Mit der DSGVO ist sehr viel
Verwaltungsaufwand entstanden. Ein jeder Dienstleister muss sich mit dem Thema
auseinandersetzen, weil das individuelle Schutzrecht bei der Verarbeitung von
personenbezogenen Daten gestärkt worden ist und ein Fehlverhalten drakonisch
geahndet werden kann. Diesem Risiko sollte man sich nicht aussetzen und etwas
unternehmen – auch wenn es recht „einfältig“ arrangiert wurde.
Worum es jetzt hier geht, ist
ein Beispiel aus der Praxis. Es hat bei diesem Leistungserbringer für eine
Bandbreite an Leistungen aus der Behindertenhilfe etwas gedauert, aber nun ist
ein zweiseitiges Pamphlet erschienen mit „Hinweisen zur Datenverarbeitung“ oder
auch „Datenschutzhinweisen für Patienten nach Art. 13. DSGVO“.
Da wird man plötzlich stutzig.
Ein
Leistungserbringer hat jetzt nach längerer Zeit endlich „Hinweise zur
Datenverarbeitung“ an seine Kunden (Leistungsberechtigte) verteilt. Es finden
sich eine Reihe von Eigen- und Besonderheiten (die aber nicht immer falsch sein
müssen).
Hier
eine Auswahl:
- Leistungserbringer ist eine Stiftung, aber die Ausführung der Leistungen obliegt einer gGmbH. Verantwortlich ist also nach wie vor die Stiftung,
vertreten durch ihre Geschäftsführung in Person (Art. 30 DSGVO), auch wenn
immer wieder Bezug genommen wird auf die andere Körperschaft.
Die datenverarbeitende Körperschaft muss ein Verzeichnis
von Verarbeitungstätigkeiten führen, in denen u.a. die Namen und Kontaktdaten
aller Verantwortlichen enthalten sind (es gibt allerdings in wenigen Fällen
Erleichterungen; Abs. 3). In den Datenschutzhinweisen an die Kunden sollte eine
namentliche Benennung erfolgen. Doch in den Datenschutzhinweisen an die
Allgemeinheit ist die Namensnennung anscheinend nicht zwingend vorgeschrieben.
Statt jetzt eine bestimmte Person als Verantwortliche aufzuführen, könnte es
anscheinend auch eine Körperschaft sein.
Wenn Personen nun benannt sind, sollte dies insbesondere
für die Kunden klar und deutlich geschehen und eine Vermischung mit anderen
Angaben am besten unterbleiben.
- Es finden sich manchmal Vermischungen bei den Begriffen, was das Lesen
etwas erschwert. Man spricht mal von den drei Leistungen „Förderung, Betreuung
und / oder Beratung“, dann wieder von „Betreuten“ oder sogar „Patienten“.
Wird ein Mensch mit geistiger Behinderung, der eine
Schulbegleitung als Hilfen nach § 54 SGB XII erhält, jetzt zum „Patienten“? –
Welche Sichtweise herrscht bei den Verantwortlichen auf diese Menschen vor,
muss man sich unwillkürlich fragen.
- Der Zweck für die Datenerhebung muss herausgestellt werden, damit ein
Verständnis darüber entsteht, welche Daten erforderlich sind für die
Verarbeitung. Doch weil es verschiedene Leistungen gibt, sollte immer wieder
ein Zusammenhang hergestellt werden, welche Daten für genau welchen Zweck
gebraucht werden. Eine loses Auflisten aller möglichen Daten und aller
möglichen Zwecke genügt den Vorgaben nach Art. 13 DSGVO keineswegs.
Was man ebenfalls vermeiden sollte, sind Formulierungen,
die bedrohlich wirken; zum Beispiel: „Die Erhebung dieser Daten erfolgt, zur …
Geltendmachung etwaiger Ansprüche gegen Sie.“
Vielleicht wollte man hier auf Art. 18 und Art. 19 Abs. 3
DSGVO anspielen, aber das wäre dann misslungen.
- Das Löschen der erhobenen Daten soll erst nach Ablauf der „gesetzlichen“
Fristen erfolgen. Dies soll „i.d.R. 10 Jahre nach Ablauf des Kalenderjahres, in
dem das Betreuungsverhältnis beendet wurde,“ geschehen.
Im Prinzip wäre das richtig, doch wenn noch im Folgejahr
ein Schriftverkehr stattgefunden hat über das bereits beendete
Betreuungsverhältnis, so wären diese Unterlagen noch zehn Jahre danach
aufzubewahren (vgl. dazu § 257 Abs. 4 HGB). Doch dies betrifft eigentlich nur
„Handelsbriefe“ – also Daten, die für Zwecke einer Abrechnung benötigt werden.
Dagegen könnten „Anamesen, Diagnosen, Medikation, Konfektionsgrößen, …“ recht
zügig vernichtet werden, wenn sie keine Relevanz für den Vertrag mit sich
bringen.
Viel gravierender ist aber im vorliegenden Text die
weitere Formulierung. Es geht um die vorgenannten „10 Jahre“ und der Löschung
danach, „… es sei denn, dass wir [die Verantwortlichen] nach Artikel 6
Abs. 1 S. 1 lit. c DSGVO [Die
Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
der der Verantwortliche unterliegt] aufgrund
von steuer- und handelsrechtlichen Aufbewahrungs- und Dokumentationspflichten
(aus SGB, HGB, StGB oder AO) zu einer
längeren Speicherung verpflichtet sind oder Sie in eine darüber hinausgehende
Speicherung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO [Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie
betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke
gegeben] eingewilligt haben.“ (Fettdruck
von mir).
Das muss man sich vergegenwärtigen: Die Verantwortlichen
des datenverarbeitenden Unternehmens erklären, dass sie von einer
Aufbewahrungspflicht ausgehen, die „in der Regel 10 Jahre“ andauert oder
eventuell sogar länger. Und diese Fristen sollen sich aus den verschiedenen
Sozialgesetzbüchern (welche es sind, wurde hier nicht genannt), Handels- und
Steuergesetzen sowie dem Strafgesetzbuch ergeben. Das ist sehr ungenau und für
einen Betroffenen nicht nachvollziehbar. Will man sich vorsichtshalber auf § 78
StGB beziehen und wird man zu einer Strafverfolgungsbehörde? – das wäre sehr
anmaßend.
- Es wird in einem völlig neuen Abschnitt erklärt,
dass die Übermittlung der persönlichen Daten an Dritte zu anderen, „als den im
Folgenden aufgeführten Zwecken“ nicht stattfindet. Diese Aussage wäre
grundsätzlich eine gute Einleitung, doch die an dieser Stelle genannten Zwecke
weichen von den Zwecken im vorherigen Abschnitt ab – und das ist somit falsch.
Man hätte hier diejenigen
benennen müssen, die nun Empfänger dieser weitergegebenen Daten geworden sind
und dass sie ein ebenso hohes Maß an Datenschutz einhalten. Die Hinweise auf
die „sorgfältige“ Auswahl und angeblich „regelmäßige“ Kontrolle sind nicht
konkret. Der Verweis auf Art. 6 Abs. 1 S. 1 lit. b DSGVO, welcher die Vertragserfüllung betrifft,
ist zudem ebenfalls nicht hilfreich. Stattdessen hätte man herausstellen
müssen, dass es bei der Verarbeitung um „lebenswichtige Interessen der
betroffenen Person“ geht (Buchstabe d).
Viele Punkte gibt es, die man kritisch hinterfragen muss.
Was einen dabei erstaunt ist, dass diejenigen, die mit dem Datenschutz
beauftragt worden sind, vom Fach sein sollen – also Experten. Weil es aber hier
um Sozialdaten geht, die teilweise sehr private Details beinhalten, sollte eine
Sammlung an Hinweisen etwas verantwortlicher und rücksichtsvoller formuliert
sein. Auch die besonderen Belange von Kindern, die man zum Beispiel in
besonderen Tagesstätten oder in der Begleitungsarbeit (z.B. in
Freizeitmaßnahmen, Pflegearbeit, Eingliederungshilfe) betreut, müssen eine
besondere Beachtung erfahren. Das fehlt alles hier – ist nicht vorhanden.
Keinen guten Eindruck macht es, dass der Widerruf an eine
Email gesendet werden soll, die es so beim datenverarbeitenden Unternehmen gar
nicht gibt.
CGS
Bitte lesen Sie die Hinweise
zum Rechtsstatus der Webseite, Urheberrechtsbestimmungen und Haftungsausschluss
sowie die Datenschutzerklärung.
Hat Ihnen der Beitrag gefallen?
Empfehlen Sie ein//gegliedert
weiter oder klicken Sie gleich reihum auf die Überschriften – ersetzt das
Applaudieren.
Gibt es was zu meckern?
Schreiben Sie mir eine Email – gerne auch per Trash-Mailer, wenn Sie Anonymität bewahren
wollen. Ihre Meinung hilft mir, meine Perspektive neu zu überdenken. Meine
Email-Adresse finden Sie auf der Seite Über mich.
Datenschutzhinweis aus der Praxis –
eingegliedert.blogspot.com