16 Oktober 2018

Erlaubnis zur Datenverarbeitung

Fraglich ist, ob Berufsbetreuerinnen und Berufsbetreuer generell verpflichtet sind, vor der Datenverarbeitung eine Einwilligung des Betreuten einzuholen.

Der BVfB vertritt die Rechtsauffassung, dass in der Regel für die Rechtmäßigkeit der Datenverarbeitung keine Einwilligungserklärung der betreuten Person erforderlich ist. Eine Einwilligungserklärung der betreuten Person birgt ohnehin die Gefahr in sich, dass sie rechtlich unwirksam ist. Denn nach der EU-Datenschutzgrundverordnung gilt eine Einwilligungserklärung als nicht freiwillig und damit unwirksam abgegeben, wenn zwischen der betroffenen Person (Betreuter) und dem Verantwortlichen (Betreuer) ein klares Ungleichgewicht besteht. Von einem solchen Ungleichgewicht dürfte auf Grund des Zustandes der Betreuten und ihrer Schutzbedürftigkeit in vielen Fällen auszugehen sein. Außerdem kann eine Einwilligungserklärung durch den Betreuten jederzeit widerrufen werden, mit der Folge, dass die verarbeiteten Daten zu löschen wären. Eine Einwilligungserklärung bietet also keinen sicheren Schutz davor, nicht gegen die Regeln der Datenschutzgrundverordnung zu verstoßen.

Betreuer sollten wissen, dass in der EU-Datenschutzgrundverordnung zwischen zwei Arten von personenbezogenen Daten unterschieden wird; nämlich den sensitiven - also besonders schutzbedürftigen - personenbezogenen Daten (Art. 9 DSGVO) und den weniger schutzbedürftigen personenbezogenen Daten in Art. 6 DSGVO. Zu den sensitiven Daten zählen beispielsweise Informationen über die Religionszugehörigkeit oder die rassische und ethnische Herkunft eines Betreuten. Von besonders großer Bedeutung dürften für Berufsbetreuer die Gesundheitsdaten sein, die alle zu den sensitiven Daten zählen. Darunter fallen beispielsweise sämtliche personenbezogenen Gutachten, Atteste, Arztbriefe und sonstigen Unterlagen, die Informationen über den Gesundheitszustand oder die medizinische Versorgung des Betreuten beinhalten. Selbstverständlich gehört hierzu auch, ob ein Grad der Behinderung bei dem Betreuten festgestellt worden ist. Auch Symbole und Nummern, die die Identifizierung des Betreuten ermöglichen, sind sensitive Daten im Sinne von Art. 9 DSGVO (Beispiel: Krankenversicherungsnummer / GdB in Zusammenhang mit dem Geschäftszeichen).

Es liegt auf der Hand, dass eine Betreuung, die den Aufgabenkreis Gesundheitssorge umfasst, ohne dass dem Betreuer sensitive Daten bekannt und verarbeitet werden, nicht vorstellbar ist. Dasselbe dürfte für den Aufgabenkreis Aufenthaltsbestimmung gelten, zumindest dann, wenn eine Unterbringung nach PsychKG oder BGB infrage kommt. Für den Aufgabenkreis Vertretung vor Behörden und Gerichten kommt es darauf an, welche Tätigkeiten von dem Betreuer wahrzunehmen sind. Da in den meisten Fällen sozialrechtliche Ansprüche (Beispiel: Hilfe zur Pflege / Grundsicherung / Erwerbsminderungsrechte) geltend gemacht werden, dürften auch in diesem Aufgabekreis regelmäßig sensitive Daten verarbeitet werden.

Demgegenüber sind Daten, die zur Ausübung der Vermögenssorge und der Regelung der Wohnungsangelegenheiten erforderlich sind, grundsätzlich keine sensitiven Daten. Der Kontostand, das Ausmaß der Schulden, die Namen der Gläubiger, die Adresse des Betreuten, der Inhalt des Mietvertrages sind bzw. beinhalten in der Regel keine sensitiven Daten im Sinne von Art. 9 DSGVO.

1. Erlaubnis zur Datenverarbeitung nach Art. 6 DSGVO

Der BVfB ist der Auffassung, dass die Verarbeitung nicht sensitiver Daten nach Art. 6 Abs. 1 e) DSGVO erlaubt ist. Diese Vorschrift erlaubt die Datenverarbeitung, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt und dem Verantwortlichen (Betreuer) durch den nationalen Gesetzgeber übertagen worden sein.

Durch die Bestellung zum Betreuer entscheiden die Betreuungsgerichte darüber, welche Aufgaben für den Betreuten zu erledigen sind. Zwar ergibt sich die Verpflichtung für den Betreuer nicht unmittelbar aus dem Gesetz, jedoch wird sie durch einen gerichtlichen Beschluss konkretisiert und rechtlich verbindlich. Letzteres ergibt sich unter anderem daraus, dass der Betreuer dem Betreuten zivilrechtlich für schuldhaft begangene Pflichtverletzungen haftet.

Zwar nehmen Berufsbetreuer in erster Linie die individuellen Interessen des Betreuten wahr. Jedoch ändert das nichts daran, dass jede Betreuerbestellung auch erfolgt, um dem Schutzauftrag des Staates gerecht zu werden. Dieser besteht darin, dem Betreuten durch die Bestellung eines Betreuers die Entfaltung der eigenen Persönlichkeit und Handlungsfähigkeit zu ermöglichen bzw. zu erleichtern. Menschen mit Behinderungen oder Erkrankungen die Teilhabe an der Gesellschaft zu ermöglichen, ist eine Aufgabe, die im öffentlichen Interesse erfolgt. Berufsbetreuer sind Teil des vom Gesetzgeber geschaffenen Systems (andere Hilfen - rechtliche Betreuung), das zur Bewältigung dieser im öffentlichen Interesse liegenden Aufgabe geschaffen worden ist.

Trotz dieser Regelung ist die Datenverarbeitung auf das erforderliche Maß zu beschränkt. Daher sollte sich generell jeder Berufsbetreuer vor der Datenverarbeitung klar machen, ob diese zur Wahrnehmung der übertragenen Aufgaben erforderlich ist.


2. Erlaubnis zur Datenverarbeitung nach Art. 9 DSGVO

Wesentlich komplizierter und teilweise unklar ist die Beantwortung der Frage, ob sensitive Daten von Berufsbetreuern verarbeitet werden dürfen:

Die Datenschutzgrundverordnung regelt, dass sensitive Daten rechtmäßig verarbeitet werden, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Mit diesem Erlaubnistatbestand könnte nach Auffassung des BVfB bereits ein weites Tätigkeitsfeld von Berufsbetreuern abgedeckt sein. Bei der Geltendmachung von zivilrechtlichen oder öffentlich-rechtlichen Ansprüchen, die zur Erledigung der übertragenen Aufgabenkreise erforderlich ist, verarbeiten Berufsbetreuer sensitive Daten (Gesundheitsdaten) nach Ansicht des BVfB rechtmäßig. Dies dürfte für sämtliche sozialrechtlichen Ansprüchen gelten, die im Interesse des Betreuten geltend gemacht werden. Hinsichtlich der sozialrechtlichen Mitwirkungspflicht besteht sogar ggf. eine Verpflichtung, diese Daten dem Sozialleistungsträger mitzuteilen. Insoweit ergeben sich nach Ansicht des BVfB keine Widersprüche zur Datenschutzgrundverordnung.

Der BVfB verkennt nicht, dass der Gesetzgeber bei der Regelung wohl in erster Linie die Verarbeitung von Daten eines Anderen durch denjenigen vor Augen hatte, der einen Anspruch geltend macht (Beispiel: Der auf Zahlung des Kaufpreises in Anspruch genommene Beklagte trägt vor, dass der Kläger auf Grund einer schweren psychischen Erkrankung geschäftsunfähig ist und deshalb der Kaufvertrag unwirksam sei. Zum Beweis legt er ein in seinem Besitz befindliches ärztliches Gutachten vor). Der Wortlaut der Regelung umfasst aber unzweifelhaft auch den Fall der Verarbeitung von Daten des Anspruchstellers selbst durch den gesetzlichen Vertreter. Selbstverständlich gilt auch hier, dass die Datenverarbeitung erforderlich sein muss. Letzteres ist in jedem Einzelfall von den Betreuern zu prüfen.

Außerdem erlaubt die Datenschutzgrundverordnung die Verarbeitung sensitiver Daten, wenn dies erforderlich ist, damit der Verantwortliche (Betreuer) oder die betroffene Person (Betreuter) die ihm aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist.

Wichtig ist, dass sich die Erlaubnis zur Datenverarbeitung an dieser Stelle aus einem Zusammenspiel der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz ergibt, denn die Verordnung erlaubt die Datenverarbeitung nur unter Hinweis auf das nationale Recht (sogenannte Öffnungsklausel). Der Gesetzgeber hat von dieser Befugnis im neuen Bundesdatenschutzgesetz Gebrauch gemacht und die oben zitierten Formulierungen aus der Datenschutzgrundverordnung fast wörtlich übernommen.

Stellt man sich auf den Standpunkt, dass die Tätigkeit von Berufsbetreuern generell eine Plicht darstellt, die sich aus dem Recht der sozialen Sicherheit ergibt, könnte man die Ansicht vertreten, dass Berufsbetreuer generell Gesundheitsdaten der Betreuten verarbeiten dürfen. Ob sich eine entsprechende Auslegung der EU-DSGVO bzw. des Bundesdatenschutzgesetzes durchsetzen wird, erscheint der Arbeitsgruppe des BVfB zum Datenschutz zumindest fraglich.

Ebenfalls noch ungeklärt ist, ob die Verarbeitung sensitiver Daten bei einer Unterbringung (Aufenthaltsbestimmung) unmittelbar auf Art. 9 Abs. 2 c) DSGVO gestützt werden kann. Diese Vorschrift erlaubt die Datenverarbeitung zum Schutz lebenswichtiger Interessen des Betroffenen, wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben. Da eine Unterbringung nach § 1906 BGB nur zum Wohl des Betreuten erfolgen darf und eine konkrete Selbstgefährdung voraussetzt, hält es der BVfB für gut vertretbar, bei einer akuten Erkrankung die Datenverarbeitung unter Berufung auf diese Regelung zu rechtfertigen.

Problematisch ist schließlich die Verarbeitung von Gesundheitsdaten, wenn der Aufgabenkreis Gesundheitssorge übertragen worden ist. Zwar ist es datenschutzrechtlich erlaubt, zum Zweck der Gesundheitsvorsorge und für die Versorgung und Behandlung im Gesundheitsbereich sensible Daten zu verarbeiten. Dies soll aber wohl nur gelten, wenn der Verantwortliche (Betreuer) einer Geheimhaltungspflicht unterliegt oder die Verarbeitung unter Aufsicht einer geheimhaltungs-pflichtigen Person erfolgt (Beispiel: Arzt - angestelltes Personal). Letzteres trifft auf Betreuer nicht zu.

Für den BVfB ist die Rechtslage daher hinsichtlich der Verarbeitung sensibler Daten (Gesundheitsdaten) durch Berufsbetreuer außerhalb der Geltendmachung, Ausübung oder Abwehr von Rechten des Betreuten, unübersichtlich. Dies betrifft insbesondere die Verarbeitung von Gesundheitsdaten, wenn die Aufgabenkreis Gesundheitssorge betroffen ist. Angesicht der unklaren Rechtslage empfiehlt der BVfB daher folgende Vorgehensweise:

  •  Ist die Datenverarbeitung erforderlich, um Ansprüche geltend zu machen oder abzuwehren, vertritt der BVfB derzeit die Ansicht, dass die Verarbeitung sensibler Daten rechtmäßig erfolgt. Eine Datenverarbeitung ist nach unserer Auffassung auch rechtmäßig, wenn im Falle einer akuten Erkrankung, die die Einwilligungsunfähigkeit des Betreuten zur Folge hat, die Voraussetzungen für eine Unterbringung zu prüfen sind.
  • Liegt keiner dieser beiden Fälle vor und ist der Betreute einwilligungsfähig, sollte der Betreute gebeten werden, eine Einwilligungserklärung zu unterschreiben, nachdem diese mit ihm inhaltlich erörtert worden ist
  • Ist der Betreute dazu nicht bereit, sollte die Korrespondenz nur zwischen dem Übermittler der sensiblen Daten (Arzt / Krankenhaus) und dem Betreuten stattfinden. An den Betreuer übermittelte Schriftstücke und Daten sollten ohne Datenverarbeitung - also auch ohne eine Kopie anzufertigen - an den Betreuten weitergeleitet werden. Der Betreute kann dann entscheiden, ob und in welchem Umfang er den Betreuer informieren möchte.
  • Eine Regelungslücke besteht aus Sicht des BVfB für den Fall, dass der Betreute einwilligungsunfähig ist und der Betreuer mit dem alleinigen Aufgabenkreis Gesundheitssorge die Einwilligung zu einer ärztlichen Heilbehandlung erteilen / verweigern soll. In einem solchen Fall dürfte der Betreuer wohl nur mündliche Informationen durch den aufklärenden Arzt entgegennehmen und keine Daten verarbeiten. Sollten lebenswichtige Interessen des Betreuten betroffen sein, ließe sich die Rechtmäßigkeit der Datenverarbeitung jedoch auf Art. 9 Abs. 2 c) DSGVO stützen.

3. Einwilligung des Betreuten (Muster)

Auch wenn der BVfB dringend davon abrät, sich routinemäßig in jedem Fall eine Einwilligungserklärung von den Betreuten unterschreiben zu lassen, ändert das nichts daran, dass im Einzelfall eine Einwilligungserklärung die Erledigung der Aufgaben für den Betreuten erheblich erleichtern kann:

Am Sichersten dürfte es dann sein, sich von dem Betreuten eine ausdrückliche, schriftliche Einwilligung zur Datenverarbeitung erteilen zu lassen. Hierfür ist es nicht erforderlich, dass der Betreute geschäftsfähig ist. Die datenschutzrechtliche Einwilligung kann auch nicht gleichgesetzt werden mit der Einwilligung in eine medizinische Maßnahme. Das hat zur Folge, dass die Regeln zur mutmaßlichen Einwilligung nach herrschender Meinung datenschutzrechtlich keine Anwendung finden. Die Einwilligung wird teilweise sogar als Realakt angesehen, so dass nach dieser Auffassung wohl die meisten Betreuten grundsätzlich einwilligungsfähig sein dürften.

Eine Einwilligung durch ein schlüssiges Verhalten (konkludente Einwilligung) ist zwar grundsätzlich vorstellbar und zulässig. Sie empfiehlt sich in der Praxis aber nicht, da der Betreuer im Zweifel das Vorliegen einer Einwilligung nachweisen muss. Schweigen ist generell keine (konkludente) Einwilligung. Auch eine Stellvertretung durch den Betreuer sieht die Datenschutzgrundverordnung nicht vor.

Die Einwilligungserklärung ist in leicht verständlicher Sprache abzufassen und sollte inhaltlich - im Rahmen des Möglichen - mit dem Betreuten besprochen werden, bevor sie ggf. unterschrieben wird. Der Betreute sollte auch darauf hingewiesen werden, dass er selbstverständlich nicht verpflichtet ist, die Einwilligung zu erteilen. Berufsbetreuer sollten sich bei einem Gespräch mit dem Betreuten bewusst machen, dass in vielen Fällen ein Abhängigkeitsverhältnis zwischen Betreutem und Betreuer besteht. Sie dürfen dies unter keinen Umständen ausnutzen. Schließlich ist darauf zu achten, dass die Einwilligungserklärung nicht mit anderen Willensbekundungen des Betreuten verbunden wird (sogenanntes Koppelungsverbot).

Ein Muster für eine Einwilligungserklärung, die man aber nicht schematisch auf jeden Betreuungsfall übertragen sollte, befindet sich am Ende dieses Textes. Der Zustand des Betreuten und die Aufgabenkreise werden sich in der Regel auf die Formulierung einer Einwilligungserklärung auswirken.

Vorlage der Einwilligungserklärung