23 Mai 2018

III. Technische und organisatorische Maßnahmen (Datensicherheit)

Das Verzeichnis über die Tätigkeit der Datenverarbeitung beinhaltet - wenn möglich - auch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM`s), die der Betreuer oder die Betreuerin getroffen hat, um die Sicherheit der personenbezogenen Datenverarbeitung zu gewährleisten.

Dem BVfB ist es besonders wichtig, im diesem Zusammenhang darauf hinzuweisen, dass der Gesetzgeber den Umfang dieser Maßnahmen u.a. vom Zweck der Datenverarbeitung und den Kosten abhängig macht. Berufsbetreuer werden von den Gerichten verpflichtet, bestimmte Aufgaben für den Betreuten zu erledigen. Der Zweck der Datenverarbeitung erfolgt also zum einen im Interesse des Betreuten und zum anderen, um einer von den Betreuungsgerichten übertragenen Pflicht zu entsprechen, deren Verletzung Schadensersatzansprüche des Betreuten zur Folge haben kann. Hinzu kommt, dass zahlreiche - nicht alle - Berufsbetreuer als Einzelunternehmer nicht über die finanziellen Möglichkeiten verfügen dürften, um kostspielige technische Maßnahmen zur Verbesserung der Datensicherheit zu ergreifen. Es liegt daher auf der Hand, dass die Anforderungen an die Datensicherheit in großen Unternehmen, die häufig Daten im eigenen Interesse verarbeiten, deutlich höher sind als in einem Betreuungsbüro.

Dieser Ausgangspunkt ändert aber nichts daran, dass Berufsbetreuer verpflichtet sind, sich grundsätzlich Gedanken über die Datensicherheit in ihrem Betreuungsbüro zu machen und die ergriffenen technischen und organisatorischen Maßnahmen in dem Verzeichnis über die Tätigkeit der Datenverarbeitung niederzulegen.

Dem BVfB ist außerdem der Hinweis wichtig, dass der Gesetzgeber die im Einzelfall zu treffenden TOM`s nicht beschrieben hat und eine eigenverantwortliche Abwägung des Betreuers verlangt, bei der die Schwere der Risiken für die Rechte der Betreuten, die Eintrittswahrscheinlichkeit (Verlust, Veränderung, Vernichtung oder unbefugte Offenlegung personenbezogener Daten) und der Stand der Technik zu berücksichtigen sind.

Der BVfB empfiehlt anhand folgender Checkliste zu prüfen, welche TOM`s zur Datensicherheit ergriffen worden sind und ob diese als ausreichend angesehen werden. Anschließend sollten die TOM’s im Verzeichnis über die Tätigkeit der Datenverarbeitung - geordnet nach der Checkliste -beschrieben werden. Die Checkliste ist so umfangreich, damit zumindest jeder Problembereich gedanklich überprüft und abgehakt wird. Das bedeutet nicht, dass sämtlich in Frage kommenden TOM’s im Verzeichnis über die Tätigkeit der Datenverarbeitung erwähnt werden müssen. Der BVfB berät nicht zu technischen Fragen der IT-Sicherheit. Insoweit wird empfohlen - soweit erforderlich - sich bei IT-Fachleuten sachkundig zu machen.

Checkliste

I. Zugangskontrolle

Die Zugangskontrolle soll verhindern, dass Unbefugte Zugang zu Verarbeitungsanlagen (Bsp.: Server / eigener PC) erhalten, mit denen die Verarbeitung durchgeführt wird

  1. Passwortgeschützter Zugang
  2. Alarmanlage
  3. Sicherheitsschlösser
  4. Sorgfältige Auswahl des Reinigungspersonals
  5. Abschließbare Serverschränke

II. Datenträgerkontrolle

Die Datenträgerkontrolle soll verhindern, dass Unbefugte Datenträger (CD-Rom / USB-Stick / Aktenordner) lesen, kopieren, verändern oder löschen können

  1. Sichere Aufbewahrung von Datenträgern
  2. Kennzeichnung der Aktendeckel lediglich mit den Initialen des Betreuten
  3. Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
  4. Ordnungsgemäße Vernichtung von Datenträgern
  5. Einsatz von Aktenvernichtern
  6. Vernichtung von größeren Aktenmengen durch Dienstleister mit Datenschutz-Gütesiegel
  7. Einrichtung von Standleitungen bzw. VPN-Tunneln
  8. Verschlüsselung von mobilen Datenträgern

III. Benutzerkontrolle

Die Benutzerkontrolle soll verhindern, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzen können

  1. Festlegung zugangsberechtigter Mitarbeiter
  2. Passwortvergabe
  3. Regelmäßige Kontrolle von Berechtigungen
  4. Sperrung von Berechtigungen ausscheidender Mitarbeiter
  5. Einsatz von Anti-Viren-Software (aktualisieren)

IV. Speicherkontrolle

Speicherkontrolle soll verhindern, dass Unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen sowie diese eingeben, löschen oder verändern können

  1. Vergabe von persönlichen Passwörtern
  2. Festlegung von Berechtigungen zum Zugang zum IT-System
  3. Festlegung von Passwortrichtlinien (Anzahl der Zeichen / Buchstaben / Zahlen / Sonderzeichen)

V. Zuverlässigkeit

Die Zuverlässigkeit soll gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden

  1. Anti-Viren-Schutz (aktualisieren)
  2. Automatisierte Meldung von Fehlfunktionen
  3. Unabhängig voneinander funktionierende Systeme

VI. Wiederherstellbarkeit und Datenintegrität

Die Wiederherstellbarkeit soll gewährleisten, dass eingesetzte Systeme im Störfall wiederhergestellt werden können. Die Datenintegrität soll gewährleisten, dass gespeicherte, personenbezogene Daten nicht durch Fehlfunktionen beschädigt werden können.

  1. Erstellen eines Backup- & Recoverykonzepts
  2. Regelmäßige externe Speicherung der Daten (externe Festplatte / USB-Stick)
  3. Erstellen eines Notfallplans

VII. Verfügbarkeitskontrolle

Die Verfügbarkeitskontrolle soll gewährleisten, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind

  1. Feuer- und Rauchmeldeanlagen
  2. Feuerlöschgeräte in Servernähe
  3. Geräte zur Überwachung von Temperatur, Feuchtigkeit und / oder beim Betreten von Räumlichkeiten durch Unbefugte
  4. Erstellen eines Notfallplans

VIII. Transportkontrolle

Die Transportkontrolle soll gewährleisten, dass bei der Übermittlung von personenbezogenen Daten sowie beim Transport von Datenträgern die Vertraulichkeit geschützt wird

  1. Passwortgeschützter Zugang zu Datenträgern
  2. Einsatz von Verschlüsselungstechnologien

IX. Übertragungskontrolle

Die Übertragungskontrolle soll gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung (Beispiel: Email / Telefax) übermittelt oder zur Verfügung gestellt wurden

  1. Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen
  2. Dokumentation der Empfänger von Daten (nach Ansicht des BVfB kann sich diese Dokumentation bereits aus einer gründlichen Aktenführung ergeben, wenn dort die Übertragung der Datenübermittlung dokumentiert wird)

In größeren Betreuungsbüros mit mehreren Mitarbeitern, die nur zu einem Teil der personenbezogenen Daten Zugang haben dürfen, sind ggf. Maßnahmen zur Zugriffskontrolle erforderlich (Bsp.: Mehrere Betreuer / Betreuerinnen arbeiten in Bürogemeinschaft zusammen und jeder beschäftigt Mitarbeiter, die ausschließlich für ihn / sie tätig sind).

II. Anlegen eines Verzeichnisses über die Verarbeitungstätigkeit

Die Datenschutzgrundverordnung verpflichtet Berufsbetreuer, ein Verzeichnis über die Tätigkeit der Datenverarbeitung anzulegen (Art. 30 DSGVO). Diese Pflicht gilt zwar nicht ausnahmslos, jedoch jedenfalls dann, wenn ein Risiko für die Rechte und Freiheiten des Betreuten besteht. Letzteres ist bei der Verarbeitung von Gesundheitsdaten der Fall (Stichwort: Gesundheitssorge) und auch dann, wenn Daten nicht nur gelegentlich verarbeitet werden. Der BVfB ist der Ansicht, dass einer dieser beiden Tatbestände in der Regel vorliegen dürfte und rät daher seinen Mitgliedern, ein Verzeichnis über die Verarbeitungstätigkeit anzulegen.

Die vom Bundesverband freier Berufsbetreuer eingerichtete Arbeitsgruppe „Datenschutz“ sieht sowohl den sachlichen als auch den räumlichen Anwendungsbereich der Datenschutz – Grundverordnung (EU-DSGVO) bei Berufsbetreuern für gegeben.

Im Rahmen des sachlichen Anwendungsbereiches der Verordnung (Art. 2) ist nicht erkennbar, dass Berufsbetreuer hiervon ausgenommen sind. Anhaltspunkte für das Vorliegen eines der in Absatz 2 genannten Ausnahmetatbestände sind nicht ersichtlich. Der Verband vertritt die Ansicht, dass auch ehrenamtlich tätige Betreuer, die noch nicht zu Berufsbetreuern bestellt worden sind, vom sachlichen Anwendungsbereich erfasst werden. Auf Grund eines einheitlichen Schutzes für Betreute meinen wir außerdem, dass die Verordnung für sämtliche ehrenamtlich tätigen Betreuer gilt, insbesondere auch dann, wenn - wie in der Regel - eine verwandtschaftliche Beziehung zwischen Betreuer und Betreuten besteht.

Im Folgenden stellen wir die Verpflichtungen dar, die sich für Berufsbetreuerinnen und Berufsbetreuer aus der EU-Datenschutzgrundverordnung ergeben.

I. Datenschutz durch Systemgestaltung

Datenschutz durch Systemgestaltung setzt zeitlich vor der Datenverarbeitung an und richtet sich zunächst an diejenigen, die technische Systeme - wie beispielsweise eine Software oder einen Browser - entwickeln. Diese technischen Systeme müssen so ausgestaltet sein, dass sie nach dem jeweiligen Stand der Technik datenschutzfreundlich sind. Der Datenschutz soll diesen Systemen immanent sein.

Der Bundesverband freier Berufsbetreuer sieht es als seine, durch die Satzung bestimmte Aufgabe an, die wirtschaftlichen und beruflichen Interessen seiner Mitglieder zu fördern und die Mitglieder über verbindliche Bestimmungen des europäischen und nationalen Rechts zu unterrichten und im Rahmen des Datenschutzes zu sensibilisieren.

Dazu wurde vom Vorstand des Verbandes die Arbeitsgruppe „Datenschutz“ eingerichtet, welche sich mit diesem Thema befasst und in regelmäßigen Zeitabständen hierzu aktuelle Entscheidungen und Kommentierungen in der BTDirekt veröffentlichen wird.