Datenschutz für Berufsbetreuer/innen


13.10.2018

Brauchen Berufsbetreuer einen Datenschutzbeauftragten?

Die auf den ersten Blick einfache Frage, ob für ein Betreuungsbüro ein Datenschutzbeauftragter bestellt werden muss, lässt sich nicht für alle Fallkonstellationen sicher beantworten. Die Eckpunkte für die Antwort befinden sich im Datenschutzrecht an verschiedenen Stellen. Für die Verpflichtung zur Bestellung eines ... »mehr zurück zum Seitenanfang
29.5.2018

Daten verarbeiten: Müssen Klienten und Klientinnen einwilligen?

Auch nach der neuen EU-Datenschutzgrundverordnung brauchen Berufsbetreuer und Betreuerinnen, um ihre rechtliche Aufgaben zu erfüllen, von ihren Klienten/innen  keine Freigabe für die Verarbeitung ihrer DatenDies schrieb die Landesbeauftragte für Datenschutz Bremen in ihrer Antwort an BdB-Vorstandsmitglied Hennes Göers. Die Datenschutzbeauftragte ist der Auffassung, die Verarbeitung der Daten sei zulässig nach Art. 6 Abs. 1 lit. c DSGVO  und soweit besondere Kategorien von personenbezogenen Daten verarbeitet werden nach Art. 9 Abs. 2 lit. b DGSVO.

Dies gelte jedoch nur, wenn die Daten der Klienten und Klientinnen für die nach § 1901 BGB festgelegten Zwecke verwendet werden sollen.

zurück zum Seitenanfang

Am besten gleich herunterladen: Verzeichnis der Verarbeitungstätigkeiten nach der EU-Datenschutzgrundverordnung

Ab dem 25. Mai 2018 muss jeder Verantwortliche und "Auftragsverarbeiter" auf Anfrage der Aufsichtsbehörde nachweisen, dass er die neue EU-Datenschutzgrundverordnung (DSGVO) einhält. Dies gilt auch für Berufsbetreuer und Berufsbetreuerinnen. Zentral dabei ist das sogenannte Verzeichnis der Verarbeitungstätigkeiten nach §30 der DSGVO. Hier werden alle Verarbeitungen von personenbezogenen Daten gelistet, die in einem Dateisystem gespeichert werden oder gespeichert werden sollen. Wir haben für Sie einen Leitfaden zu diesem Verzeichnis sowie einen Muster zum Download bereit gestellt.

zurück zum Seitenanfang

Datenschutzgrundverordnung: Neue Informationspflichten

Wie ist die bisherige Rechtslage?

Informationspflichten waren bislang im BDSG und z.T. auch in anderen Gesetzen geregelt. Wurden personenbezogene Daten direkt beim Betroffenen erhoben, richteten sich die zu erteilenden Informationen nach § 4 Abs. 3 BDSG, bei der Erhebung ohne Kenntnis des Betroffenen waren § 33 BDSG anzuwenden.

Was ändert sich durch die Datenschutz-Grundverordnung?

Die Grundverordnung regelt die Informationspflichten in den Art. 13 und 14 in zwei sehr umfangreichen und über das bisher Erforderliche hinausgehenden Katalogen. Ergänzend dazu finden sich, in einer Vielzahl der Erwägungsgründe der Datenschutz-Grundverordnung, Anmerkungen und Hinweise, welche den Grundsatz der fairen und transparenten Verarbeitung stets hervorheben.

Es wird unterschieden zwischen Informationspflichten bei der Erhebung personenbezogener Daten bei dem Betroffenen (Art. 13 DSGVO) Informationspflichten, wenn die Erhebung nicht direkt bei dem Betroffenen erfolgt (Art. 14 DSGVO).

Welche Informationspflichten bestehen nach Art. 13 DSGVO?

Werden personenbezogene Daten beim Betroffenen erhoben, muss der Verantwortliche nach Art. 13 Abs. 1 DSGVO folgende Informationen mitteilen:

a) Identität des Verantwortlichen
Es ist über den Namen und die Kontaktdaten des Verantwortlichen zu informieren. Gleiches gilt ggf. für Namen und Kontaktdaten des Vertreters des Verantwortlichen nach Art. 27 DSGVO, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist.

b) Kontaktdaten des Datenschutzbeauftragten
Neu ist auch die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen.

c) Verarbeitungszwecke und Rechtsgrundlage
Der Verantwortliche muss auch über die Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage der Verarbeitung informieren. Diese neue Anforderung führt dazu, dass der Betroffene darüber aufgeklärt wird, auf welchen Erlaubnistatbestand (siehe Art. 6 DSGVO, z.B. Einwilligung oder Erfüllung eines Vertrages) der Verantwortliche die Datenverarbeitung stützen möchte.

d) Berechtigtes Interesse
Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen nach Art. 6 Abs. 1 f) DSGVO erforderlich sein, beziehen sich die Informationspflichten auch auf eine Aufklärung über diese Interessen.

e) Empfänger
In allen Fällen, in denen personenbezogene Daten übermittelt werden sollen, sind die Betroffenen grundsätzlich über die konkreten Empfänger zu informieren. Ausnahmsweise reicht auch eine Information über Kategorien von Empfängern, wenn konkrete Unternehmen noch nicht bezeichnet werden können.

f) Übermittlung in Drittstaaten
Sollte der Verantwortliche eine Übermittlung personenbezogener Daten in Drittstaaten beabsichtigen, ist darüber ebenfalls zu informieren. Um diese Pflicht zu erfüllen, ist mitzuteilen, auf welcher besonderen Bedingung nach Art. 44 ff. DSGVO die Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen. Werden z.B. EU-Standardvertragsklauseln verwendet, ist dem Betroffenen eine Einsichtnahme in das entsprechende Dokument zu ermöglichen.

Nach Art. 13 Abs. 2 DSGVO muss der Verantwortliche dem Betroffenen darüber hinaus weitere Informationen mitteilen, die insbesondere notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) Dauer der Speicherung
Es ist konkret anzugeben, für wie lange personenbezogene Daten gespeichert werden. Nur ausnahmsweise, wenn die Angabe einer Konkreten Zeitspanne dem Verantwortlichen nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus.

b) Rechte der Betroffenen
Die Betroffenen sind über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzuweisen, die sich aus den Art. 15 – 21 DSGVO ergeben und hier behandelt werden.

c) Widerrufbarkeit von Einwilligungen
Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist auch darauf gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn gleichzeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.

d) Beschwerderecht bei der Aufsichtsbehörde
Der Betroffene ist darüber aufzuklären, dass er sich gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten rechtswidrig erfolgt.

e) Verpflichtung zur Bereitstellung personenbezogener Daten
Der Verantwortliche muss den Betroffenen darüber informieren, ob die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine Nichtbereitstellung hätte.

f) Automatisierte Entscheidungsfindung und Profiling
Sobald der Verantwortliche Verfahren der automatisierten Entscheidung nach Art. 22 DSGVO oder andere Profiling-Maßnahmen nach Art. 4 Nr. DSGVO durchführt, muss der Betroffene über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren informiert werden.

Welche Informationspflichten bestehen nach Art. 14 DSGVO?

Werden personenbezogene Daten nicht beim Betroffenen erhoben, bestehen nach Art. 14 DSGVO für den Verantwortlichen nahezu dieselben Informationspflichten, wie bei der Erhebung direkt beim Betroffenen.

Nach Art. 14 Abs. 2 f) DSGVO muss der Verantwortliche den Betroffenen darüber aufklären, aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.

In welcher Form müssen die Informationen bereitgestellt werden?

Nach Art. 12 DSGVO sind die oben dargestellten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden.

Wann muss der Betroffene informiert werden?

Bei der Direkterhebung muss der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung informiert werden.

Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche die Informationen nach Art. 14 Abs. 3 DSGVO grundsätzlich innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen.

Kann die Informationspflicht eingeschränkt sein?

Bei der Direkterhebung kann nach Art. 13 Abs. 4 DSGVO auf die Information des Betroffenen nur dann verzichtet werden, wenn dieser bereits informiert wurde.

Soweit die Daten nicht beim Betroffenen erhoben werden, sind die Informationspflichten gemäß Art. 14 Abs. 5 DSGVO in drei weiteren Fällen entbehrlich:

  • Die Information ist unmöglich oder unverhältnismäßig aufwendig.
  • Die Erhebung oder Übermittlung ist gesetzlich vorgeschrieben.
  • Es besteht ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht.

Insgesamt lässt sich festhalten, dass die Fälle, in denen auf eine Information des Betroffenen verzichtet werden kann, im Gegensatz zum BDSG eingeschränkt werden.

zurück zum Seitenanfang

Neu ab 25. Mai: EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung trat am 25. Mai in Kraft: Was sollten Berufsbetreuer und Berufsbetreuerinnen wissen? Bereits auf der BdB-Jahrestagung Anfang Mai war das Seminar zu diesem Thema überfüllt. Den Teilnehmenden war klar: Angehörige des Berufsstandes arbeiten mit äußerst sensiblen, ... »mehr zurück zum Seitenanfang