Ambulante Pflegedienste: Verarbeitung von GPS-Daten in Pflegedokumentationssystemen macht Datenschutzfolgenabschätzung erforderlich

PrintMailRate-it

veröffentlicht am 31. Juli 2019

 

Ambulante Pflegedienste sollten unbedingt eine Datenschutzfolgenabschätzung erstellen, wenn sie eine Pflegedokumentationssoftware einsetzen, die auch die GPS-Daten des Mitarbeiters auswertet. Ein aktuelles Teilurteil des VG Lüneburg zeigt auf, wie hoch dabei die Ansprüche an die Nachweisführung des überwiegenden betrieblichen Interesses des Arbeitgebers zu setzen sind.

 

Die Datenschutzfolgenabschätzung ist in Artikel 35 der DSGVO geregelt. Sie muss für alle Verarbeitungstätigkeiten erstellt werden, die „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge” haben. Neben der Beschreibung der Verarbeitungstätigkeit muss sie eine Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck, eine Risikobewertung mit der Perspektive der Betroffenen sowie eine Aufstellung der gegen diese Risiken ergriffenen Gegenmaßnahmen enthalten.


Die Datenschutzkonferenz als Gremium der deutschen Datenschutzaufsichtsbehörden hat eine Liste von Tätigkeiten aufgestellt, bei denen eine Datenschutzfolgenabschätzung in jedem Fall erforderlich ist (sog. Blacklist). Darin ist der Punkt enthalten „Verarbeitung von umfangreichen personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden”. Die DSK nennt in ihren Erläuterungen dazu ausdrücklich die Geolokalisierung von Beschäftigten als Beispiel.


Unsere regelmäßig vorgenommene Analyse von Pflegemanagementsoftware zeigt für diejenigen Produkte, die für die ambulante Pflege konzipiert sind, dass die Verarbeitung von GPS-Daten praktisch zum Marktstandard dieser Systeme zählt. Bereits seit dem Vorliegen der Blacklist der DSK zur Datenschutzfolgenabschätzung im Oktober 2018 ist damit klar, dass eine Datenschutzfolgenabschätzung durch den Pflegedienst bereits dann zwingend erforderlich ist, wenn diese Funktion in dem System technisch funktionsfähig ist.


Aktuell unterstreicht ein Teilurteil des VG Lüneburg diese Notwendigkeit in Bezug auf Geolokalisierungssysteme besonders deutlich (Az. 4 A 12/19). In dem vorliegenden Fall ging es um ein Gebäudereinigungsunternehmen. Eine ehemalige Mitarbeiterin hatte sich bei der Datenschutzaufsicht darüber beschwert, dass die Firmenfahrzeuge mit GPS-Ortung ausgestattet seien und dieses System die Daten über einen Zeitraum von 150 Tagen speichere. Diese hatte ein Kontrollverfahren nach dem alten BDSG eingeleitet und in dem abschließenden Bescheid angeordnet, dass das Gebäudereinigungsunternehmen „die Erhebung, Verarbeitung und Nutzung von Beschäftigungsdaten durch Ortungssysteme so [gestaltet], dass eine personenbezogene Ortung während der ordnungsgemäßen betrieblichen Nutzung der Fahrzeuge nicht erfolgt.” Die Klage des Gebäudereinigungsunternehmens gegen diesen Bescheid wurde in dem Urteil nunmehr abgewiesen.


Aus dem Kontext des Urteils ergeben sich auch Hinweise darauf, auf welche Sachverhalte und Notwendigkeiten in der Datenschutzfolgenabschätzung, soweit es um Geolokalisierung geht, unbedingt eingegangen werden sollte. Im Hinblick auf das betreffende Gebäudereinigungsunternehmen wurde es als nicht erforderlich eingestuft, dass der Arbeitgeber Daten des Ortungssystems für den Nachweis für geleistete Tätigkeiten gegenüber den Auftraggebern benötige. Auch der Zweck der Tourenplanung und das dafür erforderliche kurzfristige Umplanen von Einsatztouren, beispielsweise auf Grund von Erkrankungen, Unfällen oder Staus, wurde nicht als ausreichender Grund erachtet, um das Mittel der Geolokalisierung der Fahrzeuge zu rechtfertigen. Schließlich wurde auch das Argument des Unternehmens verworfen, dass die Geolokalisierung zur Überwachung des Verbots von Wochenend- und Privatfahrten erforderlich sei, da das Unternehmen zu der Frage, inwieweit Privatfahrten erlaubt seien, widersprüchliche Angaben gemacht hatte.


Die Anforderungen an die Bewertung der Notwendigkeit und der Verhältnismäßigkeit im Rahmen der Datenschutzfolgenabschätzung zur Geolokalisierung sind damit abermals gestiegen. Im Bereich der ambulanten Pflege stellen sicherlich die notwendige jederzeitige Gewährleistung des Klientenwohls wie auch die Erfordernisse in dem Detaillierungsgrad der Abrechnungen gegenüber den Kostenträgern wichtige Gesichtspunkte im Rahmen der Abwägung dar. Die Frage, wie lange Geodaten gespeichert werden, wie sich deren Löschung nachweisen lässt und warum diese Speicherdauer tatsächlich erforderlich ist, sollte unbedingt konkret beantwortet werden.

 

Bei Nichtvorliegen einer Datenschutzfolgenabschätzung für eine Verarbeitungstätigkeit, für die eine solche erforderlich wäre, droht nach Art. 83 Abs. 4 lit. a DSGVO eine Geldbuße von bis zu 2 Prozent des Jahresumsatzes bzw. bis zu 10 Millionen Euro. In einem solchen Fall besteht regelmäßig auch die Gefahr eines Organisationsverschuldens und damit ein persönliches Risiko für die gesetzlichen Vertreter einer Organisation, auch dann, wenn diese ausschließlich ehrenamtlich tätig sind.


Rödl & Partner unterstützt zahlreiche Unternehmen der Sozialwirtschaft bei der Erstellung datenschutzrelevanter Dokumentationen wie z.B. Verarbeitungsverzeichnisse und Datenschutzfolgenabschätzungen und führt entsprechende Datenschutzaudits durch.

 

 

 E-Learning Datenschutz Banner

 

 

______________________________________________________________

Quellen:

 

 

Aus dem Newsletter

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu