Tipps für den Berufsalltag


Berufsbetreuer arbeiten hoch komplex. Vorgaben und Bedingungen ändern sich schnell. Der BdB beginnt hier, nützliche Tipps weiterzugeben.

zurück zum Seitenanfang

Datenschutzgrundverordnung: Neue Informationspflichten

Wie ist die bisherige Rechtslage?

Informationspflichten sind bislang im BDSG und z.T. auch in anderen Gesetzen geregelt. Werden personenbezogene Daten direkt beim Betroffenen erhoben, richten sich die zu erteilenden Informationen nach § 4 Abs. 3 BDSG, bei der Erhebung ohne Kenntnis des Betroffenen ist § 33 BDSG anzuwenden.

Was ändert sich durch die Datenschutz-Grundverordnung?

Die Grundverordnung regelt die Informationspflichten in den Art. 13 und 14 in zwei sehr umfangreichen und über das bisher Erforderliche hinausgehenden Katalogen. Ergänzend dazu finden sich, in einer Vielzahl der Erwägungsgründe der Datenschutz-Grundverordnung, Anmerkungen und Hinweise, welche den Grundsatz der fairen und transparenten Verarbeitung stets hervorheben.

Es wird unterschieden zwischen Informationspflichten bei der Erhebung personenbezogener Daten bei dem Betroffenen (Art. 13 DSGVO) Informationspflichten, wenn die Erhebung nicht direkt bei dem Betroffenen erfolgt (Art. 14 DSGVO).

Welche Informationspflichten bestehen nach Art. 13 DSGVO?

Werden personenbezogene Daten beim Betroffenen erhoben, muss der Verantwortliche nach Art. 13 Abs. 1 DSGVO folgende Informationen mitteilen:

a) Identität des Verantwortlichen
Es ist über den Namen und die Kontaktdaten des Verantwortlichen zu informieren. Gleiches gilt ggf. für Namen und Kontaktdaten des Vertreters des Verantwortlichen nach Art. 27 DSGVO, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist.

b) Kontaktdaten des Datenschutzbeauftragten
Neu ist auch die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen.

c) Verarbeitungszwecke und Rechtsgrundlage
Der Verantwortliche muss auch über die Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage der Verarbeitung informieren. Diese neue Anforderung führt dazu, dass der Betroffene darüber aufgeklärt wird, auf welchen Erlaubnistatbestand (siehe Art. 6 DSGVO, z.B. Einwilligung oder Erfüllung eines Vertrages) der Verantwortliche die Datenverarbeitung stützen möchte.

d) Berechtigtes Interesse
Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen nach Art. 6 Abs. 1 f) DSGVO erforderlich sein, beziehen sich die Informationspflichten auch auf eine Aufklärung über diese Interessen.

e) Empfänger
In allen Fällen, in denen personenbezogene Daten übermittelt werden sollen, sind die Betroffenen grundsätzlich über die konkreten Empfänger zu informieren. Ausnahmsweise reicht auch eine Information über Kategorien von Empfängern, wenn konkrete Unternehmen noch nicht bezeichnet werden können.

f) Übermittlung in Drittstaaten
Sollte der Verantwortliche eine Übermittlung personenbezogener Daten in Drittstaaten beabsichtigen, ist darüber ebenfalls zu informieren. Um diese Pflicht zu erfüllen, ist mitzuteilen, auf welcher besonderen Bedingung nach Art. 44 ff. DSGVO die Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen. Werden z.B. EU-Standardvertragsklauseln verwendet, ist dem Betroffenen eine Einsichtnahme in das entsprechende Dokument zu ermöglichen.

Nach Art. 13 Abs. 2 DSGVO muss der Verantwortliche dem Betroffenen darüber hinaus weitere Informationen mitteilen, die insbesondere notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) Dauer der Speicherung
Es ist konkret anzugeben, für wie lange personenbezogene Daten gespeichert werden. Nur ausnahmsweise, wenn die Angabe einer Konkreten Zeitspanne dem Verantwortlichen nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus.

b) Rechte der Betroffenen
Die Betroffenen sind über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzuweisen, die sich aus den Art. 15 – 21 DSGVO ergeben und hier behandelt werden.

c) Widerrufbarkeit von Einwilligungen
Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist auch darauf gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn gleichzeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.

d) Beschwerderecht bei der Aufsichtsbehörde
Der Betroffene ist darüber aufzuklären, dass er sich gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten rechtswidrig erfolgt.

e) Verpflichtung zur Bereitstellung personenbezogener Daten
Der Verantwortliche muss den Betroffenen darüber informieren, ob die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine Nichtbereitstellung hätte.

f) Automatisierte Entscheidungsfindung und Profiling
Sobald der Verantwortliche Verfahren der automatisierten Entscheidung nach Art. 22 DSGVO oder andere Profiling-Maßnahmen nach Art. 4 Nr. DSGVO durchführt, muss der Betroffene über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren informiert werden.

Welche Informationspflichten bestehen nach Art. 14 DSGVO?

Werden personenbezogene Daten nicht beim Betroffenen erhoben, bestehen nach Art. 14 DSGVO für den Verantwortlichen nahezu dieselben Informationspflichten, wie bei der Erhebung direkt beim Betroffenen.

Nach Art. 14 Abs. 2 f) DSGVO muss der Verantwortliche den Betroffenen darüber aufklären, aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.

In welcher Form müssen die Informationen bereitgestellt werden?

Nach Art. 12 DSGVO sind die oben dargestellten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden.

Wann muss der Betroffene informiert werden?

Bei der Direkterhebung muss der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung informiert werden.

Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche die Informationen nach Art. 14 Abs. 3 DSGVO grundsätzlich innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen.

Kann die Informationspflicht eingeschränkt sein?

Bei der Direkterhebung kann nach Art. 13 Abs. 4 DSGVO auf die Information des Betroffenen nur dann verzichtet werden, wenn dieser bereits informiert wurde.

Soweit die Daten nicht beim Betroffenen erhoben werden, sind die Informationspflichten gemäß Art. 14 Abs. 5 DSGVO in drei weiteren Fällen entbehrlich:

  • Die Information ist unmöglich oder unverhältnismäßig aufwendig.
  • Die Erhebung oder Übermittlung ist gesetzlich vorgeschrieben.
  • Es besteht ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht.

Insgesamt lässt sich festhalten, dass die Fälle, in denen auf eine Information des Betroffenen verzichtet werden kann, im Gegensatz zum BDSG eingeschränkt werden.

zurück zum Seitenanfang

Neu ab 25. Mai: EU-Datenschutzgrundverordnung

Berufsbetreuer arbeiten mit äußerst sensiblen personenbezogenen Daten ihrer Klienten. Daher müssen sie sich zu jeder Zeit an das geltende Datenschutzrecht halten. Ab 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung. Wer gegen sie verstößt, muss mit Bussgeldern rechnen. Daher bietet der BdB auf seiner Jahrestagung eine Arbeitsgruppe zu diesem Thema. BdB-Mitglied und IHK zertifizierter Datenschutzbeauftragter Wilk Spieker ist überzeugt: "Jeder Berufsbetreuer sollte eine Datenschutz-Schulung machen." Wie genau der Umgang mit der Verordnung sein wird, werden die ersten Gerichtsurteile klären. Der BdB wird weiter an dem Thema arbeiten und darüber berichten. Vorab haben wir den BdB-Datenschutzbeauftragten gebeten, die wichtigsten Fragen zu beantworten.

Was bedeutet die Europäische Datenschutzgrundverordnung (DSGVO) für Berufsbetreuer?

Die Verordnung enthält zwar keine spezifischen Regelungen für das Betreuungsrecht. Das Ziel der DSGVO ist aber der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten, so beschrieben im Art. 1 der DSGVO. Daher gilt sie auch für Berufsbetreuer.

Im Bereich der Berufsbetreuung sind mit der Einführung der DSGVO gegenüber den Regelungen des derzeit noch geltenden Bundesdatenschutzgesetztes (BDSG) insbesondere folgende Änderungen zu beachten:

·         Höhere Geldbußen bei Verstößen

·         Erhöhte Anforderung an Datensicherheit.

Beispiele: Mails sollten verschlüselt werden; wenn Daten gespeichert werden, beispielsweise bei Google, dann braucht man eine Verfahrensprotokollierung. Wenn Fremddaten von Angehörigen gespeichert werden, beispielsweise in einem Kontoauszug, dann braucht der Betreuer eine Entlastungserklärung.

Nach der DSGVO sollen zur Gewährleistung eines angemessenen Schutzniveaus vier Schutzziele erreicht werden, die bei der Verarbeitung personenbezogener Daten sicherzustellen sind:

Vertraulichkeit, d.h. Daten sind für unberechtigte Dritte nicht zugänglich.

Integrität, d.h. Daten können nicht verfälscht werden.

Verfügbarkeit, d.h. Daten stehen zur Verfügung, wenn sie gebraucht werden.

Als neues Schutzziel wird die „Belastbarkeit“ der Systeme und Dienste erwähnt, die in Zusammenhang mit der Verarbeitung stehen. Nähere Angaben, welche Maßnahmen zur Belastbarkeit positiv beitragen, nennt die DSGVO nicht. Daher muss abgewartet werden, was die Aufsichtsbehörden darunter genau verstehen werden. 

An vielen Stellen der DSGVO stehen die von der Verordnung geforderten Maßnahmen in direkter Abhängigkeit von den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten betroffener Personen mit sich bringt. Im Bereich der Betreuung ist zu beachten, dass neben anderen personenbezogenen Daten, durch Angaben über den Gesundheitszustand auch sog. besondere Kategorien von personenbezogenen Daten (u.a. religiöse oder weltanschauliche Überzeugungen, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung) verarbeitet werden. Diese sensiblen Daten begründen einen erhöhten Schutzbedarf, was es bei der Festlegung der technischen und organisatorischen Maßnahmen zur Sicherung dieser Daten zu beachten gilt.

·         Erweiterte Nachweis- und Dokumentationspflichten

Die DSGVO stellt erhöhte Anforderungen an Nachweispflichten der Betreuer. Dies gilt insbesondere dafür, dass die Regelungen der DSGVO vom Betreuer auch tatsächlich eingehalten werden.

·         Erweiterte Transparenzvorschriften

Künftig müssen Betreuer die Betreuten deutlich umfassender als bislang und in einer nachvollziehbaren Weise darüber informieren, wie sie deren Daten verarbeiten. Dieser Transparenzgrundsatz zählt zu den wesentlichen Prinzipien der Verordnung. Verstöße werden mit Bußgeldern geahndet. Grundsätzlich muss der Betreuer die betreuten Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichten.

·         Verschärfung der Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Die DSGVO sieht bei Datenpannen umfassendere Meldepflichten der Betreuer gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den Betreuten vor. Derzeit besteht gegenüber den Aufsichtsbehörden nur dann eine Meldeverpflichtung, wenn die Datenpanne besondere Arten personenbezogener Daten betrifft (z.B. besonders sensible Daten wie Gesundheitsdaten, Bank- oder Kontodaten usw.). Unter der DSGVO hat dagegen grundsätzlich bei jeder „Verletzung des Schutzes personenbezogener Daten“ unverzüglich (binnen 72 Stunden nach Bekanntwerden) eine Benachrichtigung zu erfolgen.

Ausnahmsweise besteht keine Pflicht zur Meldung bei der Aufsichtsbehörde, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der von der Datenschutzverletzung betroffenen Personen führt.

Hat eine Datenschutzverletzung darüber hinaus voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betreuten Person zur Folge, muss der Betreuer grundsätzlich den Betroffenen ohne unangemessene Verzögerung benachrichtigen.

·         Löschen von Daten und Recht auf Vergessenwerden

Was bedeutet die Europäische Datenschutzverordnung für das Persönlichkeitsrecht und die Grundrechte des Betreuten?

Wie sich bereits aus den oberen Ausführungen erahnen lässt, werden das Persönlichkeitsrecht und das darin enthaltene Grundrecht auf informationelle Selbstbestimmung des Betreuten durch die Einführung der DSGVO wesentlich gestärkt. Die wachsende Bedeutung des Datenschutzes der Betroffenen spiegelt sich in vielen Änderungen die sich durch die DSGVO ergeben (Bußgelder, Transparenz, Informations- und Meldepflichten), wieder.

Auch wenn weiterhin datenschutzrechtliche Fragen im Betreuungsrecht ungeklärt sind, so lässt sich eine eindeutige Tendenz in Richtung der Stärkung der Datenschutz-Rechte des Betreuten feststellen. Konkrete, betreuungsspezifische Änderungen im engeren Sinne, gibt es keine.

Wenn der Betreute vor seinem Tod bekundet hat, dass er die Ausgabe der Betreuerunterlagen an die Erben nicht will, wird dann auch noch nach seinem Tod das Persönlichkeitsrecht gewahrt?

Personenbezogene Daten sind auch nach dem Tod des Trägers durch das Recht auf informationelle Selbstbestimmung geschützt. In der Folge gelten der Schutz des Datengeheimnisses und der Schutz vor Ausforschung der eigenen Persönlichkeit auch nach dem Tod. Hinsichtlich der Dauer des Schutzes kommt es auf den Einzelfall an, insbesondere, welche Daten betroffen sind. Sind besonders schutzwürdige Daten betroffen, die zum Kernbereich der privaten Lebensgestaltung des Verstorbenen gehören, ist der Schutz des Datengeheimnisses möglicherweise dauerhaft als vorrangig gegenüber den Interessen Dritter einzustufen. Vor diesem Hintergrund sind die Wünsche des Verstorbenen zu berücksichtigen. Nun handelt es sich bei Erben aber nicht um Dritte im engeren Sinne und es besteht, wie von Ihnen auch bereits angesprochen, eine umfassende Rechenschafts- und Herausgabepflicht gegenüber dem Erben. Hierzu wird man alle Unterlagen zählen müssen, aus denen Forderungen geltend gemacht werden können (z.B. Vertragsunterlagen). Hierzu gehören aber auch etwaige Schadensersatzansprüche sowie Ansprüche auf Herausgabe entnommener Vermögenswerte gem. § 667 BGB, für die der Betreuer keinen bestimmungsgemäßen Verwendungsnachweis beibringen kann. Hinsichtlich anderer Unterlagen, also solcher, die die Erben nicht für eine mögliche Durchsetzung von Ansprüchen benötigen, sehe ich die Interessen des Verstorbenen als schutzwürdiger im Verhältnis zu dem der Erben an und sehe eine Herausgabe grundsätzlich nicht als erforderlich an.

Wie verhält es sich mit den Grundrechten des Betreuten bei Vorlegung des Betreuerausweises bei den jeweiligen Vertrags- oder Ansprechpartnern?

Der Betreuerausweis ist ein Dritten gegenüber der Legitimation dienendes Dokument. Datenschutzrechtlich ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur dann zulässig, soweit eine Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat (§ 4 BDSG). Vorliegend findet sich eine Rechtsgrundlage für die Erteilung des Betreuerausweises und die darin aufgeführten personenbezogenen Daten in § 290 FamFG.  

zurück zum Seitenanfang