Digitales Verbandbuch vs Datenschutz

18. Februar 2022

Immer mehr ehemals analoge Verarbeitungstätigkeiten werden als digitale Lösungen angeboten und genutzt. Dies verspricht sicherlich in einigen Bereichen erhebliche Arbeitserleichterungen, birgt jedoch auch größere Risiken. Da mehr und mehr unserer Daten in digitaler Form vorkommen und immer mehr davon online geteilt werden, bekommt Datenschutz auch eine immer größere Gewichtung.

Gerne möchte ich Ihnen dieses Thema anhand eines Beispiels erläutern, welches für alle Unternehmen relevant ist:

Das digitale Verbandbuch im Datenschutz-Check

Jedes Unternehmen ist aufgrund der deutschen gesetzlichen Unfallversicherung (Unfallverhütungsvorschriften) verpflichtet, ein Verbandbuch zur Dokumentation von Erste-Hilfe-Leistungen zu führen. Hierbei gibt es keine Formvorschrift. So ist z.B. auch denkbar, dass der "alte" orangefarbene Koffer mit dem Dokumentationsblock gegen ein digitales Verbandbuch (oder auch "Online-Verbandbuch") ersetzt wird.

Hier wird dann z.B. ein QR-Code zum Aufruf des Fragebogens zur Erste-Hilfe-Leistung angebracht.

Grundsätzlich sind mit einem digitalen Verbandsbuch aus Sicht des Datenschutzes auch einige Vorteile verbunden, sofern die Speicherung der Daten in Deutschland bzw. Europa (im Geltungsbereich der Datenschutzgrundverordnung) erfolgt. So ist z.B. die Einsichtnahme Dritter nicht möglich, da ein striktes Berechtigungskonzept automatisch hinterlegt werden kann. Zudem werden standardisiert nur notwendige Daten abgefragt. Auch die Einhaltung der gesetzlichen Aufbewahrungsfrist von 5 Jahren erfolgt automatisiert. 

Datenschutzgrundsätze für ein digitales Verbandbuch

Die Einhaltung der Datenschutzgrundsätze gemäß Art. 5 DSGVO kann man anhand der folgenden Checkliste überprüfen:

Die Einhaltung der Datenschutzgrundsätze gemäß Art. 5 DSGVO kann man anhand dieser Checkliste überprüfen:

  1. Rechtmäßigkeit der Verarbeitung: gesetzliche Verpflichtung Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit DGUV § 24 Abs. 6 
  2. Transparenz, Treu und Glauben: Mitarbeiterinformation zum Datenschutz muss ggfs. um diese Verarbeitung ergänzt werden
  3. Datenminimierung: es werden nur notwendige Daten abgefragt
  4. Speicherbegrenzung: Löschfristen werden automatisiert eingehalten
  5. Zweckbindung: nur für Arbeitsunfälle / Erste-Hilfe-Leistungen
  6. Richtigkeit: vom Mitarbeiter selbst eingegebene Daten
  7. Integrität und Vertraulichkeit: Rollen-/Berechtigungskonzept
  8. Verhältnismäßigkeit: nur erforderliche Daten

Datenschutzgrundsatz

Umsetzung durch:

Rechtmäßigkeit der Verarbeitung

Gesetzliche Verpflichtung Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit DGUV § 24 Abs. 6

Transparenz, Treu und Glauben

Mitarbeiterinformation zum Datenschutz muss ggfs. um diese Verarbeitung ergänzt werden

Datenminimierung

Es werden nur notwendige Daten abgefragt

Speicherbegrenzung

Löschfristen werden automatisiert eingehalten

Zweckbindung

Nur für Arbeitsunfälle / Erste-Hilfe-Leistungen

Richtigkeit

Vom Mitarbeiter selbst eingegebene Daten

Integrität und Vertraulichkeit

Rollen-/Berechtigungskonzept

Verhältnismäßigkeit

Nur erforderliche Daten

Herausforderung & Lösungen zum Datenschutz bei digitalen Verbandbüchern

Aus Sicht des Datenschutzes steht der Nutzung eines datenschutzkonformen (europäischen) digitalen Verbandbuches also offenbar nichts im Wege.
ABER: Bei Eingabe einer Erste-Hilfe-Leistung in das Online-Verbandbuch mittels QR-Code wird oft ein Mobiltelefon verwendet. Hier taucht das Problem auf, dass nicht jeder Mitarbeiter ein dienstliches Mobiltelefon nutzt.

Da der Arbeitgeber seinen Mitarbeiter aus verschiedenen Gründen nicht zwingen kann, das private Handy zur Eingabe in das Online-Verbandbuch zu nutzen, bieten sich nun zwei praktikable Lösungswege:

  • Entweder wird ein Dienstgerät für die Eintragung ins Verbandsbuch zur Verfügung gestellt,
  • oder der alleinige Einsatz des Online-Verbandsbuches ist nicht möglich und es muss eine entsprechende Alternative zur Eintragung ins Verbandsbuch zur Verfügung gestellt werden. Dies kann z.B. durch das Aushängen von Papiervordrucken erfolgen. Durch diese Alternative würde die Nutzung des Privatgerätes zur Abgabe der (einfacheren und schnelleren) Online-Lösung für den Mitarbeiter freiwillig, da er eine echte Wahl hat.

Fazit

Neben datenschutzrechtlichen Aspekten müssen immer auch noch weitere Risikofaktoren berücksichtigt und abgewogen werden. So können z.B. Zusatzvereinbarungen oder weitere Maßnahmen notwendig sein, um gewisse Projekte bzw. neue Verarbeitungswege umsetzen zu können. Bei Fragen hierzu helfen wir Ihnen gerne weiter.

Katrin Dahmen

Katrin Dahmen
Weitere blogartikel
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Erhalten Sie unsere unverbindliche Updates über Neuerungen im Datenschutz & weiteren Compliance-Themen:

Compliance-Newsletter-zu-rechtlichen-und-aktuellen-Themen--exkulpa-gmbh

Mit Abonnieren des Newsletters erklären Sie sich mit dem Erhalt von E-Mails zu o.g. Themen einverstanden. Weiterhin willigen Sie ein, dass wir die Öffnungs- und Klickraten unserer Newsletter erheben und in Empfängerprofilen zusammenfassen, zum Zwecke der Personalisierung und Gestaltung zukünftiger Newsletter. Ihre Einwilligung kann jederzeit widerrufen werden. Nähere Informationen erhalten Sie in unserer Datenschutzerklärung.

>