Personen, die im Kinder- und Jugendheim Laufen arbeiten und leben, haben täglich mit sensiblen Daten zu tun. Der Schutz der Persönlichkeit der Kinder und Jugendlichen ist dabei ein zentrales Thema. Diese Erklärung und dieser Leitfaden umfassen sowohl die Grundlagen des Datenschutzes als auch Antworten bzw. praxisbezogene Richtlinien zum Umgang mit Personendaten in unserer Einrichtung. Wir sind eine zugelassene und anerkannte Institution, die über einen Leistungsauftrag mit dem Kanton Basel-Landschaft und mit dem Bund verfügt. In Bezug auf den Datenschutz halten wir die kantonalen Vorgaben für öffentliche Organe ein.
Der Datenschutz regelt, was datenschutzrechtlich bei der Bearbeitung von Personendaten zu beachten ist. Zweck ist der Schutz der Persönlichkeit von Personen, über die Daten bearbeitet werden. Es handelt sich um ein Grundrecht, das jedem Menschen zusteht.
Personendaten sind Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.
Beispiele:
Dies sind Angaben über:
Ein Persönlichkeitsprofil ist eine Zusammenstellung von Personendaten, welche die Beurteilung der Persönlichkeit einer natürlichen Person erlaubt.
Beispiele:
Die betroffenen Personen sind in der Regel natürliche Personen, über die Personendaten bearbeitet werden, also betreute Personen und angestellte Personen.
Grundsatz der Rechtmässigkeit
Die Datenbearbeitung muss rechtmässig sein. Das heisst, es wird einen Rechtfertigungsgrund benötigt, entweder in Form einer Einwilligung der betroffenen Person, eines überwiegenden öffentlichen oder privaten Interesses oder eines Gesetzes.
Grundsatz der Verhältnismässigkeit
Die Datenbearbeitung muss verhältnismässig sein, d.h. die bearbeiteten Daten müssen geeignet und erforderlich sein, um den definierten Zweck zu erfüllen. Zudem muss der angestrebte Zweck den Eingriff in die Persönlichkeitsrechte rechtfertigen.
Grundsatz der Zweckbindung
Die Personendaten dürfen nur für den vorgegebenen Zweck verwendet werden.
Grundsatz der Transparenz
Die Datenbearbeitung muss für die betroffenen Personen jederzeit transparent und einsehbar sein.
Grundsatz der Datenqualität
Die Personendaten müssen aktuell und richtig sein.
Grundsatz von Treu und Glauben
Es gelten der Vertrauensschutz und das Verbot widersprüchlichen Verhaltens und des Rechtsmissbrauchs. Die Personendaten müssen mit organisatorischen und technischen Massnahmen vor Verlust und Entwendung sowie unbefugter Kenntnisnahme und unbefugtem Bearbeiten geschützt sein. Es ist geregelt, wer auf welche Klientendaten Zugriff hat und wie die Person diese bearbeiten darf. (Leserecht, Bearbeitungsrecht)
Grundsatz der Verantwortung
Jede Person, die Personendaten bearbeitet, ist für die Einhaltung des Datenschutzes verantwortlich. Dies umfasst z.B. auch die Pflicht sicherzustellen, dass nur diejenigen Personen Zugang haben, die dazu berechtigt sind.
Datenbearbeitung ist jeder Umgang mit Personendaten, insbesondere Beschaffung, Aufbewahrung, Archivierung, Verwendung, Bekanntgabe, Veränderung oder Vernichtung.
Die Datenbearbeitung ist zulässig, wenn:
Bei besonders schützenswerten Personendaten und Persönlichkeitsprofilen gelten erhöhte Anforderungen: Entweder muss das Gesetz (eine Verordnung allein reicht nicht aus) die Bearbeitung vorsehen oder die Bearbeitung muss zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich sein. Die für die sozialen Einrichtungen massgeblichen gesetzlichen Grundlagen richten sich nach den jeweiligen Aufgaben, für welche Daten bearbeitet werden. Die Einwilligung der betroffenen Personen bzw. der zur Vertretung berechtigten Personen muss bei besonders schützenswerten Personendaten und Persönlichkeitsprofilen ausdrücklich vorhanden sein. Es handelt sich beim Datenschutz um ein sogenanntes höchstpersönliches Recht, das insbesondere auch urteilsfähigen Minderjährigen zusteht. Die Einwilligung muss freiwillig sein, es dürfen keine Nachteile mit einer Verweigerung der Einwilligung verbunden sein. Zudem muss sie bezüglich des Verwendungszwecks genügend konkretisiert sein. Die betroffenen Personen müssen ausserdem über die Tragweite und Konsequenzen der Datenbearbeitung informiert sein und das Recht kennen, ihre Einwilligung zu widerrufen.
Auskunft und Einsicht in eigene Daten Den Klientinnen und Klienten ist auf Verlangen Auskunft und Einsicht in alle sie betreffenden Daten – insbesondere in die Klientendokumentation – zu gewähren. Dieser Anspruch gilt voraussetzungslos. Da es sich beim Auskunftsrecht um ein relatives, höchstpersönliches Recht handelt, können auch urteilsfähige Minderjährige und umfassend verbeiständete Personen das Auskunftsrecht selber, d.h. ohne Zustimmung der gesetzlichen Vertretung, ausüben. Auf Wunsch der betroffenen Person sollten ihr die Daten erläutert werden. Vom Auskunftsund Einsichtsrecht ausgenommen sind persönliche Notizen der Mitarbeitenden der Einrichtungen, die lediglich als Gedankenstützen 4 dienen (z.B. Agenda-Einträge, Planungsunterlagen, Gedächtnisstützen für Gespräche usw.) Auskunft und Einsicht können abgelehnt, eingeschränkt oder mit Auflagen verbunden werden, wenn ein überwiegendes öffentliches oder schutzwürdiges privates Interesse Dritter entgegensteht. Als Auflage kann beispielsweise der Beizug einer Ärztin bzw. eines Arztes oder einer Vertrauensperson verlangt werden, falls eine entsprechende Schutzbedürftigkeit der betroffenen Person festgestellt wird. Im Umfang der Gewährung der Einsicht wird den Klientinnen und Klienten schriftlich Auskunft (in Form von Aktenkopien) erteilt. Können sich die Einrichtung und die betroffene Person nicht über Umfang oder Form der Akteneinsicht einigen, ist die Aufsichtsbehörde zu konsultieren.
Die betroffenen Personen haben Anspruch darauf, dass unrichtige Personendaten über sie berichtigt werden. Kann weder die Richtigkeit noch die Unrichtigkeit von Klientendaten – insbesondere von solchen, die eine Wertung menschlichen Verhaltens enthalten – bewiesen werden, so können Klientinnen oder Klienten verlangen, dass ein entsprechender Vermerk mit ihrer eigenen Darstellung angebracht wird oder dass sie die Richtigkeit bestreiten (Bestreitungsvermerk).
Alle Klientinnen und Klienten werden bei Eintritt in die Einrichtung über ihre Rechte und Pflichten bezüglich Datenschutz aufgeklärt.
Die Einrichtung darf Daten bearbeiten, wenn das Gesetz die Bearbeitung vorsieht, die Bearbeitung zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich ist oder wenn die betroffenen Personen im Einzelfall ausdrücklich sowie in Kenntnis von Zweck und Art der vorgesehenen Bearbeitung eingewilligt haben.
Dazu gehören insbesondere:
Nicht dazu gehören in der Regel persönliche Korrespondenz oder biographische Angaben (soweit für die Betreuung nicht mehr relevant). Zu beachten ist, dass die Datenschutzbestimmungen auch innerhalb einer Organisation bzw. Einrichtung eingehalten werden müssen. Das heisst, dass nicht alle Mitarbeitenden einer Einrichtung sämtliche Personendaten bearbeiten dürfen, beispielsweise durch beschränktes Zugriffsrecht oder eingeschränkte Einsicht. Jede Person darf nur diejenigen Daten bearbeiten, die sie für die eigene Aufgabenerfüllung benötigt oder wenn sie die Stellvertretung wahrnimmt.
Unsere Institution hat organisatorische und technische Massnahmen zur Sicherung der Daten vor Verlust und Entwendung sowie unbefugter Kenntnisnahme und unbefugtem Bearbeiten zu treffen. Die Sicherheitsmassnahmen betreffen allgemein den Zugriff auf Dokumente.
Zu diesen Massnahmen zählen insbesondere:
Soziale Medien (Facebook, Google+, MySpace, Tiktok, Instagram, X (ehemals Twitter), XING, LinkedIN und andere mehr, sowie MessengerDienste (z.B. WhatsApp) sind ungeeignet für den Umgang mit Personendaten unter uns Mitarbeitenden. Für ihre Nutzung entstehen zwar keine Kosten im Sinne von Geldbeträgen, gezahlt wird jedoch mit den Daten! Sowohl die Personendaten, die ausgetauscht werden, als auch die Metadaten (Verbindungsdauer, grobe geografische Herkunft der IPAdresse, Verweildauer sowie Bewegungen auf der Seite usw.) werden von den Anbietenden gesammelt und ausgewertet. Zusätzlich können sich Hacker als sogenannte Freunde ausgeben und Nutzungsprofile in unredlicher Absicht verändert, ergänzt, kopiert oder für reale oder fiktive Personen erstellt werden, welche die sozialen Medien gar nicht nutzen.
Die Institution soll die Daten so lange aufbewahren, als sie diese für die Erfüllung der gesetzlich vorgesehenen Aufgaben benötigt bzw. eine allfällige Aufbewahrungspflicht besteht. Grundsätzlich sollen oder vielmehr müssen die Klientendaten, ohne befristete Zeit, in unserem Archiv aufbewahrt werden.
Die Grundsätze der Verhältnismässigkeit und der Zweckbindung bedeuten, dass die Bearbeitung der Personendaten auf den Zweck bei deren Erhebung beschränkt ist. Wird beispielsweise beim Eintritt einer Person deren Gesundheitszustand abgefragt und müssen allfällige Arztzeugnisse eingereicht werden, dann heisst das für die:
Die Institution Kinder- und Jugendheim Laufen verpflichtet sich dazu, alle erhobenen Daten nur in dem Umfang und ausschliesslich zu denjenigen Zwecken zu bearbeiten, wie dies für die Aufgabenerfüllung notwendig ist. Wir verpflichten uns, angemessene technische und organisatorische Massnahmen zur Gewährleistung des Datenschutzes und der Informationssicherheit zu treffen. Die Institution Kinder- und Jugendheim Laufen bearbeitet Personendaten (inkl. Zugriffe und Standort-Webserver) nur in der Schweiz oder in der EU bzw. im europäischen Wirtschaftsraum. Wir können Personendaten aber auch in andere Staaten exportieren bzw. übermitteln, 7 insbesondere um sie dort zu bearbeiten oder bearbeiten zu lassen. Wir können Personendaten in alle Staaten und Territorien exportieren, sofern das dortige Recht nach Einschätzung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder gemäss Beschluss des Schweizerischen Bundesrates einen angemessenen Datenschutz sowie – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – gemäss Beschluss der Europäischen Kommission einen angemessenen Datenschutz gewährleistet.
Wir können Personendaten in Staaten, deren Recht keinen angemessenen Datenschutz gewährleistet, übermitteln, sofern der Datenschutz aus anderen Gründen gewährleistet ist, insbesondere auf Grundlage von Standarddatenschutzklauseln oder mit anderen geeigneten Garantien. Ausnahmsweise können wir Personendaten in Staaten ohne angemessenen oder geeigneten Datenschutz exportieren, wenn dafür die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind, beispielsweise die ausdrückliche Einwilligung der betroffenen Personen oder ein unmittelbarer Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages. Wir geben betroffenen Personen auf Nachfrage gerne Auskunft über allfällige Garantien oder liefern eine Kopie von Garantien.
Die Institution Kinder- und Jugendheim Laufen, in Zusammenarbeit mit Cheops Informatik AG, legt diejenigen Unterbeauftragten offen, die im Auftrag Personendaten bearbeiten. Wir binden alle involvierten Unterbeauftragten an die Pflichten, die sich aus dieser Datenschutzerklärung ergeben. Die Institution Kinder- und Jugendheim Laufen, in Zusammenarbeit mit der Cheops Informatik AG, Basel behandelt alle Personendaten, die wir direkt oder indirekt im Zusammenhang mit dem Vertrag erlangen, vertraulich. Wir verpflichten uns insbesondere dazu, die Personendaten weder an unautorisierte Dritte weiterzugeben noch in anderer Form unautorisierten Dritten zugänglich zu machen. Die Cheops Informatik AG unterstützt die Institution Kinder- und Jugendheim Laufen bei der Einhaltung der Anforderungen der anwendbaren Datenschutzbestimmungen und Sofortmassnahmen zu ergreifen, die erforderlich sind, um die Personendaten zu sichern und mögliche nachteilige Folgen zu verhindern bzw. zu minimieren.
Die Institution Kinder- und Jugendheim Laufen hat das Recht, jederzeit die Einhaltung der anwendbaren Datenschutzbestimmungen bei Cheops Informatik AG zu kontrollieren. Bei Vertragsbeendigung hat Cheops Informatik AG die Personendaten (samt allfälliger Kopien), welche sie für das Kinder- und Jugendheim Laufen bearbeitet hat, vorbehältlich einer anderen Regelung im Vertrag, nach ausdrücklicher Anweisung von der Institution Kinder- und Jugendheim Laufen an diese zu übertragen oder zu vernichten. Die Datenvernichtung ist von Cheops Informatik AG zu dokumentieren und sie ist der Institution Kinder- und Jugendheim Laufen als Kopie unaufgefordert zuzustellen.
Jede Änderung dieses Vertrages ist nur gültig, wenn sie schriftlich erfolgt. Sollte eine Bestimmung dieser Auftragsbearbeitungserklärung unwirksam sein, wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt (salvatorische Klausel). Die Parteien verpflichten sich, anstelle einer unwirksamen Bestimmung eine dieser Bestimmung möglichst nahekommende wirksame Regelung zu treffen.
Cookies: Wir können Cookies verwenden. Bei Cookies – eigenen Cookies (FirstParty-Cookies) als auch Cookies von Dritten, deren Dienste wir nutzen (Third-Party-Cookies) – handelt es sich um Daten, die im Browser gespeichert werden. Solche gespeicherten Daten müssen nicht auf traditionelle Cookies in Textform beschränkt sein.
Cookies können im Browser temporär als «Session Cookies» oder für einen bestimmten Zeitraum als sogenannte permanente Cookies gespeichert werden. «Session Cookies» werden automatisch gelöscht, wenn der Browser geschlossen wird. Permanente Cookies haben eine bestimmte Speicherdauer. Cookies ermöglichen insbesondere, einen Browser beim nächsten Besuch unserer Website wiederzuerkennen und dadurch beispielsweise die Reichweite unserer Website zu messen. Permanente Cookies können aber beispielsweise auch für Online-Marketing verwendet werden.
Cookies können in den Browser-Einstellungen jederzeit ganz oder teilweise deaktiviert sowie gelöscht werden. Ohne Cookies steht unsere Website allenfalls nicht mehr in vollem Umfang zur Verfügung. Wir ersuchen – mindestens sofern und soweit erforderlich – aktiv um die ausdrückliche Einwilligung in die Verwendung von Cookies.
Server-Logdateien: Wir können für jeden Zugriff auf unsere Website nachfolgende Angaben erfassen, sofern diese von Ihrem Browser an unsere Server-Infrastruktur übermittelt werden oder von unserem Webserver ermittelt werden können: Datum und Zeit einschliesslich Zeitzone, Internet Protocol (IP)-Adresse, Zugriffsstatus (HTTP-Statuscode), Betriebssystem einschliesslich Benutzeroberfläche und Version, Browser einschliesslich Sprache und Version, aufgerufene einzelne Unter-Seite unserer Website einschliesslich übertragener Datenmenge, zuletzt im gleichen Browser-Fenster aufgerufene Webseite (Referer bzw. Referrer).
Wir speichern solche Angaben, die auch Personendaten darstellen können, in Server-Logdateien. Die Angaben sind erforderlich, um unsere Website dauerhaft, nutzerfreundlich und zuverlässig bereitstellen sowie um die Datensicherheit und damit insbesondere den Schutz von Personendaten sicherstellen zu können – auch durch Dritte oder mit Hilfe von Dritten.