Das Problem: Klientendaten auf dem Übertragungsweg
Thomas, Streetworker in einem Jugendzentrum, muss regelmäßig Dokumente an Kolleg*innen, Träger oder Behörden senden – Berichte, Anträge, Vertrauensprotokolle. Was macht er? Er öffnet WhatsApp, wählt den Chat mit der Kollegin und schickt das PDF durch.
Das ist ein Datenschutzproblem.
WhatsApp speichert Metadaten auf US-Servern. Die DSGVO fordert, dass Klientendaten innerhalb der EU oder in gleichwertig geschützten Räumen verarbeitet werden. Für sensible Sozialdaten gilt das noch strenger: Schweigepflicht und Klientenschutz sind nicht optionale Extras, sondern professionelle Grundpflichten.
Warum die üblichen Tools nicht geeignet sind
| Tool | Problem |
|---|---|
| Metadaten auf US-Servern, keine Ende-zu-Ende-Gruppe, Facebook-Kontakt | |
| Dropbox | US-Cloud, kommerzielle Nutzungsbedingungen, DSGVO-Risiko |
| Google Drive | Google analysiert Inhalte, US-Server |
| E-Mail (unverschlüsselt) | Jeder Router kann den Inhalt lesen |
| Teams | Microsoft-Cloud, Daten außerhalb EU |
Was stattdessen funktioniert
1. Verschlüsselte E-Mail Mit Thunderbird + PGP oder einer geschützten Instanz wie Disroot können E-Mails Ende-zu-Ende verschlüsselt werden. Das ist der niedrigschwelligste Weg für Textdokumente.
2. Nextcloud im Trägerverbund Eine selbst gehostete Nextcloud auf einem EU-Server bietet: Ende-zu-Ende-Verschlüsselung, Zugriffskontrolle, Versionsverwaltung und DSGVO-Konformität. Träger können gemeinsam eine Instanz betreiben – Public Money, Public Code.
3. OnionShare für besonders sensible Daten Für Dokumente, die nur einmal übertragen werden müssen und niemandem sonst zugänglich sein sollen: OnionShare erstellt einen temporären, anonymen Download-Link über das Tor-Netzwerk. Nach dem Download verschwindet der Link.
4. Matrix als geschützter Kommunikationskanal Matrix-Protokoll mit Ende-zu-Ende-Verschlüsselung (Olm/Megolm) erlaubt sowohl Chat als auch Dateiübertragung – alles auf einem selbst gewählten Server, EU-basiert.
Praxis-Quickie
Tipp: Installiere Nextcloud auf einem Hetzner-Server (20€/Monat), konfiguriere Ende-zu-Ende-Verschlüsselung für den Klientenordner, und teile Dokumente nur über zeitbegrenzte Freigabelinks. So landen keine Klientendaten auf US-Servern – und du bleibst DSGVO-konform.
Fazit
Die Soziale Arbeit hat eine besondere Verantwortung: Klientendaten sind nicht „normale" Daten. Sie sind hochsensibel, oft schutzbedürftig und rechtlich strikt reguliert. Wer sie über WhatsApp oder Dropbox überträgt, verletzt nicht nur die DSGVO – er gefährdet die Vertrauensbeziehung, die das Fundament seiner Arbeit ist.
Digitale Mündigkeit bedeutet auch: Verantwortung übernehmen für den Weg, nicht nur für den Inhalt.
Weitere Beiträge zu Datenschutz und digitaler Souveränität findest du auf digitalesozialearbeit.de/blog. Austausch im Fediverse: @digitalesozialearbeit@social.zendit.digital
