dienst – kann nicht kontrolliert werden, ebenso wenig wie eine unzulässige Nutzung der dienstbezogenen Daten durch die Fachkraft als Privatperson (s. DIJuF-Stellungnahme, JAmt 2015, 261 [262]). (Ausführlich zu datenschutzrechtlichen Fragestellungen im Zusammenhang mit digitaler Leistungserbringung DIJuF-Rechtsgutachten DRG-1256.)

Weit verbreitet und bekannt ist der zu Microsoft gehörende digitale Dienst Skype, der ua Videotelefonate ermöglicht. Für diesen Dienst wird kein Entgelt verlangt, sofern beide Gesprächspartner*innen die Anwendung auf ihrem Computer oder Smartphone installiert haben. Im Hinblick auf die Erhebung und Weiterverarbeitung von Daten der Nutzer*innen ist die einschlägige Datenschutzrichtlinie von Microsoft sehr vage formuliert und teilweise nicht leicht verständlich (s. Datenschutzerklärung von Microsoft). Problematisch ist, dass daraus nicht eindeutig hervorgeht, ob Gesprächsinhalte – und damit im Kontext von Hilfen zur Erziehung möglicherweise hochsensible personenbezogene Daten – vom Anbieter erfasst werden oder nicht.

Ein anderer vielfach verwendeter Dienst ist Zoom. Dieser ist wie Microsoft in den USA ansässig und übermittelt die von ihm erhobenen Daten auf US-amerikanische Server. In der Datenschutzerklärung wird aufgeführt, welche personenbezogenen Daten der Nutzer*innen von Zoom erfasst und auch weitergegeben werden. Ausdrücklich wird darauf hingewiesen, dass keine kommerzielle Weiterverwendung der Daten erfolgt, während gleichzeitig aber eine Weitergabe von Nutzer*innendaten an Dritte nicht ausgeschlossen wird. Nach unserem Verständnis der wie bei Microsoft schwer verständlich formulierten Datenschutzerklärung werden Gesprächsinhalte nicht vom Anbieter gespeichert, sondern nur Informationen zur Person der Nutzer*innen. Eine ausdrückliche Ende-zu-Ende Verschlüsselung – dh die technisch Absicherung, dass Gesprächsinhalte ausschließlich für die beteiligten Gesprächspartner und nicht für den Anbieter wahrnehmbar sind – ist jedoch nicht vorhanden. Ein möglicher Vorteil von Zoom gegenüber Skype für die Nutzung in der Jugendhilfe ist, dass es ausreicht, wenn die Fachkraft die Anwendung installiert. Sie kann dann die Familie zB durch Versenden eines Links in die Konferenz einladen, ohne dass diese das Programm herunterladen und installieren muss. Für Gespräche bis zu 40 Minuten Länge genügt die Installation einer Demoversion des Programms, die kostenfrei verfügbar ist. Für weitergehende Funktionen fallen Kosten an (s. Übersicht Zoom Cloud Meetings und Informationen des Anbieters).

Ebenfalls beliebt und ebenfalls datenschutzrechtlich aufgrund seines Sitzes in den USA sowie den Angaben in seiner Datenschutzrichtlinie kritisch zu beurteilen, ist die Anwendung Discord. Neben Videotelefonaten bietet Discord zB die Möglichkeit zu chatten und den eigenen Account mit anderen sozialen Netzwerken zu verknüpfen. Eine Ende-zu-Ende-Verschlüsselung ist nicht gewährleistet und der Anbieter behält sich die weitgehende Speicherung und Weitergabe von ausgetauschten Inhalten an Dritte vor. Um im Rahmen der Erbringung von HzE mit Familien in Kontakt zu bleiben, ist aufgrund dieser Nachteile die Verwendung von Discord nicht zu empfehlen (s. zu den Vorteilen für die Jugendarbeit die ausführliche Handreichung der Arbeitsgemeinschaft Kinder- und Jugendschutz (AJS) NRW).

Anwendungen, die ausdrücklich besonderen Wert auf den Schutz der Privatsphäre ihrer Nutzer*innen legen und auch eine Ende-zu-Ende-Verschlüsselung anbieten, sind Viber, qTox oder Jitsi (s. Übersicht Alternativen sowie weitere Informationen zu den einzelnen Diensten Viber, qTOX, Jitsi). Nach Auffassung des Instituts lohnt es sich für Jugendhilfeträger, die Dienste von Anbietern auszuprobieren, die die Vertraulichkeit der Gesprächsinhalte ausdrücklich zusichern. Zu Beginn der kurzfristig eingetretenen Ausnahmesituation im letzten Frühjahr mochte die Aufrechterhaltung der Aufgabenerfüllung die Verwendung einer beliebigen Software auch ohne langwierige Auswahlprozesse rechtfertigen. Angesichts der zwischenzeitlich vergangenen Monate sollte es der Jugendhilfe ein Anliegen sein, der besonderen Bedeutung der vertraulichen Kommunikation mit den Klient*innen durch eine sorgfältige Auswahl der digitalen Anwendungen wieder stärker Genüge zu tun. (Ausführlich zu datenschutzrechtlichen Fragestellungen im Zusammenhang mit digitaler Leistungserbringung DIJuF-Rechtsgutachten DRG-1256.)

Bei der Schweigepflichtsentbindung handelt es sich datenschutzrechtlich um die Einwilligung in eine Datenübermittlung. Die Begriffsbestimmung in Art. 4 Nr. 11 DSGVO versteht hierunter „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Ein ausdrückliches Schriftformerfordernis wird nicht formuliert. Nach Art. 7 Abs. 1 DSGVO muss die für die Datenverarbeitung verantwortliche Person – hier also der Arzt, der die Daten der Familie zum Zweck der Vermittlung an die Frühen Hilfen weitergibt – jedoch nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. In der Regel wird dieser Nachweis dadurch geführt, dass schriftliche Einwilligungserklärungen eingeholt werden. So sieht bspw. auch § 67b Abs. 2 S. 1 SGB X – für den Bereich von Sozialdaten – vor, dass die Erteilung der Einwilligung schriftlich oder in elektronischer Form erfolgen soll. Im Hinblick auf Gesundheitsdaten bestimmt § 67b Abs. 2 S. 2 SGB X, dass die Einwilligung schriftlich oder in elektronischer Form zu erfolgen hat, wenn nicht eine andere Form wegen besonderer Umstände angemessen ist.

Die schriftliche oder elektronische Erteilung einer Einwilligung ist also keineswegs verpflichtend vorgeschrieben. Wichtig ist aber, dass die wirksame, also den in Art. 4 Nr. 11 DSGVO normierten Voraussetzungen entsprechende, Einwilligung nachgewiesen werden kann. Wenn die Familie dem Arzt mündlich erklärt, dass sie mit der Weitergabe ihrer personenbezogenen Daten zum Zwecke der Frühen Hilfen bspw. an eine Familienhebamme einverstanden ist, ist diese Einwilligung ausreichend. Der Arzt sollte sie aber in jedem Fall dokumentieren. Gleiches gilt im Beispielsfall, wenn es um die Übermittlung personenbezogener Daten der Familie durch die Familienhebamme an den Arzt geht. Hierfür muss sich die Familienhebamme eine Einwilligung der Familie erteilen lassen, die ebenfalls dokumentiert werden sollte. Eine abfotografierte Einwilligungserklärung ist hingegen nicht erforderlich. Vielmehr wirft die digitale Zusendung eher die Frage nach der technisch sicheren Datenübermittlung auf, hier wäre unbedingt eine Ende-zu-Ende-Verschlüsselung notwendig, damit kein unberechtigter Zugriff auf die Einwilligungserklärung erfolgen kann (s. hierzu auch die weiteren Fragen in dieser Rubrik).

Das Infektionsschutzgesetz (IfSG) gibt dem Gesundheitsamt auf, bei übertragbaren Krankheiten die erforderlichen Ermittlungen ua in Bezug auf Ansteckungsquelle und Ausbreitung der Krankheit anzustellen (§ 25 Abs. 1 IfSG). Für die Personen, die über die relevanten Tatsachen Auskunft erteilen können, besteht entsprechend grundsätzlich eine Auskunftspflicht (§ 16 Abs. 2 S. 3 IfSG). Ein Recht, die Antwort zu verweigern, besteht für solche Fragen, deren Beantwortung für Auskunftspflichtige selbst oder Angehörige iSd § 383 Abs. 1 Nr. 1 bis 3 ZPO der Gefahr strafrechtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten (OWiG) aussetzen würde (§ 16 Abs. 2 S. 4 IfSG). Wenn ein*e Berater*in einer Erziehungsberatungsstelle positiv getestet und vom Gesundheitsamt zur Mitteilung aller Kontaktpersonen aufgefordert wird, besteht demnach grundsätzlich eine Auskunftspflicht. Im Regelfall greift insoweit kein Auskunftsverweigerungsrecht.

Zu denken wäre in diesem Zusammenhang an ein Verweigerungsrecht aufgrund der Gefahr einer strafrechtlichen Verfolgung für Berater*innen wegen unbefugter Offenbarung eines Privatgeheimnisses nach § 203 Abs. 1 StGB. Zu den Berufsgeheimnisträger*innen gehören Erziehungsberater*innen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist, Berufspsycholog*innen sowie staatliche anerkannte Sozialarbeiter*innen und Sozialpädagog*innen. Unter Privatgeheimnissen sind Tatsachen zu verstehen, die sich auf den Betroffenen beziehen, nur einem begrenzten Personenkreis bekannt sind und in Bezug auf die ein sachlich begründetes Geheimhaltungsinteresse besteht (BeckOK StGB/Weidemann, Stand: 2/2020, StGB § 203 Rn. 4f).

Bei Ärzt*innen und Anwält*innen ist anerkannt, dass dazu neben den im Gespräch in Erfahrung gebrachten Informationen auch der Name von Klient*innen bzw. Patient*innen und damit die Tatsache der Beauftragung unter den Geheimnisschutz fällt (BeckOK StGB/Weidemann, Stand: 2/2020, StGB § 203 Rn. 6.2). Es ist kein Grund ersichtlich, diesen Grundsatz nicht auf andere Berufsgeheimnisträger*innen zu übertragen. Zwar ist nach Auffassung des Instituts der Grund des Kontakts (Inanspruchnahme einer Erziehungsberatung) nicht von der Auskunftspflicht umfasst. Entsprechende Rückschlüsse sind jedoch denkbar, so dass der Name von Klient*innen auch ohne weitere Angaben unter § 203 Abs. 1 StGB fällt. Allerdings kommt eine Strafbarkeit nur in Betracht, wenn ein Privatgeheimnis unbefugt offenbart wird. Das ist nicht der Fall, wenn die Offenbarung aufgrund einer besonderen gesetzlichen Verpflichtung erfolgt (Schönke/Schröder/Eisele StGB, 30. Aufl. 2019, StGB § 203 Rn. 43), so wie hier aufgrund der Auskunftspflicht nach dem IfSG.

Ein Verweigerungsrecht wäre zudem aufgrund eines drohenden Straf- oder Bußgeldverfahrens (vgl. §§ 73, 74 IfSG) wegen Verstößen gegen das IfSG, ggf. iVm der jeweiligen auf Grundlage von § 32 IfSG erlassenen Rechtsverordnung denkbar. Es wird jedoch vorausgesetzt, dass bei der Durchführung der Beratungen die jeweils geltenden Vorschriften zum Schutz gegen Infektionen eingehalten werden.

Die Beratungsstelle ist als Verantwortliche für die Datenverarbeitung verpflichtet, neuen Klient*innen die in Art. 13 DSGVO aufgeführten Informationen zur Verfügung zu stellen. Dazu gehört nach Art. 13 Abs. 1 Buchst. e DSGVO auch die Angabe, an welche Empfänger bzw. Kategorien von Empfängern die erhobenen Daten voraussichtlich weitergegeben werden. Da in der aktuellen Situation eine Weitergabe von Klient*innen-Namen an das Gesundheitsamt im Fall eines Verdachts- bzw. Krankheitsfalls innerhalb der Beratungsstelle eine realistische Möglichkeit darstellt, ist auch darauf hinzuweisen. Wenn es bereits ohne vorherigen Hinweis Beratungssitzungen gab, ist die Information spätestens vor einer tatsächlichen Weitergabe des jeweiligen Namens nachzuholen.

Soweit es sich bei den Beratungsstellen um kommunale Einrichtungen handelt, gilt für die verarbeiteten Daten der Sozialdatenschutz nach dem SGB I, SGB VIII und SGB X. Denn sie sind als Leistungsträger iSd § 35 Abs. 1 SGB I an das Sozialgeheimnis gebunden. Bei der Übermittlung von Daten an öffentliche Stellen, die keine Sozialleistungsträger sind, gilt nach § 78 Abs. 1 S. 1 SGB X, dass diese die Daten nur zu dem Zweck verarbeiten dürfen, zu dem sie sie befugt erhalten haben (verlängerter Sozialdatenschutz). Gesundheitsämter sind bei der Durchführung des IfSG keine Leistungsträger iSd § 12 S. 1 SGB I iVm §§ 28-29 SGB I. Das Gesundheitsamt darf die Daten also nur nutzen, um einer weiteren Verbreitung des Virus vorzubeugen. Unter Beachtung des allgemeinen Grundsatzes der Verhältnismäßigkeit dürfte das Gesundheitsamt daher nach § 28 IfSG die in den §§ 29-31 IfSG vorgesehenen Maßnahmen ergreifen. Dazu gehört das Anordnen einer Beobachtung infizierter Personen oder von Quarantäne sowie das Verhängen eines Verbots, bestimmte Berufe auszuüben. Weitere zulässige Maßnahmen können auf Grundlage der Ermächtigung des § 32 IfSG durch Rechtsverordnungen der Landesregierungen geregelt werden.

Für Daten, die das Gesundheitsamt von Beratungsstellen in anderer Trägerschaft erhalten, gelten die Verarbeitungsgrundsätze des jeweiligen Landesdatenschutzgesetzes (LDSG). Diese enthalten Befugnisse für die Verarbeitung von Daten zur Erfüllung von Aufgaben, die einer öffentlichen Stelle gesetzlich zugewiesen sind. Die Verarbeitung zu einem anderen als dem Erhebungszweck ist nur ausnahmsweise zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer unmittelbar drohenden Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls zulässig (zB § 5 Abs. 1 LDSG BW). Auf die Tatsache der Erhebung und Zwecke der Verarbeitung haben die Gesundheitsämter die Betroffenen wiederum im Rahmen ihrer Informationspflichten nach Art. 14 DSGVO hinzuweisen.