16 August 2018

- Rechtliche Betreuer benötigen für die Datenverarbeitung keine Einwilligung des Betreuten -

Vor Ablauf der Übergangsfrist am 25. Mai 2018 hatte die EU-DSGVO (Datenschutzgrundverordnung) für viel Unruhe unter Berufsbetreuern gesorgt. Der BVfB hat zu der komplexen Gesamtproblematik einige Newsletter veröffentlicht, in denen er seine Rechtsansicht dargelegt hat. In einem zentralen Punkt sieht sich der BVfB nun durch ein erstes Urteil des Betreuungsgerichts Altötting vom 04.06.2018 - XVII 0266/05 - bestätigt. Das Gericht vertritt die Auffassung, dass Rechtliche Betreuer generell keiner Einwilligung des Betreuten zur Datenverarbeitung bedürfen. In der Entscheidung sieht das Amtsgericht den Erlaubnistatbestand in Art. 6 Abs. 1 lit. c EU-DSGVO als erfüllt an und meint ebenso wie der BVfB, dass für die Datenverarbeitung grundsätzlich weder eine Einwilligung noch eine Interessenabwägung erforderlich ist. Allerdings äußert sich das Gericht nicht explizit zu den sensiblen Daten (Gesundheitsdaten) im Sinne des Art. 9 EU-DSGVO.

Besonders erwähnenswert an der Entscheidung ist, dass das Betreuungsgericht auf Grund der Befugnis des Betreuers zur rechtlichen Vertretung das erforderliche „Gegenüberverhältnis“ zwischen dem verantwortlichen Datenverarbeiter (Betreuer) und dem Betroffenen (Betreuter) verneint. Dies habe zur Folge, dass ein Betreuer im Namen des Betreuten Daten verarbeite. Sollte sich diese Rechtsansicht durchsetzen - was der BVfB für eher unwahrscheinlich hält - ergäben sich weitreichende Konsequenzen für die Rechtliche Betreuung. Die EU-DSGVO wäre dann wohl in weiten Teilen für Rechtliche Betreuer nicht anwendbar.

Erlaubnis zur Datenverarbeitung

Fraglich ist, ob Berufsbetreuerinnen und Berufsbetreuer generell verpflichtet sind, vor der Datenverarbeitung eine Einwilligung des Betreuten einzuholen.

Der BVfB vertritt die Rechtsauffassung, dass in der Regel für die Rechtmäßigkeit der Datenverarbeitung keine Einwilligungserklärung der betreuten Person erforderlich ist. Eine Einwilligungserklärung der betreuten Person birgt ohnehin die Gefahr in sich, dass sie rechtlich unwirksam ist. Denn nach der EU-Datenschutzgrundverordnung gilt eine Einwilligungserklärung als nicht freiwillig und damit unwirksam abgegeben, wenn zwischen der betroffenen Person (Betreuter) und dem Verantwortlichen (Betreuer) ein klares Ungleichgewicht besteht. Von einem solchen Ungleichgewicht dürfte auf Grund des Zustandes der Betreuten und ihrer Schutzbedürftigkeit in vielen Fällen auszugehen sein. Außerdem kann eine Einwilligungserklärung durch den Betreuten jederzeit widerrufen werden, mit der Folge, dass die verarbeiteten Daten zu löschen wären. Eine Einwilligungserklärung bietet also keinen sicheren Schutz davor, nicht gegen die Regeln der Datenschutzgrundverordnung zu verstoßen.

II. Anlegen eines Verzeichnisses über die Verarbeitungstätigkeit

Die Datenschutzgrundverordnung verpflichtet Berufsbetreuer, ein Verzeichnis über die Tätigkeit der Datenverarbeitung anzulegen (Art. 30 DSGVO). Diese Pflicht gilt zwar nicht ausnahmslos, jedoch jedenfalls dann, wenn ein Risiko für die Rechte und Freiheiten des Betreuten besteht. Letzteres ist bei der Verarbeitung von Gesundheitsdaten der Fall (Stichwort: Gesundheitssorge) und auch dann, wenn Daten nicht nur gelegentlich verarbeitet werden. Der BVfB ist der Ansicht, dass einer dieser beiden Tatbestände in der Regel vorliegen dürfte und rät daher seinen Mitgliedern, ein Verzeichnis über die Verarbeitungstätigkeit anzulegen.

Datenschutzbeauftragter

Die vom Bundesverband freier Berufsbetreuer eingerichtete Arbeitsgruppe „Datenschutz“ hält mehrheitlich die Benennung eines Datenschutzbeauftragten in einem Betreuerbüro (Freiberufler) nach der Europäischen Datenschutzgrundverordnung im Regelfall nicht für erforderlich. Diese Ansicht wird von einem Mitglied der Arbeitsgruppe nicht geteilt.

Eine Ausnahme gilt lediglich, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies dürfte auf die wenigsten Betreuerbüros zutreffen. Anders dürfte sich die Rechtslage insoweit ggf. für Betreuungsvereine darstellen.

Im Folgenden stellen wir die Verpflichtungen dar, die sich für Berufsbetreuerinnen und Berufsbetreuer aus der EU-Datenschutzgrundverordnung ergeben.

I. Datenschutz durch Systemgestaltung

Datenschutz durch Systemgestaltung setzt zeitlich vor der Datenverarbeitung an und richtet sich zunächst an diejenigen, die technische Systeme - wie beispielsweise eine Software oder einen Browser - entwickeln. Diese technischen Systeme müssen so ausgestaltet sein, dass sie nach dem jeweiligen Stand der Technik datenschutzfreundlich sind. Der Datenschutz soll diesen Systemen immanent sein.

III. Technische und organisatorische Maßnahmen (Datensicherheit)

Das Verzeichnis über die Tätigkeit der Datenverarbeitung beinhaltet - wenn möglich - auch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM`s), die der Betreuer oder die Betreuerin getroffen hat, um die Sicherheit der personenbezogenen Datenverarbeitung zu gewährleisten.

Dem BVfB ist es besonders wichtig, im diesem Zusammenhang darauf hinzuweisen, dass der Gesetzgeber den Umfang dieser Maßnahmen u.a. vom Zweck der Datenverarbeitung und den Kosten abhängig macht. Berufsbetreuer werden von den Gerichten verpflichtet, bestimmte Aufgaben für den Betreuten zu erledigen. Der Zweck der Datenverarbeitung erfolgt also zum einen im Interesse des Betreuten und zum anderen, um einer von den Betreuungsgerichten übertragenen Pflicht zu entsprechen, deren Verletzung Schadensersatzansprüche des Betreuten zur Folge haben kann. Hinzu kommt, dass zahlreiche - nicht alle - Berufsbetreuer als Einzelunternehmer nicht über die finanziellen Möglichkeiten verfügen dürften, um kostspielige technische Maßnahmen zur Verbesserung der Datensicherheit zu ergreifen. Es liegt daher auf der Hand, dass die Anforderungen an die Datensicherheit in großen Unternehmen, die häufig Daten im eigenen Interesse verarbeiten, deutlich höher sind als in einem Betreuungsbüro.

Die vom Bundesverband freier Berufsbetreuer eingerichtete Arbeitsgruppe „Datenschutz“ sieht sowohl den sachlichen als auch den räumlichen Anwendungsbereich der Datenschutz – Grundverordnung (EU-DSGVO) bei Berufsbetreuern für gegeben.

Im Rahmen des sachlichen Anwendungsbereiches der Verordnung (Art. 2) ist nicht erkennbar, dass Berufsbetreuer hiervon ausgenommen sind. Anhaltspunkte für das Vorliegen eines der in Absatz 2 genannten Ausnahmetatbestände sind nicht ersichtlich. Der Verband vertritt die Ansicht, dass auch ehrenamtlich tätige Betreuer, die noch nicht zu Berufsbetreuern bestellt worden sind, vom sachlichen Anwendungsbereich erfasst werden. Auf Grund eines einheitlichen Schutzes für Betreute meinen wir außerdem, dass die Verordnung für sämtliche ehrenamtlich tätigen Betreuer gilt, insbesondere auch dann, wenn - wie in der Regel - eine verwandtschaftliche Beziehung zwischen Betreuer und Betreuten besteht.