23 Mai 2018

Im Folgenden stellen wir die Verpflichtungen dar, die sich für Berufsbetreuerinnen und Berufsbetreuer aus der EU-Datenschutzgrundverordnung ergeben.

I. Datenschutz durch Systemgestaltung

Datenschutz durch Systemgestaltung setzt zeitlich vor der Datenverarbeitung an und richtet sich zunächst an diejenigen, die technische Systeme - wie beispielsweise eine Software oder einen Browser - entwickeln. Diese technischen Systeme müssen so ausgestaltet sein, dass sie nach dem jeweiligen Stand der Technik datenschutzfreundlich sind. Der Datenschutz soll diesen Systemen immanent sein.

Der für den Datenschutz verantwortliche Betreuer ist verpflichtet, ein System zu verwenden, das den Anforderungen an die Datenschutzgrundverordnung entspricht. Bei der Auswahl des Systems wird verlangt, dass von den am Markt verfügbaren Systemen dasjenige auszuwählen ist, das die datenschutzrechtlichen Grundsätze technisch am effizientesten und fortschrittlichsten umsetzt, wobei die hierfür erforderlichen Kosten und die Risiken für die betroffenen Personen (Betreuten) in eine Gesamtbetrachtung mit einbezogen werden können.

Leichter gesagt, als getan! Was bedeutet diese Pflicht für einen Berufsbetreuer, der in der Regel nicht beurteilen kann, welches technische System den Anforderungen an die EU-Datenschutzgrundverordnung entspricht? Die Geschwindigkeit, mit der Computerprogramme weiterentwickelt werden, ist rasant. Was heute noch dem Stand der Technik entsprochen hat, kann wenige Monate später schon wieder veraltet sein. Welches technische System, welche Software, welchen Browser muss ich also als Betreuer auswählen, um nicht gegen die EU-Datenschutzgrundverordnung zu verstoßen?

Der Gesetzgeber hat dieses Problem erkannt. Die Effizienz einer Technik wird von Technikern diskutiert und beurteilt. An dieser Stelle sind daher die Aufsichtsbehörden und das Bundesamt für Sicherheit in der Informationstechnik gefordert. Es ist ihre Aufgabe, den unbestimmten Rechtsbegriff „Stand der Technik“ zu konkretisieren, indem beispielsweise Techniken beschrieben werden, die nicht mehr dem Stand der Technik entsprechen oder Empfehlungen ausgesprochen werden. Solange dies nicht geschehen ist, kann von einem Berufsbetreuer nicht erwartet werden, dass er die am Markt erhältlichen Systeme daraufhin technisch überprüft, welches von ihnen am besten der Datenschutzgrundverordnung gerecht wird.

Tipp: Berufsbetreuer sollten sich regelmäßig auf der Homepage des Bundesamtes für Sicherheit in der Informationstechnik informieren, ob dort Empfehlungen zum Stand der Technik für Privatpersonen und Unternehmer gegeben werden. Außerdem werden auf der Seite www.datenschutzzentrum.de/sdm/ Ansatzpunkte für ein datenschutzfreundliches System (Standard-Datenschutzmodell) dargestellt.

In engem Zusammenhang mit dem Datenschutz durch Systemgestaltung stehen die sogenannten datenschutzfreundlichen Voreinstellungen. Auch hier geht es noch nicht um die Frage, ob und in welchem Umfang Daten des Betreuten durch den verantwortlichen Betreuer verarbeitet werden, sondern um Voreinstellungen des verwendeten technischen Systems. Hierzu zählt beispielsweise die Voreinstellung in einem Browser, Cookies nach jeder Sitzung zu löschen.

Durch datenschutzfreundliche Voreinstellungen soll vermieden werden, dass personenbezogene Daten einer unbestimmten Zahl von Personen zur Verfügung gestellt werden. Die Adressaten dieser Verpflichtung sind daher in erster Linie die Betreiber sozialer Netzwerke und die Anbieter von Suchmaschinen oder Computerspielen (internetbasierte Dienste), soweit sie die zur Verfügung gestellten Daten verarbeiten. Für Berufsbetreuer sollte die Verarbeitung personenbezogener Daten in einer Suchmaschine oder in den sozialen Netzwerken tabu sein. Sie ist - unabhängig davon - auch nicht erforderlich. So wäre beispielsweise nach unserer Einschätzung das Suchen nach den Auswirkungen eines bestimmten Medikamentes zusammen mit dem Namen einer betreuten Person in einer Suchmaschine unzulässig.

Verstöße gegen den Datenschutz im Zusammenhang mit der Systemgestaltung können mit Bußgeldern geahndet werden. Der BVfB hält es derzeit für äußerst unwahrscheinlich, dass Berufsbetreuer insoweit in den Fokus der Aufsichtsbehörden geraten. Die Verpflichtungen, die sich aus dem Datenschutz durch Systemgestaltung ergeben, sind derzeit noch sehr unbestimmt. Es ist die Aufgabe von Behörden und Gerichten, die Anforderungen an eine datenschutzfreundliche Systemgestaltung zu konkretisieren. Solange dies nicht der Fall ist, dürften nach Auffassung des BVfB Bußgelder nur verhängt werden, wenn die Aufsichtsbehörde vorher dem Betreuer in einer konkreten Anordnung darauf hinweist, welchen Standard er zu beachten hat.