Verbandbuch – Bitte ohne Datenschutz-Verletzungen!

Verbandbuch

Nicht selten dürfte es in Betrieben vorkommen, dass sich Mitarbeiter bei ihrer täglichen Arbeit Verletzungen zuziehen. Insbesondere in Handwerksbetrieben wird oft nicht nur gehobelt, sondern es fallen auch Späne – leider oftmals in Form von Arbeitsverletzungen. Kommt es zu einem Arbeitsunfall ist der Arbeitgeber, gemäß den Vorschriften der Deutschen Gesetzlichen Unfallversicherung (DGUV), verpflichtet den Vorfall sowie jede Erste-Hilfe-Maßnahme zu dokumentieren. Dies geschieht in der Regel in einem sogenannten Verbandbuch, welches meist öffentlich zugänglich in der Nähe des Verbandskastens platziert wird. Die Dokumentation umfasst dabei, neben dem Namen des Beschäftigten, auch Angaben zur Verletzung und weitere Informationen zum Vorfall. Daher stellt sich hier die Frage: Ist das Verbandbuch nach der Datenschutz-Grundverordnung (DSGVO) überhaupt zulässig?

Ob und wie ein sogenanntes Verbandbuch geführt werden sollte, erklärt Ihnen ihr externer Datenschutzbeauftragter.

Verbandbuch – Verarbeitung personenbezogener Daten

Kommt es zu einem Arbeitsunfall, muss der Vorgang des Unfalls nach § 24 Abs. 6 DGUV dokumentiert werden. Hierfür werden meist in einem Verbandbuch neben dem Namen des Mitarbeiters ebenso Angaben zur Verletzung festgehalten, womit es sich um eine Verarbeitung personenbezogener Daten handelt und die Bestimmungen der DSGVO greifen. Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. […]“

Da neben dem Namen auch Angaben zur Verletzung erfasst werden, handelt es sich zudem um sogenannte „Gesundheitsdaten“, welche zudem – nach Art. 9 DSGVO – unter die besonderen Kategorien personenbezogener Daten fallen, für welche besondere Regelungen gelten. Dabei sind Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO

„personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Ein oft geglaubter Irrglaube ist zudem, dass eine nicht automatisierte Verarbeitung personenbezogener Daten – sprich nicht per System oder Computer – keine Verarbeitung personenbezogener Daten darstellt. Dies ist natürlich falsch! Vielmehr gelten die Regelungen der DSGVO auch für eine Verarbeitung personenbezogener Daten im „Offline-Bereich“ (z. B. in Papierform). Dies ist auch bei einem Verbandbuch der Fall.

Wo liegt nun das Problem mit dem Verbandbuch?

In vielen Betrieben wird das Verbandbuch – damit man es schnell zur Hand hat – im jeweiligen Erste-Hilfe-Kasten gelagert, womit es für Jedermann öffentlich und frei zugänglich ist. Die Angaben zum entsprechenden Vorfall werden häufig zeilenweise in chronologischer Reihenfolge im Verbandbuch geführt. Hier kommen wir nun aus Datenschutzsicht zum Problem: Da die Vorfälle alle in einer Auflistung geführt werden und das Verbandbuch jederzeit von jedem Mitarbeiter eingesehen werden kann, können alle Einträge – inklusive personenbezogener Daten einschließlich Gesundheitsdaten – von anderen Verunglückten eingesehen werden. Von einer vertraulichen Behandlung der personenbezogenen Daten kann insofern keine Rede sein! Wie soll aber nun der Arbeitgeber seiner Dokumentationspflicht nach § 24 Abs. 6 DGUV nachkommen?

Dokumentation eines Arbeitsunfalls

Um diese Frage hat sich die Deutsche Gesetzliche Unfallversicherung gekümmert und anstelle eines Verbandbuches einen Meldeblock entwickelt, welcher es ermöglicht die Seiten einzeln abzutrennen und somit eine getrennte Aufbewahrung gewährleistet. Der leere Block kann damit auch weiterhin in der Nähe bzw. im Verbandskasten aufbewahrt werden. Sofern ein Arbeitsunfall dokumentiert wird, sollte der ausgefüllte Meldezettel zugriffsgeschützt aufbewahrt und der zuständigen Person ausgehändigt oder in einen dafür bestimmten Briefkasten geworfen werden. Wer letztendlich den Zettel ausfüllt ist in diesem Zusammenhang nicht vorgeschrieben. Wichtig ist nur, dass der Zugriff auf den Meldezettel geschützt und genau festgelegt wird, wer Zugriff auf die personenbezogenen Daten erhält. Die Verwaltung der ausgefüllten Meldezettel könnte z. B. über einen Mitarbeiter der Personalabteilung oder die betrieblichen Ersthelfer erfolgen. Diese sollten den Nachweis über den Arbeitsunfall in einem gesonderten Ordner oder in einer Akte ablegen und verschlossen aufbewahren. Der Meldezettel sollte gemäß § 24 Abs. 6 DGUV 5 Jahre aufbewahrt werden und ist danach datenschutzkonform zu vernichten.

Fazit

Gemäß der Dokumentationspflicht nach § 24 Abs. 6 DGUV hat jeder Verantwortliche bzw. Arbeitgeber einen Arbeitsunfall entsprechend zu dokumentieren. Um dahingehend den Bestimmungen der DSGVO zu genügen, sollte hierfür z.B. der Meldeblock der DGUV verwendet und auf die Verwendung eines herkömmlichen Verbandbuches – welches womöglich auch noch für jeden zugänglich im Verbandskasten gelagert wird – verzichtet werden. Es ist wichtig eine vertrauliche Behandlung der personenbezogenen (Gesundheits-)Daten zu gewährleisten. Regeln Sie daher den Zugriff auf die Daten und sorgen Sie dafür, dass die Unterlagen nach den gesetzlichen Aufbewahrungsfristen ordnungsgemäß entsorgt werden. Fragen Sie Ihren Datenschutzbeauftragten, er hilft Ihnen sicher gerne weiter!

Haben Sie noch keinen Datenschutzbeauftragten? Brands Consulting hilft Ihnen gerne weiter. Wir bieten Ihnen kompetente und fachkundige Unterstützung rund um den Bereich Datenschutz. Kontaktieren Sie uns und holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen