Mit der rasanten Zunahme digitaler Daten und der wachsenden Sensibilität für den Schutz personenbezogener Informationen hat die Notwendigkeit eines Datenschutzbeauftragten (DSB) stark zugenommen. Doch wie sind die gesetzlichen Anforderungen und ab wann ist die Benennung eines Datenschutz-beauftragten in Pflegeeinrichtungen vorgeschrieben?
Art. 37 DSGVO gibt hierzu folgendes vor:
(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Was bedeutet das jetzt für Pflegeeinrichtungen und was ist eine umfangreiche Verarbeitung besonderer Kategorien von Daten?
Unter die besonderen Kategorien von Daten nach Art. 9 der DSGVO fallen Daten wie:
- Rassische und ethnische Herkunft (z.B. Bewerbungsfotos)
- Politische Meinung (z.B. Aktivitäten im Ehrenamt)
- Religiöse oder weltanschauliche Überzeugungen (z.B. Daten über Konfession)
- Gewerkschaftszugehörigkeit
- Genetische sowie biometrische Daten zur eindeutigen Identifikation (z.B. Fotos, Iris-Scan, Fingerabdruck-Scan)
- Gesundheitsdaten (z.B. Krankentage, Krankenscheine, BEM-Unterlagen, Ergebnis einer betriebsärztlichen Untersuchung)
Somit ist klar, dass eine Pflegeeinrichtung in jedem Falle besondere Kategorien von Daten, nämlich Gesundheitsdaten verarbeitet. Doch was heißt „die umfangreiche Verarbeitung“? Fest steht, eine Bestellpflicht eines Datenschutzbeauftragten besteht dann, wenn die Kerntätigkeit, die umfangreiche Verarbeitung besonderer Kategorien umfasst. Wie immer lassen sich etwaige Punkte in der Theorie unterschiedlich auslegen, doch kommen wir zur Praxis.
In Pflegeeinrichtungen geht es längst nicht mehr nur um Pflege, Medikamentengabe und Hilfestellung für bedürftige Personen. Der Arbeitsalltag einer Pflegefachkraft besteht zum Großteil aus der Pflegedokumentation in der tägliche Vitalwerte, tägliche Medikamentengabe, Auffälligkeiten während der Pflege, persönliche Umstände des Patienten bis hin zur Biografie des Patienten festgehalten werden. Anhand der Vielzahl der Punkte, die so eine Dokumentation beinhalten muss, lässt sich ein ungefährer Eindruck davon gewinnen, in welchem Rahmen sich die wirkliche Kerntätigkeit einer Pflegefachkraft befindet.
Stellt sich danach immer noch die Frage, ob die Kerntätigkeit wirklich in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht, ist eine Bestellpflicht in jedem Fall dann vorhanden, wenn mindestens 20 Personen mit der ständigen automatisierten Verarbeitung von Daten betraut sind. Ein wichtiger Hinweis an der Stelle sollte sein, dass es sich bei der automatisierten Verarbeitung nicht zwangsläufig um eine direkte digitale Verarbeitung handelt, sondern auch dann, wenn Daten schriftlich aufgezeichnet und strukturiert werden und in einem Dateisystem gespeichert werden. Ein Dateisystem bedeutet hierbei nicht ein digitales Computersystem, sondern die DSGVO bezeichnet jede strukturierte Sammlung, personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird (Art. 4 Nr. 6 DSGVO).
FAZIT:
Es lohnt sich über die Bestellung eines Datenschutzbeauftragten nachzudenken, um unnötigem Stress aus dem Weg zu gehen. Es ist nachvollziehbar, dass es nicht immer einfach ist, sich im stressigen Alltag auch noch mit Themen, wie dem Datenschutz auseinander zu setzen, doch wer sich von Beginn an kümmert und ein ordnungsgemäßes Datenschutzkonzept gemeinsam mit einem Experten erarbeitet, erspart sich nicht nur großen Ärger, sondern doppelte Arbeit im Falle einer drohenden Prüfung durch die Aufsichtsbehörden mit einem dicken Bußgeld im Schlepptau.