II. Anlegen eines Verzeichnisses über die Verarbeitungstätigkeit
Die Datenschutzgrundverordnung verpflichtet Berufsbetreuer, ein Verzeichnis über die Tätigkeit der Datenverarbeitung anzulegen (Art. 30 DSGVO). Diese Pflicht gilt zwar nicht ausnahmslos, jedoch jedenfalls dann, wenn ein Risiko für die Rechte und Freiheiten des Betreuten besteht. Letzteres ist bei der Verarbeitung von Gesundheitsdaten der Fall (Stichwort: Gesundheitssorge) und auch dann, wenn Daten nicht nur gelegentlich verarbeitet werden. Der BVfB ist der Ansicht, dass einer dieser beiden Tatbestände in der Regel vorliegen dürfte und rät daher seinen Mitgliedern, ein Verzeichnis über die Verarbeitungstätigkeit anzulegen.
Das Verzeichnis ist schriftlich anzulegen, kann aber ohne weiteres in einem elektronischen Format (Beispiel: Exel-Tabelle) niedergelegt werden. Die Datenschutzgrundverordnung macht keine Vorgaben darüber, ob das Verzeichnis für jede Betreuung gesondert geführt werden muss oder in einer Tabelle sämtliche Betreuungen zusammengefasst werden. Das kann also jeder Betreuer selbst entscheiden und die Organisationsform wählen, die ihm am besten erscheint. Der Inhalt des Verzeichnisses sollte in regelmäßigen Abständen überprüft werden, um es auf dem neuesten Stand zu halten.
Das Verzeichnis dient dazu, der Aufsichtsbehörde Auskunft erteilen zu können. Es ist auf Anfrage der Behörde vorzulegen. Solange eine solche Anfrage nicht vorliegt, genügt die Aufbewahrung des Verzeichnisses im Betreuerbüro. Anhand des Verzeichnisses über die datenverarbeitende Tätigkeit soll sich die Aufsichtsbehörde in konzentrierter Form einen ersten Überblick über die Datenverarbeitung im Betreuerbüro verschaffen können. Daher genügt es nicht, dass sich sämtliche in das Verzeichnis aufzunehmenden Angaben auf der Festplatte gespeichert und abrufbar sind. Das Verzeichnis muss folgende Angaben beinhalten:
- Name und Kontaktdaten des Betreuers und ggf. seines Vertreters (Beispiel: Auftragsverarbeitung durch Dritte / ggf. beim Cloudcomputing der Fall)
- Der Zweck der Verarbeitung: Hier dürfte es nach unserer Auffassung genügen, auf die Tätigkeit als rechtlich bestellter Betreuer und die übertragenen Aufgabenkreise zu verweisen
- Beschreibung der Kategorien betroffener Personen: Das sind rechtlich Betreute im Sinne des § 1896 Abs. 1 BGB; ggf. auch Dritte (Bsp.: Familienangehörige). An dieser Stelle müssen nach unserer Rechtsauffassung also nicht sämtliche Namen der Betreuten aufgelistet werden. Es geht nämlich nach dem Gesetzestext um die Benennung der Kategorien.
- Kategorien von Empfängern, denen die Daten offengelegt werden: Die Kategorien von Empfängern können je nach Betreuung sehr unterschiedlich sein und sollten in regelmäßigen Abständen überprüft werden. (Bespiele: Krankenhäuser, behandelnde Ärzte, Sozialbehörden, Vermieter, ggf. aber auch Familienangehörige oder Bekannte). Der BVfB vertritt die Rechtsauffassung, dass in dem Verzeichnis nicht die Kontaktdaten sämtlicher Empfänger aufgelistet werden müssen. Es genügt die möglichst konkrete kategorisierte Benennung von Personengruppen (Beispiel: die Angabe „Behörden“ würden wir für zu allgemein halten, wenn eine genauere Bezeichnung möglich ist: Sozialbehörden / Jobcenter / Bezirksämter etc.)
- Löschungsfristen (Grundsätzlich sind personenbezogene Daten / Unterlagen nach Beendigung der Betreuung an den Betreuten oder seine Erben herauszugeben. Häufig wird man daher keine Frist benennen können, da das Ende der Betreuung in den wenigsten Fällen bekannt ist. Ungeklärt ist, ob und ggf. wie sich die EU-Datenschutzgrundverordnung auf die steuerrechtliche Aufbewahrungspflicht von 10 Jahren und die Aufbewahrung zum Schutz vor möglichen Schadensersatzansprüchen bis zum Eintritt der Verjährung (3 Jahre) auswirken wird. Soweit möglich, wird man im Hinblick auf den Grundsatz der Datenminimierung für verschiedene Aktenbestandteile zu unterschiedlichen Ergebnissen gelangen. Solange zu diesen Fragen keine Rechtsprechung vorliegt, halten wir zunächst eine Aufbewahrung der vollständigen, nicht herauszugebenden Akten bis zum Ablauf der Verjährungsfrist in der Regel für mit dem Datenschutzrecht vereinbar. Die steuerrechtlich relevanten Unterlagen sind nach unserer Ansicht weiterhin grundsätzlich 10 Jahre aufzubewahren.
- Wenn möglich: Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz (sogenannte. TOM`s) – Wichtig: Diese Maßnahmen werden im nächsten Artikel näher beschrieben.
Der BVfB hält es für unwahrscheinlich, dass Berufsbetreuer in den Monaten nach Inkrafttreten der EU-Datenschutzgrundverordnung von den Aufsichtsbehörden regelmäßig zur Vorlage des Verzeichnisses über die Verarbeitungstätigkeit aufgefordert werden. Pflichtverstöße können zwar mit Bußgeldern geahndet werden. Mit der Verhängung von Bußgeldern dürfte nach unserer Einschätzung jedoch zunächst nur zu rechnen sein, wenn innerhalb einer angemessenen Frist gar kein Verzeichnis über die Verarbeitungstätigkeit vorgelegt werden kann oder konkrete Beanstandungen des Verzeichnisses durch die Behörde von einem Betreuer nicht abgestellt werden. Abgesehen davon, halten wir es für durchaus diskutabel, das Verzeichnis der Aufsichtsbehörde mit der Anfrage zuzusenden, ob es den gesetzlichen Anforderungen entspricht.
Um einen Eindruck von der Erstellung eines Verzeichnisses über die Verarbeitungstätigkeit in Form einer Exel-Tabelle zu bekommen, empfehlen wir unseren Mitgliedern, sich das vom Deutschen Anwaltsverein – auch für Großkanzleien – entwickelte Muster (Musterverzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO) anzusehen, das in einem Betreuerbüro nicht 1 zu 1 umgesetzt werden muss (https://anwaltverein.de/de/praxis/datenschutz).