Die Arbeitsgruppe Datenschutz des Bundesverbandes freier Berufsbetreuer hat im Artikel vom 08.05.2018, der unter dieser Rubrik veröffentlicht wurde, auf die Erforderlichkeit eines Verzeichnisses über die Verarbeitungstätigkeit von Berufsbetreuern hingewiesen. Es wurde dargestellt, dass Berufsbetreuer nach der EU-Datenschutzgrundverordnung verpflichtet sind, gem. Art. 30 DSGVO ein Verzeichnis über die Tätigkeit der Datenverarbeitung anzulegen. Aus aktuellem Anlass wird noch einmal darauf hingewiesen, dass diese Pflicht nicht ausnahmslos gilt, aber zum Zuge kommt, wenn ein Risiko für die Rechte und Freiheiten des Betreuten bestehen. Dies ist bei der Verarbeitung von Gesundheitsdaten der Fall (Stichwort: Gesundheitssorge) und auch dann, wenn Daten nicht nur gelegentlich verarbeitet werden.
Das Verzeichnis hat unter anderem den Namen und die Kontaktdaten des Betreuers und ggf. seines Vertreters (Beispiele: Auftragsverarbeitung durch Dritte / ggf. beim Cloud Computing) aufzuführen. Insoweit dient das vom Deutschen Anwaltsverein entwickelte Muster (Musterverzeichnis der Verarbeitungstätigkeit nach Art. 30 DSGVO) als Vorlage zur Veranschaulichung, welches nicht 1 zu 1 in einem Betreuungsbüro umgesetzt werden muss.
Aufgrund vermehrt auftretender Rückfragen von Mitgliedern zum Musterverzeichnis und dem darin enthaltenen Begriff des Auftragsverarbeiters wird klargestellt, dass der Begriff Auftragsverarbeitung (Cloud Computing) nach Art. 4 Nr. 8 DSGVO bestimmt wird. Grundsätzlich ist die Auftragsverarbeitung nach der DSGVO nicht verboten, sondern lediglich an bestimmte Voraussetzungen geknüpft:
Auftragsverarbeiter ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Als Auftragsverarbeiter kommen all jene Personen/Dienstleister in Betracht, die die Datenverarbeitung für den Betreuer in dessen Auftrag oder auf dessen Weisung vornehmen (Lohnabrechnung /Steuererklärungen u.a.). Die rechtliche Konstruktion der Auftragsverarbeitung in der Verordnung sieht vor, dass die Verantwortung beim verantwortlichen Betreuer verbleibt und dieser den Auftragsverarbeiter gem. Art. 28 DSGVO sorgfältig auszuwählen hat. Die Auftragsverarbeiter sind ihrerseits nach Art. 28 DSGVO verpflichtet, hinreichende Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden und dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO und dem Schutz der Rechte der betroffenen Personen gewährleistet werden. Die Erwägungsgründe, welche zur Auslegung der DSGVO herangezogen werden, enthalten unter Ziffer 81 die Formulierung, „dass ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen soll, die – insbesondere im Hinblick auf Fachwissen und Zuverlässigkeit – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen der Verordnung genügen. Die Einhaltung eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen“.
Die Auftragsverarbeitung sollte nur auf Grundlage eines Vertrages erfolgen, welcher den Anforderungen des Art. 28 Abs. 3 a) -h) genügt. Eine Auftragsverarbeitung durch Dritte Personen, die vom Betreuer zur Verarbeitung von schützenswerten Daten beauftragt wurden, kann folglich haftungsrechtliche Folgen nach sich ziehen, wenn die vorgenannten Voraussetzungen nicht vorliegen. Im eigenen Interesse sollten Betreuer deshalb darauf achten, dass ein wirksamer Vertrag zur Auftragsverarbeitung vorliegt und entsprechende Sicherheitsmaßnahmen getroffen werden und die sich aus der DSGVO ergebende Pflichten eingehalten werden.