Krankheit oder eine Behinderung schränken Menschen oft in Ihrem aktiven Leben ein und können sich in den unterschiedlichsten Bereichen des Alltags auswirken. Hier kommt oft ein Betreuer, eine Betreuerin ins Spiel. Auch bei rechtlichen Angelegenheiten kann eine Betreuung sinnvoll sein, so z. B. bei älteren Menschen oder Volljährigen, die aufgrund einer Krankheit oder einer Behinderung nicht mehr in der Lage sind, alleine diese Angelegenheiten zu regeln. In solchen Fällen erhält die betroffene Person von Amts Wegen oder auf Antrag einen Betreuer. Ab diesen Zeitpunkt übernimmt dieser alle Angelegenheiten für die betreute Person (vgl. hier). Innerhalb des Betreuungszeitraums hat der Betreuer vollen Zugriff auf die personenbezogenen Daten der betreuten Person. Geht das Betreuungsverhältnis auseinander, fragt sich die betreute Person oft, welche Daten der ehemalige Betreuer noch hat.
Aus datenschutzrechtlicher Sicht stellt sich nun die spannende Frage, wie der ehemalige berufsmäßige Betreuende zu behandeln ist. Insbesondere stellt sich die Frage, ob dieser ab den Zeitpunkt, ab dem er nicht mehr berufsmäßig betreut, als eigenständig Verantwortlicher nach Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Die Konsequenz einer eigenen Verantwortlichkeit wäre, dass die ehemals betreute Person nun gegen ihren ehemaligen berufsmäßigen Betreuer sämtliche Betroffenenrechte aus der DSGVO geltend machen könnte.
Genau mit dieser Frage hat sich nun der Europäische Gerichtshof (EuGH) auseinandersetzen müssen (EuGH C:2024:607). Der nachfolgende Blogbeitrag soll einen kurzen Überblick über die verantwortliche Person nach der DSGVO, einen Überblick über den Ausgangsfall und die Entscheidung des EuGHs geben.
Verantwortlicher nach der Datenschutz-Grundverordnung (DSGVO)
Wer verantwortlich nach der DSGVO ist, wird in Art. 4 Nr. 7 DSGVO klar definiert. Demnach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.
Ausgangsfall
Die betroffene Person verlangte gegen den ehemals berufsmäßig bestellten Betreuer unter anderem Auskunft nach Art. 15 der Datenschutz-Grundverordnung (DSGVO) über die über ihn verarbeiteten Daten und klagte dies vor dem Amtsgericht (AG) Hannover ein. Das AG wies die Klage dahingehend mit der Begründung ab, dass „ein im Rahmen seiner Berufsausübung tätiger Betreuer kein „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO sei.“ (vgl. hier; Rn. 12). Der Betroffene legte daraufhin Rechtsmittel gegen das Urteil ein.
Das AG hatte seine Entscheidung mit den nationalen Regelungen zum Betreuungsrecht begründet. Nach dem damals gültigen §1902 des Bürgerlichen Gesetzbuches (BGB) verarbeitet der bestellte Betreuer alle Daten im Namen des Betroffenen, also gar nicht als weitere oder Dritte Person (§1902 BGB ist zum 31.12.2022 weggefallen. Die Regelung ist nun § 1823 BGB.). Daraus lässt sich folgern, dass es an einer Verantwortlichkeit gemäß DSGVO gerade fehlt.
Das Berufungsgericht legte letztlich dem Europäischen Gerichtshof (EuGH) die nachfolgenden Fragen zur Vorabentscheidung nach Art. 267 AEUV vor:
- Ist der gesetzlich bestellte Betreuer, dessen Tätigkeit berufsmäßig ausgeübt wird, Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO?
- Muss dieser Auskunft nach Art. 15 DSGVO erteilen?
Die Entscheidung
Anwendbarkeit des DSGVO
Der EuGH stellt zunächst klar, dass der Anwendungsbereich der DSGVO sehr wohl eröffnet ist. Problematisch ist, dass in diesem Fall der Betreuer aus dem persönlichen Umfeld des zu Betreuenden stammte. Art. 2 Abs. 2 Buchst. c DSGVO greift in diesem Fall jedoch nicht, da es sich bei einem berufsbedingten Betreuer, um eine berufliche Tätigkeit und nicht um eine persönliche oder familiäre Tätigkeit handelt.
Nach Art. 2 Abs. 2 Buchst. c DSGVO ist die DSGVO für diejenigen personenbezogenen Daten nicht anwendbar, die „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ verarbeitet werden. In Erwägungsgrund 18 zur DSGVO wird dies dahingehend präzisiert, dass die familiäre oder persönliche Tätigkeit ohne einen Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit erfolgt. Es spielt daher insbesondere keine Rolle, dass der beteiligte Betreuer aus dem persönlichen Umfeld der betreuten Person stammt.
Verantwortlichkeit eines ehemaligen Betreuers
Die Kommission ordnet einen ehemaligen Betreuer gegenüber der ehemals betreuten Person als dritte Person ein. Aufgrund dieser Tatsache lässt sich ableiten, dass ein ehemaliger Betreuer als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann. (vgl. in diesem Sinne Urteil vom 16. Januar 2024, österreichische Datenschutzbehörde, C‑33/22, EU:C:2024:46, Rn. 54 bis 56).
Auskunftsanspruch
Aufgrund der Tatsache, dass ein ehemaliger Betreuer nun für diejenigen Daten Verantwortlicher im Sinne der DSGVO ist, die er im Rahmen der Betreuung von der betroffenen Person erhalten hat, ist er dieser nun auch zur Durchsetzungen dessen Betroffenenrechte verpflichtet. Hierunter fällt insbesondere auch der Auskunftsanspruch nach Art. 15 DSGVO.
Ergebnis
Die Zweifel des AG sowie die Vorlage beim EuGH waren aufgrund des nationalen Betreuungsrechts durchaus gerechtfertigt. Aufgrund der nationalen Regelungen ist es auch nur schwer denkbar gegenüber einem aktiven Betreuer Betroffenenrechte der betreuten Person geltend zu machen. Die betreute Person würde diese sozusagen gegen sich selbst geltend machen. Bei einem ehemaligen Betreuer kann aber diese Überlegung nicht mehr geführt werden. Denn dieser betreut schließlich nicht mehr und ist folglich wie jeder andere zu behandeln, der einmal personenbezogene Daten für einen anderen verarbeitet hat. Es muss also im Ergebnis genau unterschieden werden, ob es sich um einen noch bestellten oder ehemaligen Betreuer handelt.
6. März 2025 @ 11:23
Nur als Ergänzung, ein gesetzlich bestellter Betreuer kann das Gericht entsprechende Aufgabenkreise definieren. D. h. der Betreuer sieht nicht automatisch alle personenbezogene Daten, wenn dies durch die Aufgabenkreise eingeschränkt ist.