Zur Hauptnavigation springen Zum Inhalt springen Zur Fußnavigation springen

MitarbeiterInnen im Betreuungsbüro sind normalerweise im Rahmen ihres Arbeitsvertrages zur Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten verpflichtet. In Einzelfällen, in denen der Arbeitsvertrag keine Regelungen zur Geheimhaltung enthält, ist es erforderlich, dass die BetreuerInnen ihre MitarbeiterInnen eine Verpflichtungserklärung unterschreiben lassen. Die europäische Datenschutzgrundverordnung (DSGVO) enthält explizit keine Regelung zur förmlichen Verpflichtung der Mitarbeiter auf das Datengeheimnis. Dies führt jedoch nicht dazu, dass eine Verpflichtungserklärung (vormals in § 5 Bundesdatenschutzgesetz geregelt) nicht erforderlich ist. Mit Inkrafttreten der EU-DSGVO ist nicht das Datengeheimnis entfallen.

Die Arbeitsgruppe Datenschutz des Bundesverbandes freier Berufsbetreuer hat im Artikel vom 08.05.2018, der unter dieser Rubrik veröffentlicht wurde, auf die Erforderlichkeit eines Verzeichnisses über die Verarbeitungstätigkeit von Berufsbetreuern hingewiesen. Es wurde dargestellt, dass Berufsbetreuer nach der EU-Datenschutzgrundverordnung verpflichtet sind, gem. Art. 30 DSGVO ein Verzeichnis über die Tätigkeit der Datenverarbeitung anzulegen. Aus aktuellem Anlass wird noch einmal darauf hingewiesen, dass diese Pflicht nicht ausnahmslos gilt, aber zum Zuge kommt, wenn ein Risiko für die Rechte und Freiheiten des Betreuten bestehen. Dies ist bei der Verarbeitung von Gesundheitsdaten der Fall (Stichwort: Gesundheitssorge) und auch dann, wenn Daten nicht nur gelegentlich verarbeitet werden.

- Rechtliche Betreuer benötigen für die Datenverarbeitung keine Einwilligung des Betreuten -

Vor Ablauf der Übergangsfrist am 25. Mai 2018 hatte die EU-DSGVO (Datenschutzgrundverordnung) für viel Unruhe unter Berufsbetreuern gesorgt. Der BVfB hat zu der komplexen Gesamtproblematik einige Newsletter veröffentlicht, in denen er seine Rechtsansicht dargelegt hat. In einem zentralen Punkt sieht sich der BVfB nun durch ein erstes Urteil des Betreuungsgerichts Altötting vom 04.06.2018 - XVII 0266/05 - bestätigt. Das Gericht vertritt die Auffassung, dass Rechtliche Betreuer generell keiner Einwilligung des Betreuten zur Datenverarbeitung bedürfen. In der Entscheidung sieht das Amtsgericht den Erlaubnistatbestand in Art. 6 Abs. 1 lit. c EU-DSGVO als erfüllt an und meint ebenso wie der BVfB, dass für die Datenverarbeitung grundsätzlich weder eine Einwilligung noch eine Interessenabwägung erforderlich ist. Allerdings äußert sich das Gericht nicht explizit zu den sensiblen Daten (Gesundheitsdaten) im Sinne des Art. 9 EU-DSGVO.

Erlaubnis zur Datenverarbeitung

Fraglich ist, ob Berufsbetreuerinnen und Berufsbetreuer generell verpflichtet sind, vor der Datenverarbeitung eine Einwilligung des Betreuten einzuholen.

Der BVfB vertritt die Rechtsauffassung, dass in der Regel für die Rechtmäßigkeit der Datenverarbeitung keine Einwilligungserklärung der betreuten Person erforderlich ist. Eine Einwilligungserklärung der betreuten Person birgt ohnehin die Gefahr in sich, dass sie rechtlich unwirksam ist. Denn nach der EU-Datenschutzgrundverordnung gilt eine Einwilligungserklärung als nicht freiwillig und damit unwirksam abgegeben, wenn zwischen der betroffenen Person (Betreuter) und dem Verantwortlichen (Betreuer) ein klares Ungleichgewicht besteht. Von einem solchen Ungleichgewicht dürfte auf Grund des Zustandes der Betreuten und ihrer Schutzbedürftigkeit in vielen Fällen auszugehen sein. Außerdem kann eine Einwilligungserklärung durch den Betreuten jederzeit widerrufen werden, mit der Folge, dass die verarbeiteten Daten zu löschen wären. Eine Einwilligungserklärung bietet also keinen sicheren Schutz davor, nicht gegen die Regeln der Datenschutzgrundverordnung zu verstoßen.

Datenschutzbeauftragter

Die vom Bundesverband freier Berufsbetreuer eingerichtete Arbeitsgruppe „Datenschutz“ hält mehrheitlich die Benennung eines Datenschutzbeauftragten in einem Betreuerbüro (Freiberufler) nach der Europäischen Datenschutzgrundverordnung im Regelfall nicht für erforderlich. Diese Ansicht wird von einem Mitglied der Arbeitsgruppe nicht geteilt.

Eine Ausnahme gilt lediglich, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies dürfte auf die wenigsten Betreuerbüros zutreffen. Anders dürfte sich die Rechtslage insoweit ggf. für Betreuungsvereine darstellen.

III. Technische und organisatorische Maßnahmen (Datensicherheit)

Das Verzeichnis über die Tätigkeit der Datenverarbeitung beinhaltet - wenn möglich - auch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM`s), die der Betreuer oder die Betreuerin getroffen hat, um die Sicherheit der personenbezogenen Datenverarbeitung zu gewährleisten.

Dem BVfB ist es besonders wichtig, im diesem Zusammenhang darauf hinzuweisen, dass der Gesetzgeber den Umfang dieser Maßnahmen u.a. vom Zweck der Datenverarbeitung und den Kosten abhängig macht. Berufsbetreuer werden von den Gerichten verpflichtet, bestimmte Aufgaben für den Betreuten zu erledigen. Der Zweck der Datenverarbeitung erfolgt also zum einen im Interesse des Betreuten und zum anderen, um einer von den Betreuungsgerichten übertragenen Pflicht zu entsprechen, deren Verletzung Schadensersatzansprüche des Betreuten zur Folge haben kann. Hinzu kommt, dass zahlreiche - nicht alle - Berufsbetreuer als Einzelunternehmer nicht über die finanziellen Möglichkeiten verfügen dürften, um kostspielige technische Maßnahmen zur Verbesserung der Datensicherheit zu ergreifen. Es liegt daher auf der Hand, dass die Anforderungen an die Datensicherheit in großen Unternehmen, die häufig Daten im eigenen Interesse verarbeiten, deutlich höher sind als in einem Betreuungsbüro.

II. Anlegen eines Verzeichnisses über die Verarbeitungstätigkeit

Die Datenschutzgrundverordnung verpflichtet Berufsbetreuer, ein Verzeichnis über die Tätigkeit der Datenverarbeitung anzulegen (Art. 30 DSGVO). Diese Pflicht gilt zwar nicht ausnahmslos, jedoch jedenfalls dann, wenn ein Risiko für die Rechte und Freiheiten des Betreuten besteht. Letzteres ist bei der Verarbeitung von Gesundheitsdaten der Fall (Stichwort: Gesundheitssorge) und auch dann, wenn Daten nicht nur gelegentlich verarbeitet werden. Der BVfB ist der Ansicht, dass einer dieser beiden Tatbestände in der Regel vorliegen dürfte und rät daher seinen Mitgliedern, ein Verzeichnis über die Verarbeitungstätigkeit anzulegen.