Die erforderliche Aufzeichnung geleisteter Erste-Hilfe-Maßnahmen in Unternehmen, Behörden, Kindertageseinrichtungen und in Schulen erfolgen in der Praxis meist in sogenannten Verbandbüchern. Wie sind diese Aufzeichnungen datenschutzrechtlich zu bewerten und was gilt es bei der Organisation der Aufzeichnungen zu beachten?
“Die in vielen Unternehmen und Einrichtungen vorherrschenden Unsicherheiten gründen meist nur auf fehlendem Detailwissen und lassen sich vielmals ohne Weiteres lösen.” – Matthias Herkert
§ 24 Abs. 6 der DGUV Vorschrift 1 besagt, dass der Unternehmer dafür Sorge zu tragen hat, dass jede Erste-Hilfe-Leistung dokumentiert wird, da diese Aufzeichnungen helfen, Unfallschwerpunkte im Betrieb zu identifizieren und damit eine wichtige Grundlage für die Planung und Organisation der Ersten Hilfe und des betrieblichen Rettungswesens liefern. Weiter besteht hier auch ein versicherungs¬rechtlicher Aspekt, da mit der Aufzeichnung im Einzelfall der Nachweis für das Vorliegen eines Arbeitsunfalls geführt werden kann.
Und spätestens durch diesen Zweck bekommt die Aufzeichnung einen datenschutzrechtlichen Aspekt. Neben Datum und Uhrzeit des Unfalles, dem Ort, Hergang, Art und Umfang der Verletzung sowie dem Datum und der Uhrzeit der Erste-Hilfe-Leistung werden nun auch der Name des Verletzten, der Name des Erste-Hilfe-Leistenden sowie die Namen möglicher Zeugen relevant und in die Aufzeichnung einfließen.
Das Verbandbuch ist datenschutzrechtlich relevant
Völlig unstrittig betreffen die Eintragungen in Verbandsbücher damit ganz zwingend auch personenbezogene Gesundheitsdaten und fallen unter die Regelungen des Art. 9 DSGVO und des § 22 BDSG. Da es sich zudem meist um Daten von Beschäftigten handelt, ist weiterhin auch § 26 BDSG zu beachten.
Die datenschutzsichere Organisation des Verbandbuches
Die Ausgestaltung eines datenschutzrechtlich sinnvollen und zulässigen Umgangs mit dem Thema hängt nun ganz wesentlich davon ab, wie der Prozess im jeweiligen Unternehmen organisiert ist oder zukünftig organisiert werden soll.
Wenn die Eintragungen zum Beispiel nur und ausschließlich durch den oder die Ersthelfer erfolgen, ist der Personenkreis, welcher Einsicht in die Daten hat, begrenzt. Eine regelmäßige oder weiterreichende Verpflichtung und Schulung der Personen kann hier bereits eine sinnvolle und zielführende organisatorische Maßnahme zur Berücksichtigung des Datenschutzes sein. In diesem Fall müsste das Verbandbuch für andere Beschäftigte völlig unzugänglich verschlossen gehalten werden, sodass eine unberechtigte oder „versehentliche“ Kenntnisnahme der Daten zumindest bei vernünftigem Ermessen nicht mehr wahrscheinlich ist.
Sollen die Verletzungen dagegen, wie in der Praxis vielmals üblich, von den Beschäftigten selbst eingetragen werden, ist eine „Eintragung“ in ein fortlaufendes Verbandbuch aus datenschutzrechtlicher Sicht kaum möglich. Unter anderem der DGUV greift hierzu bereits seit längerer Zeit die Idee eines „Dokumentationsbogen“ auf, der alternativ zum klassischen Verbandbuch genutzt werden kann. Der Dokumentationsbogen kann dann ausgefüllt z.B. beim Ersthelfer abgegeben oder in einen verschlossenen „Verbandbriefkasten“ eingeworfen werden.
In keinem Fall sollte das Verbandbuch im Erste-Hilfe-Bereich oder an einer ähnlich exponierten Stelle für alle oder viele Personen zugänglich gelagert und verwahrt werden.
Wie lange muss das Verbandbuch aufgehoben werden?
Gemäß § 24 Abs. 6 DGUV Vorschrift 1 hat der Unternehmer dafür sorgen zu tragen, dass jede Erste-Hilfe-Leistung nach der Dokumentation fünf Jahre lang verfügbar gehalten wird. Anschließend entfällt aus datenschutzrechtlicher Sicht der Zweck einer weiteren Verwahrung und der entsprechende Dokumentationsbogen aus dem Verbandbuch kann nun (beachte: Art. 5 Abs. 2 DSGVO) datenschutz¬konform vernichtet werden.
Fazit
Der datenschutzrechtlich korrekte und rechtssichere Umgang mit dem Verbandbuch stellt an die Praxis regelmäßig keine hohen organisatorischen Hürden. Die noch immer in vielen Unternehmen und Einrichtungen vorherrschenden Unsicherheiten gründen meist auf fehlendem Detailwissen und lassen sich vielmals ohne Weiteres lösen.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]