18 Juli 2018

Erlaubnis zur Datenverarbeitung

Fraglich ist, ob Berufsbetreuerinnen und Berufsbetreuer generell verpflichtet sind, vor der Datenverarbeitung eine Einwilligung des Betreuten einzuholen.

Der BVfB vertritt die Rechtsauffassung, dass in der Regel für die Rechtmäßigkeit der Datenverarbeitung keine Einwilligungserklärung der betreuten Person erforderlich ist. Eine Einwilligungserklärung der betreuten Person birgt ohnehin die Gefahr in sich, dass sie rechtlich unwirksam ist. Denn nach der EU-Datenschutzgrundverordnung gilt eine Einwilligungserklärung als nicht freiwillig und damit unwirksam abgegeben, wenn zwischen der betroffenen Person (Betreuter) und dem Verantwortlichen (Betreuer) ein klares Ungleichgewicht besteht. Von einem solchen Ungleichgewicht dürfte auf Grund des Zustandes der Betreuten und ihrer Schutzbedürftigkeit in vielen Fällen auszugehen sein. Außerdem kann eine Einwilligungserklärung durch den Betreuten jederzeit widerrufen werden, mit der Folge, dass die verarbeiteten Daten zu löschen wären. Eine Einwilligungserklärung bietet also keinen sicheren Schutz davor, nicht gegen die Regeln der Datenschutzgrundverordnung zu verstoßen.

Datenschutzbeauftragter

Die vom Bundesverband freier Berufsbetreuer eingerichtete Arbeitsgruppe „Datenschutz“ hält mehrheitlich die Benennung eines Datenschutzbeauftragten in einem Betreuerbüro (Freiberufler) nach der Europäischen Datenschutzgrundverordnung im Regelfall nicht für erforderlich. Diese Ansicht wird von einem Mitglied der Arbeitsgruppe nicht geteilt.

Eine Ausnahme gilt lediglich, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies dürfte auf die wenigsten Betreuerbüros zutreffen. Anders dürfte sich die Rechtslage insoweit ggf. für Betreuungsvereine darstellen.

Im Folgenden stellen wir die Verpflichtungen dar, die sich für Berufsbetreuerinnen und Berufsbetreuer aus der EU-Datenschutzgrundverordnung ergeben.

I. Datenschutz durch Systemgestaltung

Datenschutz durch Systemgestaltung setzt zeitlich vor der Datenverarbeitung an und richtet sich zunächst an diejenigen, die technische Systeme - wie beispielsweise eine Software oder einen Browser - entwickeln. Diese technischen Systeme müssen so ausgestaltet sein, dass sie nach dem jeweiligen Stand der Technik datenschutzfreundlich sind. Der Datenschutz soll diesen Systemen immanent sein.

III. Technische und organisatorische Maßnahmen (Datensicherheit)

Das Verzeichnis über die Tätigkeit der Datenverarbeitung beinhaltet - wenn möglich - auch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM`s), die der Betreuer oder die Betreuerin getroffen hat, um die Sicherheit der personenbezogenen Datenverarbeitung zu gewährleisten.

Dem BVfB ist es besonders wichtig, im diesem Zusammenhang darauf hinzuweisen, dass der Gesetzgeber den Umfang dieser Maßnahmen u.a. vom Zweck der Datenverarbeitung und den Kosten abhängig macht. Berufsbetreuer werden von den Gerichten verpflichtet, bestimmte Aufgaben für den Betreuten zu erledigen. Der Zweck der Datenverarbeitung erfolgt also zum einen im Interesse des Betreuten und zum anderen, um einer von den Betreuungsgerichten übertragenen Pflicht zu entsprechen, deren Verletzung Schadensersatzansprüche des Betreuten zur Folge haben kann. Hinzu kommt, dass zahlreiche - nicht alle - Berufsbetreuer als Einzelunternehmer nicht über die finanziellen Möglichkeiten verfügen dürften, um kostspielige technische Maßnahmen zur Verbesserung der Datensicherheit zu ergreifen. Es liegt daher auf der Hand, dass die Anforderungen an die Datensicherheit in großen Unternehmen, die häufig Daten im eigenen Interesse verarbeiten, deutlich höher sind als in einem Betreuungsbüro.

Die vom Bundesverband freier Berufsbetreuer eingerichtete Arbeitsgruppe „Datenschutz“ sieht sowohl den sachlichen als auch den räumlichen Anwendungsbereich der Datenschutz – Grundverordnung (EU-DSGVO) bei Berufsbetreuern für gegeben.

Im Rahmen des sachlichen Anwendungsbereiches der Verordnung (Art. 2) ist nicht erkennbar, dass Berufsbetreuer hiervon ausgenommen sind. Anhaltspunkte für das Vorliegen eines der in Absatz 2 genannten Ausnahmetatbestände sind nicht ersichtlich. Der Verband vertritt die Ansicht, dass auch ehrenamtlich tätige Betreuer, die noch nicht zu Berufsbetreuern bestellt worden sind, vom sachlichen Anwendungsbereich erfasst werden. Auf Grund eines einheitlichen Schutzes für Betreute meinen wir außerdem, dass die Verordnung für sämtliche ehrenamtlich tätigen Betreuer gilt, insbesondere auch dann, wenn - wie in der Regel - eine verwandtschaftliche Beziehung zwischen Betreuer und Betreuten besteht.

II. Anlegen eines Verzeichnisses über die Verarbeitungstätigkeit

Die Datenschutzgrundverordnung verpflichtet Berufsbetreuer, ein Verzeichnis über die Tätigkeit der Datenverarbeitung anzulegen (Art. 30 DSGVO). Diese Pflicht gilt zwar nicht ausnahmslos, jedoch jedenfalls dann, wenn ein Risiko für die Rechte und Freiheiten des Betreuten besteht. Letzteres ist bei der Verarbeitung von Gesundheitsdaten der Fall (Stichwort: Gesundheitssorge) und auch dann, wenn Daten nicht nur gelegentlich verarbeitet werden. Der BVfB ist der Ansicht, dass einer dieser beiden Tatbestände in der Regel vorliegen dürfte und rät daher seinen Mitgliedern, ein Verzeichnis über die Verarbeitungstätigkeit anzulegen.

Der Bundesverband freier Berufsbetreuer sieht es als seine, durch die Satzung bestimmte Aufgabe an, die wirtschaftlichen und beruflichen Interessen seiner Mitglieder zu fördern und die Mitglieder über verbindliche Bestimmungen des europäischen und nationalen Rechts zu unterrichten und im Rahmen des Datenschutzes zu sensibilisieren.

Dazu wurde vom Vorstand des Verbandes die Arbeitsgruppe „Datenschutz“ eingerichtet, welche sich mit diesem Thema befasst und in regelmäßigen Zeitabständen hierzu aktuelle Entscheidungen und Kommentierungen in der BTDirekt veröffentlichen wird.