Auditpflicht im Sozialwesen: So erfüllen Sie Ihre Datenschutzanforderungen rechtssicher

Neben der allgemeinen Datenschutz-Grundverordnung (DSGVO) normieren die Sozialgesetzbücher (SGB) zusätzliche Pflichten zumindest für Leistungsträger. Insbesondere betrifft dies die regelmäßige Kontrolle von Dienstleistern, die im Auftrag der Einrichtungen personenbezogene Daten verarbeiten (Art. 28 DSGVO).

Im Folgenden zeigen wir auf, welche rechtlichen Grundlagen diese erweiterten Pflichten begründen, warum Dienstleister ggf. auch für Leistungserbringer umfassender zu prüfen sind, in welchem Turnus Audits stattfinden sollten und worauf es in der Praxis ankommt.

DSGVO als Ausgangspunkt

Die DSGVO verpflichtet Verantwortliche (also auch soziale Einrichtungen) dazu, nur mit Auftragsverarbeitern zusammenzuarbeiten, die hinreichende Garantien für die Einhaltung des Datenschutzes bieten (Art. 28 Abs. 1 DSGVO). Diese Pflicht ist nicht mit der Unterzeichnung eines Auftragsverarbeitungsvertrages erledigt – der Verantwortliche muss sich auch aktiv davon überzeugen, dass die Vorgaben eingehalten werden.

Besondere Regelungen im Sozialrecht

Darüber hinaus enthalten die Sozialgesetzbücher (insbesondere § 80 SGB X sowie § 35 SGB I) erhöhte Anforderungen. Sie verpflichten zunächst Leistungsträger, die Einhaltung datenschutzrechtlicher Vorgaben bei ihren Auftragsverarbeitern regelmäßig zu kontrollieren und zu dokumentieren. § 80 Abs. 1 Nr. 1 SGB X sieht ausdrücklich vor, dass sich Sozialleistungsträger bei der Auftragsverarbeitung von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen müssen. Auch im SGB V, SGB VIII und SGB XI finden sich ergänzende Verweise auf den Schutz von Sozialdaten, die über die allgemeinen DSGVO-Anforderungen hinausgehen. 

Zwar finden sich dort keine expliziten Regeln für Leistungserbringer, jedoch macht der deutsche Gesetzgeber an dieser Stelle klar: Die Verarbeitung von personenbezogenen Daten im Sinne von Sozialdaten birgt ein erhöhtes Risiko, dem mit erhöhten Sicherheitsmaßnahmen begegnet werden muss.

Damit gilt: Für soziale Einrichtungen sind Audits bei Dienstleistern keine Kür, sondern ggf. notwendige Maßnahme.

Grundsätzlich sieht der Art. 28 DSGVO bereits vor, dass Auftragsverarbeitungen nur durch Dienstleister erbracht werden, welche hinreichende Garantien dafür bringen, dass die Verarbeitung im Rahmen des geltenden Datenschutzrecht erfolgt, die Rechte der Betroffenen geschützt werden und ausreichende technische und organisatorische Maßnahmen implementiert wurden. Außerdem sieht Abs. 3 lit. h vor, dass der zugrundeliegende Auftragsverarbeitungsvertrag neben der Nachweispflicht des Auftragsverarbeiters auch eine explizite Kontrollmöglichkeit durch „Überprüfungen – einschließlich Inspektionen -, die vom Verantwortlichen oder anderen von diesem beauftragten Prüfer durchgeführt werden“ vor. Kurzgesagt: Jeder Auftragsverarbeitungsvertrag muss dem Verantwortlichen das Recht für Audits, auch vor Ort, zusichern. 

Gemeinhin wird die sog. Auftragskontrolle als Teil der technischen und organisatorischen Maßnahmen verortet. Art. 32 Abs. 1 iVm lit. d DSGVO umfasst auch die Überprüfung und Bewertung der Angemessenheit der Maßnahmen des Auftragsverarbeiters, welche die Verantwortliche Stelle letztlich mitverantwortet. Häufig wird hierbei eine Prüfung durch Fragebögen oder Checklisten, welche der Dienstleister beantworten soll, genutzt, wenn denn nicht sowieso gänzlich darauf verzichtet wird. Als Maßnahme zur Wahrung der Sicherheit der Verarbeitung ist die Dienstleisterprüfung hinsichtlich ihrer Umsetzung im Einzelfall genau so zu bewerten, wie jede andere Maßnahme: Umfang und Form einer Sicherheitsmaßnahme bestimmt sich unteranderem an der Wahrscheinlichkeit und Schwere des Risikos für Betroffene, sowie dem für die jeweilige Verarbeitung personenbezogener Daten notwendigem Schutzniveau (vgl. Art. 32 Abs. 1 S. 1, Abs. 2 DSGVO). 

Daraus folgt: Wer für unkritische Auftragsverarbeitungen seine Kontrolltätigkeit auf bloße Selbstprüfungen beschränkt, wird wohlmöglich zu dem Ergebnis kommen, dass für die Verarbeitung von Sozialdaten durch Dienstleister ein höherer Prüfungsumfang notwendig wird.

Denkbar für ein selbstdurchgeführtes oder extern beauftragtes Audit sind typischerweise

Das Gesetz nennt keinen festen Turnus. Aus der Praxis und den Anforderungen der Aufsichtsbehörden haben sich jedoch folgende Maßstäbe etabliert:

Während die DSGVO eher allgemein von „hinreichenden Garantien“ spricht, sind die Sozialgesetzbücher strenger:
• Sozialdaten gelten als besonders schutzwürdig (vgl. § 35 SGB I). Schon kleinste Verstöße können erhebliche Konsequenzen haben.
• Die Pflicht zur Kontrolle ist aktiv und regelmäßig – ein bloßer Verweis auf Zertifikate oder Selbstauskünfte reicht in der Regel nicht aus.
• Dokumentationspflichten sind besonders betont: Einrichtungen müssen nicht nur prüfen, sondern ihre Kontrollen auch nachvollziehbar festhalten.

Daraus folgt: Diese Pflicht adressiert soziale Einrichtungen nicht direkt, jedoch sollte die Einschätzung des deutschen Gesetzgebers bei der Risikobewertung im Rahmen ihrer Tätigkeit einfließen. Einrichtungen müssen bei der Auswahl und Kontrolle ihrer Dienstleister deutlich sorgfältiger vorgehen, als es in anderen Branchen üblich ist.

Ein Datenschutz-Audit umfasst typischerweise:
1. Prüfung der Verträge (AV-Verträge nach Art. 28 DSGVO und ergänzende Vereinbarungen).
2. Bewertung der technischen und organisatorischen Maßnahmen (z. B. Zugriffskontrollen, Verschlüsselung, Backup-Konzepte, Prozessuales Vorgehen).
3. Interviews ,Begehung und Nachweise: Gespräche mit Verantwortlichen, Einsicht in Zertifikate, Prüfberichte oder interne Richtlinien zur Prüfung der Umsetzung.
4. Dokumentation und Bericht: Ergebnisdarstellung mit Empfehlungen und ggf. Maßnahmenplan.

Die Durchführung solcher Audits erfordert Fachwissen im Datenschutzrecht und in den branchenspezifischen Besonderheiten des Sozialrechts. Genau hier unterstützt Sie die Althammer & Kill GmbH & Co. KG mit datenschutzrechtlicher und technischer Expertise, um alle Anforderungen aus DSGVO und SGB praxisnah zu prüfen. Dazu gehört auch die individuelle Beratung bei der Entwicklung eines Auditkonzepts, das rechtssicher und gleichzeitig praktikabel ist.
Unser Ziel: Sie können sich auf Ihre Arbeit in der sozialen Betreuung konzentrieren, während wir für die rechtssichere Prüfung Ihrer Dienstleister sorgen.

Datenschutz-Audits sind für soziale Einrichtungen möglicherweise gesetzlich verpflichtend – zwar nicht direkt nach den Sozialgesetzbüchern, aber möglicherweise auf Grund des risikobasierten Ansatzes der DSGVO. Wer diese Pflicht vernachlässigt, riskiert nicht nur Bußgelder, sondern auch das Vertrauen von Klientinnen und Klienten.