Pflegedienste zu Bestellung eines Datenschutzbeauftragten verpflichtet? Und zwar stellt wird in unserer Praxis immer wieder diese Frage. Außerdem ist dazu vorrangig von Interesse, welche Konsequenzen bei einem Verstoß drohen, wenn einschlägige gesetzliche Vorgaben missachtet werden. Die wesentlichen datenschutzrechtlichen Vorgaben sind im Bundesdatenschutzgesetz geregelt.
Pflegedienste zur Bestellung eines Datenschutzbeauftragten verpflichtet? Grundlegende gesetzliche Vorschrift
Die Verpflichtung des Betreibers eines privaten Pflegedienstes zur Bestellung eines Datenschutzbeauftragten ergibt sich aus § 4f BDSG.
Gemäß § 4f Abs. 1 S. 1 BDSG haben nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, schriftlich einen Beauftragten für den Datenschutz zu bestellen. Voraussetzung für die Anwendbarkeit des BDSG ist also zunächst, dass nicht-öffentliche Stellen personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen (d.h. automatisiert) verarbeiten, d.h. solche Daten Speichern, Verändern, Übermitteln, Sperren und/oder Löschen. Bei einem privat betriebenen Pflegedienst, gleich welcher Rechtsform (Einzelunternehmen, GbR, GmbH), dürfte es sich unproblematisch um eine nicht-öffentliche Stelle in diesem Sinne handeln. Das Merkmal der elektronischen Verarbeitung dürfte unabhängig davon, ob z.B. Daten im Rahmen der Leistungserbringung sofort elektronisch erfasst werden, schon allein deshalb erfüllt sein, weil im Rahmen der Abrechnung mittels DTA die Abrechnungsdaten elektronisch an die Abrechnungsstellen übertragen werden müssen.
Soweit das Gesetz in § 4f Abs. 1 S. 3 und 4 BDSG bestimmte Grenzen hinsichtlich der mit der automatisierten Verarbeitung personenbezogener Daten beschäftigter Personen aufstellt, dürften diese Grenzen für Pflegedienste irrelevant sein.
Vielmehr dürfte aus § 4f Abs. 1 S. 6 BDSG zu entnehmen sein, dass ein Pflegedienst unabhängig von der Betriebsgröße einen Datenschutzbeauftragten zu bestellen hat.
Gemäß § 4f Abs. 1 S. 6 BDSG haben nämlich nicht-öffentliche Stellen soweit sie automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
Pflegedienste zu Bestellung eines Datenschutzbeauftragten verpflichtet? Verpflichtung zur Vorabkontrolle
Unter welchen Voraussetzungen eine Vorabkontrolle in diesem Sinne zu erfolgen hat, bestimmt sich insbesondere nach § 4d Abs. 5 S. 1 und S. 2 Nr. 1 BDSG. Danach unterliegen automatisierte Verarbeitungen, soweit sie besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) verarbeitet werden.
Besondere Arten personenbezogener Daten sind gemäß § 3 Abs. 9 BDSG insbesondere Angaben über die Gesundheit.
Solche „Angaben über die Gesundheit“ dürfte ein jeder Pflegedienst jeden Tag in einer Vielzahl erfassen. Nach den gesetzlichen und vertraglichen Vereinbarungen ist ein jeder Pflegedienst zu umfangreichen Dokumentation seiner Tätigkeiten, insbesondere auch zu den durchgeführten Verrichtungen, verpflichtet.
Da somit im Rahmen der vom Pflegedienst zu führenden Dokumentation solche Angaben über die Gesundheit erhoben werden, hat also eine Vorabkontrolle zu erfolgen. Weil eine solche Vorabkontrolle erforderlich ist, ist unabhängig von der Betriebsgröße ein Datenschutzbeauftragter zu bestellen.
Anforderungen an die Person des Datenschutzbeauftragten
Pflegedienste sind danach zur Bestellung eines Datenschutzbeauftragten verpflichtet. Die Anforderungen an die konkrete Person des Datenschutzbeauftragten ergeben sich aus § 4f Abs. 2 BDSG.
Nach Satz 1 dieser Norm darf zum Beauftragten für den Datenschutz nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich gemäß Satz 2 insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.
Die vom Gesetz geforderte Fachkunde orientiert sich damit also an den Gegebenheiten des jeweiligen Betriebes.
Allgemein festhalten lässt sich nur, dass der Datenschutzbeauftragte über ein gewisses Maß an Grundwissen über die rechtlichen, technischen und organisatorischen Voraussetzungen datenschutzgerechter Verarbeitung personenbezogener Daten verfügen sollte – zumal die Aufsichtsbehörde im Rahmen von Prüfungen den Nachweis der Fachkunde verlangen kann. Außerdem wird ein nicht ausgebildeter Datenschutzbeauftragter schwerlich seinen gesetzlichen Hinwirkungsauftrag (§ 4g Abs. 1 S. 1 BDSG) erfüllen können auch die Wahrung der Interessen der Betroffenen setzt zumindest Grundkenntnisse voraus.
Hervorzuheben ist, dass gemäß Satz 3 auch eine Person außerhalb der verantwortlichen Stelle zum Beauftragten für den Datenschutz kann bestellt werden kann. Die Kontrollbefugnis eines externen Datenschutzbeauftragten erstreckt sich auch auf personenbezogene Daten, die einem Berufsgeheimnis unterliegen.
Frist zur Bestellung
Schließlich muss der Datenschutzbeauftragte von der nicht-öffentlichen Stelle innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit bestellt werden, § 4f Abs. 1 S. 2 BDSG.
Ordnungswidrigkeit
Pflegedienste sind also zur Bestellung eines Datenschutzbeauftragten verpflichtet. Wird der Datenschutzbeauftragte nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar. Diese ist gemäß § 43 Abs. 1 Nr. 2, Abs. 3 BDSG mit einer Geldbuße von bis zu € 25.000,00 bedroht.
Dazu siehe auch:
https://raheinemann.de/arbeitslosengeld-an-der-supermarktkasse-und-sozialdatenschutz/