Datenschutz für Berufsbetreuer/innen


3.5.2019

Datenschutz-Formblätter für Ihr Betreuungsbüro

Das müssen Sie in puncto Datenschutz in Ihrem Betreuungsbüro beachten: Im Mitglieder-Bereich stellen wir Ihnen die wichtigsten Informationen und Formblätter zum Datenschutz zur Verfügung.

zurück zum Seitenanfang
13.10.2018

Brauchen Berufsbetreuer einen Datenschutzbeauftragten?

Die auf den ersten Blick einfache Frage, ob für ein Betreuungsbüro ein Datenschutzbeauftragter bestellt werden muss, lässt sich nicht für alle Fallkonstellationen sicher beantworten. Die Eckpunkte für die Antwort befinden sich im Datenschutzrecht an verschiedenen Stellen. Für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten kommen verschiedene Grundlagen in Frage:

1) Anzahl der mit der Datenverarbeitung befassten Mitarbeiter

Gem. § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) ist ein Datenschutzbeauftragter immer zu bestellen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Voraussetzung dürfte in vielen Betreuungsvereinen und daneben allenfalls in größeren Bürogemeinschaften erfüllt sein.

Es gibt aber weitere Rechtsgrundlagen, nach denen auch für kleinere Betreuungsvereine und Bürogemeinschaften und auch Einzelbetreuer eine Pflicht zur Bestellung eines Datenschutzbeauftragten in Betracht kommt:

2) Umfangreiche Verarbeitung besonders schützenswerter Daten als Kerntätigkeit

In Art. 37 Abs. 1 c) Datenschutzgrundverordnung (DSGVO) heißt es, dass ein Datenschutzbeauftragter zu bestellen ist, wenn „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Zu den gem. Art. 9 Abs. 1 DSGVO besonderen Schutz genießenden Daten gehören auch Gesundheitsdaten und solche fallen im Rahmen der Betreuungsarbeit regelmäßig an. Nun handelt es sich bei den Vorgaben der DSGVO um allgemein gehaltene Regelungen, die nicht auf die Besonderheiten jeder einzelnen Berufsgruppe eingehen können und wegen ihrer vergleichsweise geringen Anzahl werden Berufsbetreuer in diesem Zusammenhang nicht erwähnt. Unseres Erachtens kann man aber zunächst auf die Vorgaben für den medizinischen Bereich zurückgreifen und diese dann analog auf die Betreuungsarbeit übertragen.

In Bezug auf die Frage, ob eine umfangreiche Verarbeitung von besonders schützenswerten Daten vorliegt, heißt es in Erwägungsgrund 91: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.“

Wenn man das auf die Betreuungsarbeit überträgt, folgt daraus jedenfalls, dass ein einzelner Betreuer ohne Mitarbeiter keinen Datenschutzbeauftragten bestellen muss.

Damit ist aber noch immer nicht gesagt, wie es sich in Bezug auf kleinere Betreuerbüros – z.B. einen einzelnen Betreuer mit zwei für Schreib- und Archivierungsarbeiten eingesetzten Mitarbeitern oder einer aus zwei Betreuern bestehenden Bürogemeinschaft – verhält.

Der Hessische Beauftragte für Datenschutz hat sich auf seiner Internetseite näher damit auseinandergesetzt, unter welchen Voraussetzungen im Gesundheitswesen ein Datenschutzbeauftragter zu bestellen ist. Wegen der insoweit bestehenden Unklarheiten empfiehlt er Einheiten mit zwei bis neun Beschäftigten (wobei der Inhaber mitgezählt wird), vorsichtshalber und zunächst auf 2 Jahre befristet einen Datenschutzbeauftragten zu bestellen oder die Gründe für die Nicht-Bestellung zu dokumentieren. Dieser Empfehlung schließen wir uns für den Bereich der Betreuung zumindest insoweit an, dass die Gründe für eine Nicht-Bestellung jährlich dokumentiert werden sollten.

Als Gründe für die Nicht-Bestellung könnte z.B. angeführt werden, dass alle Mitarbeiter ausdrücklich auf den Datenschutz hingewiesen wurden, Handlungsanweisungen gegeben wurden und alle Mitarbeiter die Einhaltung der Vorgaben schriftlich bestätigt haben sowie dass technische Vorkehrungen (Passwortschutz für alle PCs, sichere Verwahrung von Unterlagen in Papierform in abgeschlossenen Schränken usw.) getroffen wurden und ein unberechtigter Zugriff auf die Daten deshalb so gut wie ausgeschlossen ist.

Schließlich folgt aus Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht und es sollte deshalb belegt werden können, dass der Verantwortliche sich überhaupt Gedanken über die Problematik gemacht hat und die schließlich getroffene Entscheidung auf nachvollziehbaren Gründen beruhte.

Für Betreuungsvereine gilt im Übrigen auch das Katholische Datenschutzgesetzt (KDG). Diesen Vereinen raten wir, sich wegen der daraus möglicherweise ergebenden Besonderheiten im Zweifel durch das Katholische Datenschutzzentrum beraten zu lassen.

zurück zum Seitenanfang
29.5.2018

Daten verarbeiten: Müssen Klienten und Klientinnen einwilligen?

Auch nach der neuen EU-Datenschutzgrundverordnung brauchen Berufsbetreuer und Betreuerinnen, um ihre rechtliche Aufgaben zu erfüllen, von ihren Klienten/innen  keine Freigabe für die Verarbeitung ihrer DatenDies schrieb die Landesbeauftragte für Datenschutz Bremen in ihrer Antwort an BdB-Vorstandsmitglied Hennes Göers. Die Datenschutzbeauftragte ist der Auffassung, die Verarbeitung der Daten sei zulässig nach Art. 6 Abs. 1 lit. c DSGVO  und soweit besondere Kategorien von personenbezogenen Daten verarbeitet werden nach Art. 9 Abs. 2 lit. b DGSVO.

Dies gelte jedoch nur, wenn die Daten der Klienten und Klientinnen für die nach § 1901 BGB festgelegten Zwecke verwendet werden sollen.

zurück zum Seitenanfang

Am besten gleich herunterladen: Verzeichnis der Verarbeitungstätigkeiten nach der EU-Datenschutzgrundverordnung

Ab dem 25. Mai 2018 muss jeder Verantwortliche und "Auftragsverarbeiter" auf Anfrage der Aufsichtsbehörde nachweisen, dass er die neue EU-Datenschutzgrundverordnung (DSGVO) einhält. Dies gilt auch für Berufsbetreuer und Berufsbetreuerinnen. Zentral dabei ist das sogenannte Verzeichnis der Verarbeitungstätigkeiten nach §30 der DSGVO. Hier werden alle Verarbeitungen von personenbezogenen Daten gelistet, die in einem Dateisystem gespeichert werden oder gespeichert werden sollen. Wir haben für Sie einen Leitfaden zu diesem Verzeichnis sowie einen Muster zum Download bereit gestellt.

zurück zum Seitenanfang

Datenschutzgrundverordnung: Neue Informationspflichten

Wie ist die bisherige Rechtslage? Informationspflichten waren bislang im BDSG und z.T. auch in anderen Gesetzen geregelt. Wurden personenbezogene Daten direkt beim Betroffenen erhoben, richteten sich die zu erteilenden Informationen nach § 4 Abs. 3 BDSG, bei der Erhebung ohne Kenntnis des Betroffenen waren § 33 BDSG anzuwenden. Was ... »mehr zurück zum Seitenanfang

Neu ab 25. Mai: EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung trat am 25. Mai in Kraft: Was sollten Berufsbetreuer und Berufsbetreuerinnen wissen? Bereits auf der BdB-Jahrestagung Anfang Mai war das Seminar zu diesem Thema überfüllt. Den Teilnehmenden war klar: Angehörige des Berufsstandes arbeiten mit äußerst sensiblen, ... »mehr zurück zum Seitenanfang