Ein "Verbandbuch" ist bis heute in den orangefarbenen Verbandskästen der meisten Unternehmen auffindbar. Es sieht aus wie ein typisches Fahrtenbuch. Darin sind Arbeits- und Wegeunfälle zu dokumentieren und es enthält damit zwangsläufig Gesundheitsdaten der Mitarbeiter - oft aus mehreren Jahren. Weshalb dieses Verbandsbuch regelmäßig die nach EU-DSGVO und BDSG-neu geltenden Datenschutzvorgaben verletzt und wie Sie dies heilen können, lesen Sie in diesem Beitrag.
Ihr Verbandsbuch verletzt den Datenschutz - Jetzt austauschen! |
Typische Unfälle und Verletzungen in Unternehmen
Vorkommnisse im Büroalltag sind meist eher harmlos: Schnittverletzungen an Druckerpapier, Finger in der Tastatur gequetscht, etc. Hier ist man noch zu Späßen aufgelegt. Im Handwerksbetrieb, in der Produktion und in anderen gewerblichen Bereichen geht es da schon härter zu. Hauptursachen für Arbeitsunfälle und Verletzungen sind Stolpern, Rutschen, Stürzen (die sogenannten "SRS-Unfälle"), Falsches Bedienen von Werkzeug, Maschinen, Gegenständen und Abläufen, Falsches Heben, Tragen und Lagern, Missachten von Sicherheitsvorschriften, Mangelnde Erfahrung und Mangelndes Bewusstsein für Sicherheit und Risiken. Typische Verletzungen sind hier Wunden und Zerreißungen, Erschütterungen und Oberflächenprellungen und Verstauchungen und Verdrehungen. (Quelle: Deutsche Gesetzliche Unfallversicherung).
Dokumentationspflichten
Alle Verletzungen, die sich Arbeitnehmer bei der Arbeit zuziehen, muss das Unternehmen dokumentieren - genauso wie die getroffenen Erste-Hilfe-Maßnahmen. Die Dokumentation erfolgt bisher vorzugsweise im sogenannten "Verbandbuch" (schwäbisch auch "Verbandsbuch"). Hierbei werden neben Namen (Verletzter, Zeugen, Ersthelfer) und dem Vorfallsdatum natürlich auch die entsprechenden Verletzungen und der Hergang notiert. Dabei handelt es sich um "Gesundheitsdaten" und damit um besondere personenbezogene Daten, deren Verarbeitung nach Art. 9 EU-DSGVO speziell geregelt sind.
Häufiges Missverständnis ausräumen
Die Vorschriften der EU-DSGVO beschränken sich dabei nicht nur auf automatisierte Datenverarbeitungsvorgänge per Computer! Vielmehr gelten die Regeln auch für die Verarbeitung von personenbezogenen Daten im "Offline-Bereich", wenn die Daten systematisch gespeichert werden. Letzteres ist grundsätzlich bei einem Verbandbuch der Fall.
Und wo sieht jetzt "der Datenschutz" wieder ein Problem?
Die Verarbeitung der Gesundheitsdaten bei der Dokumentation von Erste-Hilfe-Maßnahmen ginge datenschutzrechtlich in Ordnung. Schließlich zwingen ja rechtliche Vorschriften das Unternehmen zur Dokumentation.
Problematisch ist aber der Lagerort des Verbandsbuchs - das wir Datenschützer im Rahmen unserer Vor-Ort-Begehungen meist im Verbandskasten auffinden. Die Begründung klingt einleuchtend: Ersthelfer sollen Verletzungen und Ihre Maßnahmen direkt ins bereitliegende Verbandsbuch eintragen können. Aber damit ist das Verbandsbuch für Jedermann frei zugänglich. Auch das gebundene Verbandsbuch an sich führt zu datenschutzrechtlichen Problemen. Für die Dokumentation eines Vorfalls ist es absolut nicht erforderlich, dass der Ersthelfer dabei Einblick erhält in frühere Fälle.
Die gebotene vertrauliche Verarbeitung der besonderen personenbezogenen Daten unter Einhaltung der Zugriffskontrolle ist so nicht darstellbar.
Nehmen Sie jetzt das Verbandbuch aus dem Erste-Hilfe-Kasten |
Datenschützer holen die Kuh vom Eis (bzw. das Verbandsbuch aus dem -skasten)
Die Lösungsmöglichkeiten liegen eigentlich auf der Hand:
1. Offline in Papierform
Statt eines Verbandsbuchs stellt das Unternehmen den Ersthelfern einzelne Meldebögen in Papierform zur Verfügung. Diese enthalten Felder für die zu dokumentierenden Informationen. Die unausgefüllten Meldebögen können damit im Verbandskasten gelagert werden zwecks direkter Zurverfügungstellung für die Ersthelfer. Es muss lediglich geregelt werden, dass die ausgefüllten Meldebögen nicht im Verbandskasten gelagert werden. Stattdessen sind diese vertraulich vor Zugriffen Unberechtigter zu schützen und schnellstmöglich im Personalbüro abzugeben. Die Aufbewahrungsfrist beträgt 5 Jahre.
2. Digitalisierungs-Lösung
Die Vorschriften erlauben es auch, die Dokumentation digital aufzubauen. Auch hier ist auf die Eiuhaltung der Zugriffskontrolle und die Aufbewahrungsfrist zu achten. Im gesamten Prozess dürfen nur diejenigen Personen Zugriff auf die Daten erhalten, die dazu berechtigt sind und diese auch benötigen.
Unsere yourIT-Abteilung Softwareentwicklung & Digitalisierung berät Sie hierzu gerne.
Wie unterstützt Sie das yourIT-Datenschutz-Team?
Wir haben die Verarbeitung "Dokumentation der Erste-Hilfe-Maßnahmen" sorgfältig dokumentiert. Das Leistungspaket besteht aus:
- Stellungnahme des Datenschutz-Beraters
- HowTo zur Einführung der Verarbeitung
- Verfahrens-Beschreibung
- FAQs
Ist Ihr Unternehmen fit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Die Umsetzung der EU-DSGVO hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.