Tanja Altmaier
Datenschutzbeauftragte
Das Erheben von Daten über einen Pflegenden, beginnt schon deutlich vor der Aufnahme der eigentlichen Versorgung. Oftmals möchten sich der Betroffene und seine Angehörigen über eine Einrichtung informieren. Im Gegenzug will der Pflegedienst, das Pflegeheim, etc. sich einen Eindruck von dem Betreffenden verschaffen. Schließlich muss geklärt werden, ob eine Einrichtung die Richtige für die Bedürfnisse des zu Pflegenden oder Betreuten ist.
Manchmal ist auch ein Krankenhaus zwischengeschaltet, wenn es um die akute Suche nach häuslicher Pflege oder einem Pflegeplatz geht.
Wie dem auch sei – es fließen viele personenbezogene Daten, bevor der eigentliche Behandlungsvertrag unterzeichnet wird.
Für die Rechtmäßigkeit der Verarbeitung braucht es aber immer einen festgelegten Zweck.
Aus datenschutzrechtlicher Sicht könnte man die Sammlung und Abfrage der ersten Informationen oder die Übermittlung einer Anfrage durch ein Krankenhaus zu den vorvertraglichen Maßnahmen zählen. (Art. 6 Abs. 1 b DSGVO)
Wird dann der Behandlungsvertrag zwischen dem Betroffenen und der Pflegeeinrichtung unterzeichnet, so werden Anmelde-, Anamnese- oder Aufnahmebögen selbstverständlich Teil der Dokumentation, die erforderlich ist, um dem Versorgungsauftrag nachzukommen. Für die Erfüllung einer rechtlichen Verpflichtung, dürfen personenbezogene Daten verarbeitet werden (Art. 6 Abs. 1 b DSGVO und Art. 9 Abs. 2 h DSGVO).
Doch gilt bereits bei der Erhebung der Daten – also schon mit dem Erstkontakt – zu beachten, dass über die Verarbeitung informiert werden muss. Wie genau eine Hinweis- oder Informationspflicht auszusehen hat, dazu im weiteren Verlauf mehr.
Kommt es nach dem ersten „Beschnuppern“ nicht zur Unterzeichnung eines Behandlungsvertrages – so entfällt die Rechtsgrundlage, die ein Aufbewahren und Speichern der abgefragten personenbezogenen Daten rechtfertigen würde. Das bedeutet: Sagt ein potenzieller „Kunde“ einen Pflegeplatz ab – sind die im Vorfeld erhobenen Daten unverzüglich zu löschen. Es entfällt die Rechtsgrundlage der Verarbeitung.
Spätestens jedoch ein Jahr nach Erhebung personenbezogener Daten – ohne dass daraus ein Behandlungsvertrag geworden ist – sind die Unterlagen zu löschen. Denn ohne „Rechtmäßigkeit“ (Art. 6 DSGVO) keine Verarbeitung.
Aber darf in einem Anmeldebogen oder auch im Behandlungsvertrag einfach „alles“ abgefragt werden?
Relevante Daten für einen Behandlungsvertrag sind der vollständige Name der betroffenen Person, das Geburtsdatum sowie die jeweilige Kranken- oder Pflegeversicherung.
Darüber hinaus dürfen sämtliche personenbezogenen Daten abgefragt werden, die für die vertragliche Erfüllung der im Behandlungsvertrag vereinbarten Leistungen notwendig sind. (Art. 6 Abs. 1 b DSGVO).
Geht es um zusätzliche Leistungen, kann es notwendig sein, weitere personenbezogene Daten und/oder Gesundheitsdaten zu erheben. Somit kann die Abfrage natürlich variieren – je nachdem, ob es sich um eine ambulante Pflege handelt, oder die stationäre Aufnahme in eine Pflegeeinrichtung.
Neben den Rahmenbedingungen der DSGVO gilt es das Sozialgesetzbuch im Blick zu behalten. Denn teilweise ist eine Verarbeitung von Sozialdaten auch dort gesetzlich vorgeschrieben und geregelt (SGB V und XI).
Soweit zur Theorie. Doch ein kurzer Blick in die Praxis zeigt, dass es durchaus eine Gradwanderung ist, einerseits die Pflicht zur Dokumentation, und andererseits die Erfüllung rechtlicher Vorgaben (wie z. B. Datensparsamkeit nach DSGVO) zu gewährleisten.
In Fachliteratur stößt man häufig auf den Begriff „strukturierte Informationssammlung (SIS)“. Diese bildet im Bereich der Pflege den ersten Schritt der Dokumentation und umfasst bereits komplexe Fragestellungen, die weit über die Stammdaten eines zu Pflegenden hinausgehen.
Empfehlungen von Experten gehen dahin, mit der Sammlung schon zu beginnen, bevor der zu Pflegende überhaupt von einer Pflegeeinrichtung versorgt wird. Umso umfangreicher die Abfrage im Vorfeld, umso besser die Betreuung eines zu Pflegenden im Verlauf.
Was sagt die DSGVO hierzu? Nun, schaut man sich die Informationssammlung an, so sind aus datenschutzrechtlicher Sicht Daten enthalten, die nicht unbedingt erforderlich sind, um den Behandlungsvertrag adäquat zu erfüllen.
Ein Beispiel dafür sind biografische Daten. Diese gehören standardmäßig zu den Fragen in der „strukturierten Informationssammlung (SIS)“. Doch wo ist die rechtliche Grundlage, aufzuschreiben, was ein zu Pflegender gerne frühstückt, welche Musik er gerne hört, wann er bevorzugt „aufs stille Örtchen“ geht?
Rechtmäßig erhoben werden dürfen solche personenbezogenen Daten nur dann, wenn der Betroffene dazu seine ausdrückliche Einwilligung erteilt. Worauf es bei einer Einwilligung ankommt – und wo die Schwierigkeiten dabei liegen – auch dazu in einem separaten Unterthema mehr.
Neben den ersten Informationen, die im Aufnahmebogen erhoben wurden, wächst die Pflegedokumentation kontinuierlich. Schließlich ist sie der Nachweis von geplanten und von durchgeführten Maßnahmen an einem zu Pflegenden.
In so einer Dokumentation sind eine Unmenge an personenbezogenen Daten enthalten, von den allgemeinen bis zu den besonders schützenswerten.
Die Aufbewahrung ist oftmals geteilt. Da gibt es einerseits die Pflegemappe, die zwingend beim Betroffenen verbleibt, immer die aktuellen Unterlagen enthält. Neben dem Stammblatt, der Dokumentation von Maßnahmen und Vitalwerten, ist häufig ein Medikamentenplan enthalten, vielleicht der letzte Entlassbrief aus dem Krankenhaus, etc.
Die restlichen Unterlagen, wie z. B. veraltete Verordnungen von Medikamenten oder Arztbriefe, Leistungs- und Pflegenachweise die abgerechnet wurden, der Behandlungsvertrag – werden in der Verwaltung aufbewahrt. Und das heute so gut wie immer nicht nur in Papier- sondern auch in digitaler Form.
Für das Führen einer solchen Pflegedokumentation besteht eine Informationspflicht dem Betroffenen gegenüber. Welche relevanten Punkte darin enthalten sein müssen, darauf geht das nächste Unterthema ein.
Die DSGVO unterscheidet grundsätzlich nicht, welches Unternehmen oder welche Einrichtung personenbezogene Daten erhebt. Vielmehr heißt es in Art. 13 DSGVO: „Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:…“
Sobald Daten von natürlichen Personen verarbeitet werden, sind diese darüber zu informieren. Dabei ist es unerheblich, ob es sich um Patienten, Angehörige oder Mitarbeiter handelt.
Bleiben wir im Bereich der Pflege, so soll also der zu Pflegende oder der Patient unverzüglich mit der Erhebung der Daten über die Verarbeitung aufgeklärt und informiert werden.
Worüber wird er informiert?
Art. 13 Abs. 1 erläutert in den Buchstaben a bis f die erforderlichen Informationen, die eine Hinweispflicht enthalten soll:
Diese Informationen sollten in einer einfachen Sprache und transparent dargestellt werden, so dass der Betroffene versteht, was mit seinen Daten passiert, und wer diese Daten unter Umständen erhält.
Warum braucht es diese Hinweispflichten? Wie bereits behandelt, hat jede Person, deren personenbezogene Daten verarbeitet werden Rechte. Die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) kann derjenige aber nur wahrnehmen, wenn ihm vorher in einfacher Sprache erklärt wurde, welche Daten überhaupt verarbeitet werden oder welche Daten vielleicht an Dienstleister weitergegeben werden.
Die Informationen sollten der jeweiligen Person bei der Erhebung ausgehändigt werden, oder als Anlage zu einem Angebot oder Vertrag übermittelt werden. Unter Umständen kann man darauf verzichten, wenn die Hinweispflichten in elektronischer Form zur Verfügung stehen und der Betroffene dort die Möglichkeit hat, sich zu informieren.
Die Pflicht zur Information entfällt auch, wenn ein Betroffener diese bereits zu einem früheren Zeitpunkt erhalten hat, und somit davon auszugehen ist, dass ihm die Fakten bekannt sind.
Die Praxis zeigt allerdings, dass es von Vorteil ist, die Informationspflicht als Dokument standardmäßig zum Bestandteil von Angeboten oder Verträgen zu machen.
Eine Besonderheit ist, wenn – wie beispielsweise bei demenzkranken Personen – die Erhebung von Daten über Angehörige, Bezugspersonen oder Betreuer erfolgt. Hier erfolgt die Informationspflicht auf Basis von Art. 14 DSGVO. Grundlegend sind dieselben Informationen an den Betroffenen weiterzugeben, wie in der Hinweispflicht nach Art. 13 DSGVO, jedoch wird in der Informationspflicht nach Art. 14 explizit darauf Bezug genommen, dass die Daten nicht beim Betroffenen, sondern bei Dritten erhoben wurden.
Handelt es sich um Einrichtungen, die unter kirchlicher Trägerschaft stehen, so gelten hier natürlich wieder die Regelungen der jeweiligen Kirchengesetze. Die sich aber zum Teil von der DSGVO dadurch unterscheiden, dass sie leicht abgemilderte Vorgaben enthalten. (§§17 f DSG-EKD und §§ 15 f KDG)
So sieht z. B. das DSG-EKD vor, dass Informationspflichten nur auf Verlangen des Betroffenen zu erfüllen sind.
Interessante Quelle zum Nachlesen in puncto Informationspflichten bei Dritt- und Direkterhebung ist auch das DSK-Kurzpapier Nr. 13 der Datenschutzkonferenz.
Nun ist schon ein paar Mal der Begriff „Einwilligung des Betroffenen“ als rechtliche Grundlage für die Verarbeitung personenbezogener Daten verwendet worden. Doch was steckt dahinter, und wie sollte eine solche Einwilligung aussehen. Dazu jetzt mehr.
Begriffsbestimmung und rechtliche Bedeutung:
Die DSGVO liefert in Art. 4 Abs. 11 eine Begriffserklärung, wenn es dort heißt: „Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Klingt kompliziert – lässt sich aber einfach erklären:
Wenn für eine Verarbeitung keine andere Rechtsgrundlage, wie z. B. ein Vertrag, im speziellen ein Behandlungsvertrag oder eine vorvertragliche Maßnahme (wie z. B. eine Anmeldung für einen Pflegeplatz) vorliegt, dann muss der Betroffene gefragt und ausreichend informiert werden, ob er damit einverstanden ist, dass seine Daten verarbeitet werden.
Der Verantwortliche – also im Fall von Pflegeeinrichtungen der Geschäftsführer, die Heimleitung, etc. – steht in der Beweispflicht, dass betroffene Personen ihr Einverständnis erteilt haben (Art. 7 Abs. 1 DSGVO).
Zwar würde es theoretisch ausreichen, eine mündliche Zustimmung zu bekommen. Doch die Schwierigkeit am mündlichem Einverständnis ist die Beweislast. Wie kann ein Verantwortlicher eine mündlich gegebene Einwilligung beweisen? Unabhängig davon, ob gegenüber einer Aufsichtsbehörde, oder schlussendlich sogar gegenüber dem Betroffenen selbst (falls er sich nicht mehr daran erinnern könnte).
Außerdem gibt es neben der Beweislast für die Rechtmäßigkeit auch noch die Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DSGVO, wo die Rechtmäßigkeit der Datenverarbeitung geregelt ist.
Wie sollte eine Einwilligung formal aussehen?
Grundsätzlich gibt es in der DSGVO keine formelle Anforderung, wie eine Einwilligung erteilt werden sollte. Es wird den Unternehmen und Pflegeeinrichtungen freigestellt in welcher Form eine solche Erklärung gegeben werden kann. Möglich wäre somit mündlich, schriftlich oder auch elektronisch. Unter Berücksichtigung der Beweis- und Rechenschaftspflicht eines Verantwortlichen, empfiehlt sich aber auf jeden Fall die Textform.
Was die DSGVO in Art. 7 jedoch klar regelt, sind die folgenden Fakten:
Hierzu lohnt es sich, Art. 4 Abs. 11 DSGVO nachzulesen. Bei der Begriffsdefinition zur Einwilligung steht, dass die betroffene Person in informierter Weise eine Willensbekundung abgeben soll. Für den Betroffenen muss also klar und unmissverständlich dargelegt werden:
Nur so, kann ein Betroffener bewusst und informiert der Verarbeitung zustimmen.
Das wird auch in ErwGr. 42 deutlich zum Ausdruck gebracht.
Eine „General-Einwilligung“ für sämtliche Verarbeitungszwecke gibt es grundsätzlich nicht.
Eine wesentliche Forderung der DSGVO liegt zum Schluss darin, dass die betroffene Person ihre Zustimmung durch eine eindeutige bestätigende Handlung kundtut.
Bedeutet also, dass bei einer elektronischen Einwilligung keine Vorbelegung von Auswahlkästchen bestehen darf. Ein Opt-out-Modell ist grundsätzlich nicht zulässig.
Genauso darf eine Einwilligung nicht direkter Vertragsbestandteil sein, wo mit der Unterschrift auf dem Vertrag auch gleich die Einwilligung akzeptiert ist.
Und auch Stillschweigen oder bereits vorbelegte Kästchen auf einem Formblatt, auf dem dann nur noch unterschrieben wird, um einer Datenverarbeitung zuzustimmen, sind rechtlich nicht korrekt.
Die betroffene Person muss bewusst und selbst auswählen oder ankreuzen, ob und welchem speziellen Verarbeitungszweck sie zustimmt.
Gerade im Bereich der Pflege, wo neben den Stammdaten eines Betroffenen auch die besonderen Kategorien von Daten (z. B. Gesundheitsdaten allgemein, biografische Daten von zu Pflegenden, und viele weitere) verarbeitet werden, gibt es verschiedene Rechtsgrundlagen für die Rechtmäßigkeit einer Verarbeitung.
Für die Erfüllung des Behandlungsvertrags argumentieren viele Pflegeeinrichtungen wären weitere Daten nötig. Darum werden häufig Geburtsort, Konfession, Beruf, ehemalige Arbeitgeber und Kinder abgefragt. Genauso aber auch Vorlieben, Wünsche und Gewohnheiten zu bestehenden „Morgenritualen“, besonderen Frühstücksvorlieben, und viele weitere Details. All dies soll die individuelle Betreuung eines Betroffenen erst möglich machen. Das mag mit Sicherheit zu einem gewissen Grad so sein.
Doch aus datenschutzrechtlicher Sicht, sind die erweiterten Informationen nicht erforderlich, um die Erfüllung des Behandlungsvertrags zu gewährleisten.
Um also hilfreiche und nützliche Informationen erheben und verarbeiten zu dürfen, die über die Rechtmäßigkeit, aus der vertraglichen Verpflichtung hinaus gehen, bedarf es der Einholung von Einwilligungen.
Dabei kommt darauf an, den Zweck der Datenerhebung – z. B. die Frage nach dem Beruf – konkret zu benennen. Warum ist es von Wert, wenn eine Pflegeeinrichtung Kenntnis über zusätzliche Daten erhält? Inwiefern können die zusätzlich erhobenen personenbezogenen Daten nützlich sein, um eine individuelle Versorgung eines zu Pflegenden gewährleisten zu können?
Kann man gegenüber einem Betroffenen oder auch gegenüber einer Aufsichtsbehörde ausreichend und sachlich fundiert argumentieren, warum erweiterte personenbezogene Daten konkret erhoben werden mussten?
Und aufgepasst – handelt es sich bei der geplanten Verarbeitung personenbezogener Daten explizit um Gesundheitsdaten (nach Art. 9 DSGVO), so muss aus der Einwilligung, die der betroffenen Person vorgelegt wird, klar hervorgehen, dass es sich um Gesundheitsdaten handelt, die sensibel und besonders schützenswert sind.
Vorsicht auch, bei der Verarbeitung von Daten Dritter geboten. Wie sieht es z. B. mit den Kontaktdaten von Angehörigen oder Bezugspersonen aus?
Die Verarbeitung personenbezogener Daten ist erlaubt, wenn die Erfüllung des Behandlungsvertrages damit in Verbindung steht. Dieser Zusammenhang besteht jedoch ausschließlich im Verhältnis zwischen den Vertragspartnern. Das ist einerseits die Pflegeeinrichtung, und andererseits die betroffene Person.
Das hat zur Folge, dass Kontaktdaten oder sonstige Informationen über Dritte (z. B. Kinder) nicht automatisch und ohne deren Einwilligung verarbeitet werden dürfen.
Einzige Ausnahme ist, eine Benennung von Personen, die im Notfall verständigt werden sollen. Hier können freiwillig eine oder mehrere Personen benannt werden. Dies rechtfertigt die Verarbeitung, weil sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 2 f DSGVO) erforderlich ist.
Einwilligungen sind ein wichtiges Rechtsinstrument, um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu belegen. Doch bergen Einwilligungen einige Risiken:
Darum sind Einwilligungen mit Bedacht einzusetzen.
Einige Besonderheiten, speziell für den Bereich der Pflege, werden im Untermenü „Tipps für die Praxis“ noch aufgegriffen.
Im Verlauf dieser Artikelserie wurde schon mehrfach darauf hingewiesen, dass betroffene Personen – somit auch Patienten, zu Pflegende, Betreute – über die Verarbeitung ihrer personenbezogenen Daten auseichend und transparent informiert werden müssen. Obendrein gibt es bestimmte Verarbeitungsvorgänge, die einer ausdrücklichen Einwilligung der betroffenen Person bedürfen.
Das führt im pflegerischen Alltag immer wieder zu deutlichen Herausforderungen. Und zwar dann, wenn eine Person sich selbst nicht mehr entsprechend äußern kann. Eine Vorerkrankung wie Demenz, ein traumatisches Ereignis wie der Sturz aus dem Bett mit Kopfverletzung, ein Apoplex der eben nicht nur eine Hemiparese zurücklässt – diese und viele weitere Erkrankungen oder Ereignisse können dazu führen, dass sich ein zu Pflegender plötzlich nicht mehr adäquat äußern kann.
Dennoch hat jede Person Rechte und Freiheiten, die es zu schützen gilt. Eine Erkrankung, Behinderung oder die Folge eines traumatischen Ereignisses ändern daran nichts.
Nur gilt es bestimmte Fakten im Blick zu behalten.
Kann sich ein Patient oder Betreuter, selbst nicht mehr oder nicht mehr ausreichend um seine Angelegenheiten kümmern, so wird oftmals eine Betreuung angeordnet. Die Betreuung soll das Defizit der jeweiligen Person ausgleichen, die sich nicht mehr vollumfänglich um die eigenen Belange kümmern kann.
Hier soll jedoch im Verlauf sicher nicht auf die Abläufe in Verbindung mit der Bestellung einer Betreuung eingegangen werden. Vielmehr geht es darum, auf die Bedeutung datenschutzkonformer Verarbeitung von personenbezogenen Daten im Fall einer gerichtlich bestellten Betreuung einzugehen.
Grundsätzlich gilt zu berücksichtigen, in welchem Umfang eine Betreuung angeordnet wurde. Eine gerichtliche angeordnete Betreuung kann selbstverständlich vollumfänglich sein, oder auf bestimmte Bereiche beschränkt, erteilt werden, z. B. rein auf die Vermögenssorge beschränkt. Wodurch sich keinerlei Auswirkung auf die Rechtswirksamkeit von Erklärungen der betreffenden Person in Gesundheitsangelegenheiten ergeben würde.
Unterteilung gibt es auch für die Bereiche Aufenthaltsbestimmung, Beaufsichtigung, die Entgegennahme, das Öffnen und Anhalten der Post des Betreuten, Beendigung lebenserhaltender Maßnahmen, u. s. w. Das Betreuungsgericht entscheidet im Einzelfall, für welche Bereiche eine Betreuung notwendig ist.
Das macht eines klar – genaues Lesen ist notwendig, will man rechtlich korrekt und datenschutzkonform arbeiten.
Auf die Grundsätze der DSGVO bezogen, ergibt sich unter Umständen bei einer Betreuung die Schwierigkeit, dass Betroffene selbst nicht mehr in der Lage sind, die Tragweite und Bedeutung von Verarbeitungstätigkeiten zu verstehen. Man kann solchen Personen selbstverständlich die Information zukommen lassen, wer der Verantwortliche ist, und erklären, welchen Zweck die Verarbeitung erfüllen würde – doch ist das rechtlich und ethisch korrekt?
Vermutlich eher nicht. Aber darf ein Betreuer einer bestimmten Verarbeitung von personenbezogenen Daten zustimmen? Darf ein Betreuer eine Einwilligung nach den Grundsätzen der DSGVO für den Betreuten geben?
Das Amtsgericht Giessen hat in seinem Beschluss vom 16. Juli 2018 interessante Hinweise diesbezüglich gegeben. Falls eine zu betreuende Person nicht mehr im Stande ist, einem Verantwortlichen, oder einem rechtlichen Betreuer gegenüber eine Einwilligung nach DSGVO zu erteilen, so kann unter diesen Umständen ein Betreuer die Einwilligung als gesetzlicher Vertreter des Betroffenen abgeben.
Ist der Betroffene aber noch einwilligungsfähig, so kann dieser unter Umständen eine Einwilligung verweigern.
Somit gilt es im Einzelfall abzuwägen und differenziert zu beurteilen, ob und inwieweit eine Einwilligung durch einen Betroffenen rechtlich wirksam ist.
Zu beachten ist auch, dass es durchaus Unterschiede gibt, ob eine Betreuung durch einen Berufsbetreuer erfolgt, oder im privaten/familiären Rahmen auf Basis einer ehrenamtlichen Betreuung.
In jedem Fall gilt es für Betreuer grundsätzlich sensibel mit den Daten von Pflegepersonen umzugehen. Denn im Vergleich zu einem Arzt, der weitestgehend nur Gesundheitsdaten verarbeitet, hat ein Betreuer häufig Zugriff auf die unterschiedlichsten Kategorien personenbezogener Daten. Aus all den Daten, die im Rahmen einer Betreuung verarbeitet werden, lässt sich schlussendlich ein umfassendes und aussagekräftiges Profil eines zu Pflegenden erstellen – und deshalb gilt Sorgfalt und Schutz dieser Daten in besonderem Maß.
Der Betreuer ist quasi DER Datenverarbeiter einer betroffenen Person, da er in seiner Hauptaufgabe beinahe ausschließlich Daten des Betreuten erhebt, verarbeitet, speichert und unter Umständen an Dritte (Pflege- und Krankenkasse, Pflegeeinrichtungen, etc.) weitergibt.
Nach Art. 6 Abs. 1 c DSGVO ist die Verarbeitung von personenbezogenen Daten durch einen rechtlichen Betreuer zulässig, da sie auf Basis der Betreuerbestellung zur Erfüllung der damit in Verbindung stehenden rechtlichen Verpflichtung erfolgt. Hierbei gilt es auch §1901 BGB zu berücksichtigen, der den Umfang und die Pflichten eines Betreuers näher definiert.
Werden darüber hinaus Daten erhoben, die zum Beispiel notwendig sind, um Anträge zu bearbeiten, wie z. B. Behördenangelegenheiten, die zum gerichtlich bestellten Aufgabenkreis gehören, greift nach Art. 6 Abs. 1 f DSGVO das berechtigte Interesse. Dieses Interesse muss für die Datenverarbeitung immer erforderlich sein. Eine reine Zweckmäßigkeit reicht nicht aus.
Somit bleibt als Fazit: Um im Bereich der Pflege, auch die die rechtliche Betreuung datenschutzkonform korrekt zu beachten, gilt es grundsätzlich den Einzelfall genau unter die Lupe zu nehmen und eine Interessenabwägung auf den Fall bezogen durchzuführen.
Technische und organisatorische Maßnahmen sind elementar, um den Schutz personenbezogener Daten in Unternehmen und selbstverständlich auch im Bereich der Pflege gewährleisten zu können. Ziel der technischen-organisatorischen Maßnahmen (kurz TOMs) ist ein dem Risiko angemessenes Schutzniveau zu erreichen.
Im Unterthema Technische-organisatorische Maßnahmen – was gehört dazu? wurde bereits auf den Umfang und die Vielzahl der Maßnahmen eingegangen, die Einfluss auf das Schutzniveau haben.
Warum hier noch einmal ein Bezug auf diesen Aspekt der DSGVO?
Die entsprechenden Maßnahmen zu treffen ist das Eine. Doch wichtig ist auch, die TOM´s entsprechend und aussagekräftig zu dokumentieren.
Die Dokumentation der technisch-organisatorischen Maßnahmen spielt eine grundlegende Rolle dabei, zu prüfen und nachzuweisen, dass ein dem Risiko angemessenes Schutzniveau für die verarbeiteten Daten vorhanden ist. Deshalb muss es technische und nichttechnische Vorkehrungen geben, um die personenbezogenen Daten zu schützen.
Auf Verlangen einer Aufsichtsbehörde muss die entsprechende Dokumentation vorgelegt werden. Gibt es die TOM´s nicht als eigenständiges Dokument, sind die aufgeführten Maßnahmen unvollständig oder nicht mehr dem Stand der Technik angepasst, so kann die zuständige Aufsichtsbehörde ein Bußgeld verhängen.
Wichtig ist, alle Maßnahmen, die gemäß §64 BDSG n. F. erforderlich sind, unbedingt schriftlich festzuhalten. Dokumentation und regelmäßige Evaluation sind essenziell.
Vergleichbare Anforderungen wie das BDSG, sind auch in den Vorgaben für kirchliche Einrichtungen zu finden (§27 DSG-EKD oder §26 KDG).
Das Verzeichnis der Verarbeitungstätigkeiten, kurz VVT, ist neben den TOM´s ein weiterer elementarer Bestandteil der Dokumentation im Datenschutz. Art. 30 DSGVO liefert die wichtigsten Eckdaten zum Verzeichnis der Verarbeitungstätigkeiten.
Zwar zeigt Art. 30 Abs. 5 DSGVO, dass die Pflicht zum Führen eines solchen Verzeichnisses eigentlich nicht für Unternehmen gilt, die weniger als 250 Mitarbeiter beschäftigen. Doch es gibt wiederum Ausnahmen, so zum Beispiel, wenn die Verarbeitung Risiken für die Rechte und Freiheiten betroffener Personen birgt, oder eine Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) erfolgt.
Da insbesondere im Bereich der Pflege die Verarbeitung der besonderen Kategorien eine Rolle spielt, sollte jede Pflegeeinrichtung ein vollständiges Verzeichnis der Verarbeitungstätigkeiten führen.
Die DSGVO fordert ein Verzeichnis ALLER Verarbeitungstätigkeiten. Dabei sollen insbesondere die Prozesse und Abläufe in einem Unternehmen dokumentiert werden, die personenbezogene Daten verarbeiten. Dabei legt Art. 30 Abs. 1 klar fest, was Mindestanforderungen an die Inhalte dieser Dokumente sind.
Die detaillierte Beschreibung in Art. 30 Abs. 1 DSGVO legt nahe, was Abs. 3 fixiert, nämlich dass das Verzeichnis der Verarbeitungstätigkeiten schriftlich zu führen ist. Dies kann natürlich in elektronischer Form erfolgen. Muss aber jederzeit greifbar und verfügbar sein. Und im Fall einer Prüfung durch die Aufsichtsbehörde gehört das VVT mit Sicherheit zu den Dokumenten, in die als Erstes Einsicht verlangt wird.
Primär sollen Prozesse dokumentiert werden, in denen eine Verarbeitung personenbezogener Daten stattfindet. Dennoch geht unsere Empfehlung dahin, alle Prozesse und Abläufe im Unternehmen, beziehungsweise innerhalb einer Pflegeeinrichtung, in dieses Verzeichnis aufzunehmen.
So erhält man einerseits einen guten Überblick über sämtliche Abläufe, unabhängig davon ob diese permanent oder nur sporadisch durchgeführt werden. In Verbindung damit mag es auch leichter fallen, eine Risikoanalyse innerhalb der Einrichtung durchzuführen. Schließlich gilt es zu bedenken, dass ein dem Risiko angemessenes Schutzniveau gewährleistet werden muss. Auch eine Beantwortung von Betroffenenanfragen fällt leichter, wenn es ein sauber geführtes Verzeichnis der Verarbeitungstätigkeiten gibt.
Und sollte es zu einer Verletzung im Datenschutz kommen, ist das Verzeichnis eine gute Hilfe bei der Beurteilung des eventuellen Risikos für die Rechte und Freiheiten von Betroffenen. Denn hier ist klar definiert, in welchem Prozess welche Personengruppen und welche Datenkategorien verarbeitet werden.
Außerdem stößt man bei der Dokumentation vielleicht auf den einen oder anderen Prozess, der nicht mehr zeitgemäß oder sogar überflüssig geworden ist.
Das Verzeichnis der Verarbeitungstätigkeiten ist zwar zu Beginn mit einem gewissen Maß an Aufwand und Bürokratie verbunden. Doch wird es regelmäßig überprüft und aktuell gehalten, so bringt es aus unternehmerischer Sicht durchaus Vorteile für den Verantwortlichen. Eine sauber geführte Dokumentation ist wiederum eine Erleichterung, wenn es zum Beispiel um Begriffe wie Qualitätsmanagement oder bestimmte Zertifizierungen gehen mag.
Interessant zum Nachlesen ist mit Sicherheit das DSK-Kurzpapier Nr. 1 – Verzeichnis der Verarbeitungstätigkeiten.
Datenschutzfolgenabschätzung (kurz DSFA) – diesen Begriff kennt man seit Einführung der DSGVO. Doch schon früher gab es ein ähnliches Prozedere, die sogenannte „Vorabkontrolle“ (§4 BDSG a. F.). Hier ging es darum, Verarbeitungen die Risiken für die Rechte und Freiheiten von Betroffenen aufweisen, vor Beginn der Verarbeitung einer genauen Prüfung zu unterziehen.
Welchen Zweck verfolgt nun die Datenschutzfolgenabschätzung nach Art. 35 DSGVO (sowie §35 KDG und §34 DSG-EKD)?
Aufschlussreich ist in Verbindung damit das Kurzpapier Nr. 5 der DSK -Datenschutzkonferenz.
Eine Datenschutzfolgenabschätzung nach DSGVO kommt immer dann zum Einsatz, wenn eine rechtmäßige Verarbeitung von personenbezogenen Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten Betroffener birgt. Sprich, es gilt auf den einzelnen und konkreten Verarbeitungsvorgang hin abzuwägen, wie hoch das jeweilige Risiko eingeschätzt wird. Dabei gilt es zu berücksichtigen, mit welchen Medien bzw. Technologien, in welcher Art und welchem Umfang, sowie zu welchem Zweck eine Verarbeitungstätigkeit durchgeführt wird.
Neben der Einschätzung der Höhe des Risikos wird in der DSFA auch Wert auf Abhilfemaßnahmen gelegt, mithilfe derer der Schutz personenbezogener Daten wieder sichergestellt werden kann.
Was können Risiken für die Rechte und Freiheiten Betroffener sein? Ein Blick in die Erwägungsgründe zur DSGVO gibt Aufschluss. ErwGr 75 DSGVO besagt, dass Verarbeitungen einen physischen, materiellen oder immateriellen Schaden für einen Betroffenen nach sich ziehen können. Davon ist insbesondere dann die Rede, wenn die Verarbeitung zu Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellem Verlust, Rufschädigung oder Verlust der Vertraulichkeit führt.
Auf Grundlage des risikobasierten Ansatzes der DSGVO liegt es in der Aufgabe des Verantwortlichen einer Pflegeeinrichtung, bestehende und künftige Verarbeitungstätigkeiten genau unter die Lupe zu nehmen. Besteht durch die Verarbeitung ein Risiko für Rechte und Freiheiten von zu betreuenden Personen? Welche Risiken könnte es für personenbezogene Daten von Mitarbeitern eines Pflegedienstes geben?
Art. 35 Abs. 2 a – c DSGVO führt einige Beispiele für Datenverarbeitungen an, die immer risikobehaftet sind, und somit in der Folge die Durchführung einer DSFA erforderlich machen. Dazu zählen unter anderem Profiling, sämtliche Verarbeitungen besonderer Kategorien von Daten oder auch eine Videoüberwachung.
Auf die Pflegebranche bezogen heißt das: Allein die Tatsache, dass in umfangreicher Weise besondere Kategorien von Daten (Art. 9 DSGVO) verarbeitet werden, macht die Durchführung von Datenschutzfolgenabschätzungen für Pflegeeinrichtungen zur Pflicht. Schließlich wird für jede Person, die durch einen Pflegedienst oder ein Pflegeheim versorgt wird, eine umfangreiche Pflegedokumentation geführt. Darin sind neben Stammdaten immer auch medizinische Daten (= Gesundheitsdaten) enthalten. Darum kann man an der Stelle sicherlich von einer umfangreichen Verarbeitung besonderer personenbezogener Daten sprechen.
Unter Umständen kann es sogar sein, dass eine bloße DSFA nicht ausreicht, bevor ein Prozess innerhalb der Pflegeeinrichtung etabliert wird. Art. 36 DSGVO geht darauf ein, dass eine Konsultation der Aufsichtsbehörde notwendig sein kann, wenn bereits die Datenschutzfolgenabschätzung ergibt, dass eine Verarbeitung ein hohes Risiko zur Folge hätte, sofern keine Maßnahmen zur Eindämmung getroffen werden.
Die Aufsichtsbehörde kann dem Verantwortlichen dann innerhalb eines Zeitraums von bis zu 8 Wochen eine entsprechende schriftliche Empfehlung zum geplanten Prozess an die Hand geben.
Fakt ist jedoch, dass eine DSFA nicht nur ein einmaliger Vorgang sein darf. Werden z. B. neue Technologien in einer Pflegeeinrichtung eingeführt, so könnte sich daraus ein geändertes, zusätzliches Risiko ergeben. Deswegen sind die Datenschutzfolgenabschätzungen regelmäßig auf Vollständigkeit und Aktualität zu prüfen und gegebenenfalls anzupassen. Es wird empfohlen, auch hier einen fortlaufenden Prozess zu etablieren, der nach getreu dem PDCA-Zyklus sämtliche relevanten Verarbeitungsvorgänge überprüft und anpasst.
Selbstredend sollte eine Datenschutzfolgenabschätzung – genauso wie das Verzeichnis der Verarbeitungstätigkeiten – in schriftlicher Form vorliegen. Denn schließlich hat der Verantwortliche im Datenschutz nach Art. 5 DSGVO eine umfassende Dokumentations- und Rechenschaftspflicht, um die Einhaltung der Vorgaben nachzuweisen.
In jedem Unternehmen gibt es eine Vielzahl relevanter Verträge, ohne die ein reibungsloser und rechtlich korrekter Geschäftsbetrieb gar nicht möglich ist. Genau so ist es selbstverständlich auch bei Einrichtungen im Bereich der Pflege.
Auf alle Arten von Verträgen einzugehen, die für den laufenden Betrieb relevant sind, würde den Rahmen an dieser Stelle sprengen. Vielmehr geht es um die Verträge, die für eine datenschutzkonforme Erfüllung der Vorgaben der DSGVO entscheidend sind.
Allen voran spielt ein Begriff eine wesentliche Rolle – der sogenannte Auftragsverarbeiter. Laut Art. 4 Abs. 8 DSGVO ist damit eine natürliche oder juristische Person, eine Behörde oder Einrichtung gemeint, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Nicht zu verwechseln ist aber der Begriff Auftragsverarbeiter mit dem Begriff „Dritter“.
Welche Rolle spielt ein Auftragsverarbeiter? Es gibt Verarbeitungstätigkeiten, die ein Verantwortlicher nicht selbst ausführt, sondern an jemand andere weitergibt. Sei es, weil er selbst vielleicht nicht die technischen Möglichkeiten hat, weil der Aufwand im Verhältnis zu groß wäre, etc. In einem solchen Fall kann der Verantwortliche (z. B. die Geschäftsführung oder die Heimleitung) einer Pflegeeinrichtung einen Auftragsverarbeiter hinzuziehen, um auf Weisung personenbezogene Daten verarbeiten zu lassen. Gängige Beispiele hierfür sind z. B. externe Personalabrechnung, IT-Systembetreuungen, Web-Hosting, Support für Multifunktionsgeräte, um nur einmal einige zu nennen.
Als Merksatz, der eine Auftragsverarbeitung definiert, gilt folgender Grundsatz: Basis für eine Auftragsverarbeitung (AV) ist stets die Weisungsgebundenheit des Auftragnehmers (Auftragsverarbeiters) gegenüber dem Auftraggeber.
Nach Art. 29 DSGVO ist derjenige weisungsgebunden, der bei der Durchführung seiner Tätigkeit keinen eigenen Entscheidungsspielraum hat.
Ein Beispiel zur Verdeutlichung: die externe Personalabrechnung hat keinen Entscheidungsspielraum wem, wieviel Lohn ausbezahlt werden soll.
Geht es um die Einbeziehung von Auftragsverarbeitern in einen Prozess oder eine Verarbeitungstätigkeit, so muss eine betroffene Person zwar im Rahmen der Hinweispflicht nach Art. 13 und 14 DSGVO informiert werden, dass die Daten an Dienstleister weitergegeben werden. Jedoch ist eine ausdrückliche Einwilligung Betroffener nicht erforderlich.
Das hat den einfachen Grund, dass es in der Pflicht des Verantwortlichen einer Pflegeeinrichtung liegt, den Dienstleister/Auftragsverarbeiter sorgsam auszuwählen. Gemäß Art. 28 Abs. 1 DSGVO hat der Verantwortliche bei der Auswahl von Dienstleistern, die in seinem Auftrag personenbezogene Daten verarbeiten, darauf zu achten, dass diese ebenfalls ein hinreichendes, dem Risiko angemessenes Datenschutzniveau gewährleisten können. Dafür braucht auch der Dienstleister geeignete technische-organisatorische Maßnahmen.
Wenn also eine Pflegeeinrichtung oder ein Pflegedienst beispielsweise einen IT-Dienstleister beauftragt, tätig zu werden, muss im Vorfeld durch den Verantwortlichen überprüft werden, ob dieser Dienstleister angemessene Datenschutzmaßnahmen getroffen hat. Und darüber hinaus ist es unabdingbar, in regelmäßigen Abständen zu kontrollieren, ob die Maßnahmen nach wie vor gültig und dem Stand der Technik angepasst sind.
Ähnlich lauten auch die Vorgaben für kirchliche Träger von Pflegeeinrichtungen die in
§29 KDG beziehungsweise §30 DSG-EKD zu finden sind.
Art. 28 Abs. 3 DSGVO regelt die Rechtsgrundlage und legt fest, dass die Auftragsverarbeitung eine schriftliche Vereinbarung, sprich einen Vertrag, bedarf. Und der Artikel geht noch weiter und benennt einzelne Vertragsinhalte, die zwingend erforderlich sind:
Interessant zum Nachlesen – das DSK-Kurzpapier Nr. 13 zur Auftragsverarbeitung.
Manchmal gibt es aber auch den Fall, dass es nicht nur einen Verantwortlichen gibt, der Weisungen gibt, sondern dass mehrere Stellen gemeinsam über Zwecke und Mittel einer Verarbeitung entscheiden. Dann spricht man von „Gemeinsamer Verantwortlichkeit“ nach Art. 26 DSGVO (§28 KDG, §29 DSG-EKD).
Für Einrichtungen im Bereich der Pflege wird diese Vertragsart eher selten zum Tragen kommen. Am ehesten durch die Zusammenarbeit mit Personaldienstleistern. Wichtig für eine „Gemeinsame Verantwortlichkeit“ ist auf jeden Fall, dass diese schriftlich und in transparenter Form festlegt, wer welche Verpflichtung zu erfüllen hat, insbesondere auch, wenn es um die Rechte und Freiheiten betroffener Personen geht, wer welchen Informationspflichten nachkommt, u. s. w. (Joint-Controller-Agreement, Vertrag zur gemeinsamen Verantwortlichkeit)
Hilfreich kann es sein, vor der Beurteilung, ob es sich um eine Auftragsverarbeitung oder um eine „Gemeinsame Verantwortlichkeit“ handelt, einen Blick in das DSK-Kurzpapier Nr. 16 zu werfen.
Zum Schluss noch ein Blick auf die sogenannten Geheimhaltungsvereinbarungen, oder Verpflichtungen zur Vertraulichkeit.
Grundsätzlich sollten alle Mitarbeiter einer Pflegeeinrichtung auf die Vertraulichkeit (DSGVO) beziehungsweise auf das Datengeheimnis (DSG-EKD und KDG) verpflichtet werden. Das schließt Auszubildende, Praktikanten, Teilzeitkräfte und geringfügig Beschäftigte mit ein. Normalerweise sollte diese Verpflichtung in den Arbeitsvertrag mit aufgenommen, oder in einer separaten Anlage geregelt sein.
Seit Einführung der DSGVO ist es jedoch ratsam, in Verbindung mit der Schulung und Sensibilisierung der Mitarbeiter auf den Datenschutz, die Verpflichtung auf die Vertraulichkeit/das Datengeheimnis, zu erneuern.
Neben Mitarbeitern haben oftmals auch Dienstleister Einsicht in personenbezogene Daten, obwohl sie diese nicht erheben bzw. verarbeiten.
Ein Beispiel mag das verdeutlichen: Häufig werden inzwischen Reinigungsfirmen engagiert, um Büroräume säubern zu lassen. Das hat zur Folge, dass die Reinigungsfachkraft, die einmal wöchentlich kommt, um das Büro der Geschäftsführung zu saugen, Einblick in Unterlagen mit personenbezogenen Daten enthält. Vielleicht liegt die Krankmeldung eines Mitarbeiters auf dem Tisch, oder ein Gutachten für einen Patienten, etc.
Die Reinigungsfirma ist mit Sicherheit nicht in eine Datenverarbeitung involviert, schließlich besteht deren Kerntätigkeit darin, Raumkosmetik zu betreiben. Dennoch erhält sie unter Umständen Einblick in personenbezogene Daten, oder sogar in besondere Kategorien von Daten.
Aufgrund dieser Einsicht ist es erforderlich mit Dienstleistern eine entsprechende Geheimhaltungsvereinbarung zu schließen, um sicher zu stellen, dass mit der erlangten Erkenntnis keine Nachteile für den Betroffenen entstehen.
Interne Dokumente zur Etablierung des Datenschutzes (Datenschutzkonzept, IT-Richtlinie und Co.)
Wie schon die vorangegangenen Unterthemen zeigen, ist Datenschutz eng mit Dokumentation verbunden. Es gibt eine ganze Reihe elementarer Dokumente, die in Unternehmen oder Pflegeeinrichtungen den Datenschutz gewährleisten sollen. Oftmals sind sie mit das Erste was sich eine Aufsichtsbehörde im Fall einer Prüfung vorlegen lässt.
Nun wird noch auf einige weitere Dokumente eingegangen, die essentiell sind, um den Datenschutz zu etablieren.
Datenschutzkonzept: Ein Datenschutzkonzept/eine Datenschutzrichtlinie ist wichtig für die Organisation des Datenschutzes in einer Pflegeeinrichtung. Mitarbeiterinnen und Mitarbeiter haben auf diese Weise einen allgemeinen Leitfaden zum Verhalten im Umgang mit personenbezogenen Daten. Eine direkte Pflicht dazu gibt es in der DSGVO nicht. Jedoch lässt sie sich indirekt aus dem Gesetz herauslesen.
Alle diese Eckdaten lassen sich in einem Datenschutzkonzept gut zusammenfassen. Ergänzend dazu können durch die Datenschutzrichtlinie auch Datenschutzziele einer Pflegeeinrichtung konkret definieren.
Und damit so ein Datenschutzkonzept wirklich auch für Mitarbeiter als Leitlinie gelten kann, empfiehlt es sich, den Geltungsbereich, Begriffsdefinitionen, den Datenschutzbeauftragten, einen Überblick über die TOM´s, die Rechte Betroffener und einen Hinweis auf den Umgang mit Datenpannen, aufzunehmen.
IT-Richtlinie/IT-Sicherheitskonzept: Eine IT-Sicherheitsrichtlinie ist wichtig für den Schutz von personenbezogenen Daten. Mitarbeiterinnen und Mitarbeiter benötigen verbindliche Vorgaben für die Nutzung von IT-Equipment. Diese Vorgaben sollen die personenbezogenen Daten, die in einer Pflegeeinrichtung erhoben und verarbeitet werden, schützen.
In einem solchen Konzept werden Regeln definiert, die von allen an der Verarbeitung personenbezogener Daten Beteiligten umzusetzen sind. Dabei ist unerheblich, ob es sich um die eigentlichen Administratoren oder um „normale“ Mitarbeiter hält. Selbst Dienstleister sind nicht ausgenommen. Denn, wie vorher erwähnt, gilt es bei der Auswahl von Dienstleistern darauf zu achten, dass auch deren Datenschutzniveau dem Risiko angemessen ist.
Die IT-Richtlinie sollte festlegen, wie die zur Verfügung gestellte Hard- und Software zu verwenden ist (also z. B. muss festgelegt werden, ob es eine private Nutzung des Internets am PC im Stationszimmer geben darf, oder die Verwendung der beruflichen Email-Adresse auch für private Zwecke).
Die Arbeitsplatzgestaltung fällt ebenfalls mit in den Wirkungsbereich der IT-Richtlinie. Eine Regelung zum Gebrauch des Passwortes kann entweder direkt hier, oder separat in einer Kennwortrichtlinie, fixiert werden.
Empfehlenswert auch, ein Hinweis, was zu tun ist, wenn ein Sicherheitsvorfall bemerkt wird.
Ein IT-Konzept geht noch mehr ins Detail. Greift es doch Bereiche auf, wie z. B. die Infrastruktur/Räumlichkeiten einer Einrichtung, genutzte Server, mobile Geräte, Netzwerkpläne sowie zusätzlich die technisch-organisatorischen Maßnahmen.
Klar ist, je größer eine Einrichtung, je mehr Mitarbeiter, je umfangreicher die genutzte IT ist, desto ausführlicher und stichhaltiger muss eine IT-Richtlinie ausfallen. Unter Umständen empfiehlt sich die Erstellung eines IT-Notfallkonzeptes.
Und da die IT-Sicherheit dem stetigen Wandel unterworfen isst, muss eine solche Richtlinie oder ein entsprechendes Konzept permanent im Auge behalten werden, um das Schutzniveau unter Berücksichtigung des Stands der Technik weiterhin gewährleisten zu können.
DSGVO, DSG-EKD und KDG fordern beinahe identisch, dass ein Unternehmen oder eine Pflegeeinrichtung Maßnahmen im Bereich Technik entsprechend dokumentiert und nachweisen kann. Für die evangelische Kirche und die Diakonie gilt darüber hinaus noch die IT-Sicherheitsverordnung der EKD. Basis hierfür ist §9 Abs. 2 DSG-EKD, wo festgelegt ist, dass jede kirchliche Stelle zur Gewährleistung von IT-Sicherheit verpflichtet ist.
Klare Antwort: Zwar ist Dokumentation nervig und lästig – aber gerade im Bereich Datenschutz auch elementar, um der Verpflichtung als Verantwortlicher im Sinne der Datenschutzgrundverordnung nachzukommen.
Wenn Sie nicht sicher sind, ob Ihre Pflegeeinrichtung alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!