Zum Inhalt Zum Hauptmenü Online/Beratung Mandatsannahme
27. Juni 2018

Das Verzeichnis von Verarbeitungstätigkeiten nach § 30 DSGVO und was es insbesondere für Ärzte bedeutet

Die Datenschutzgrundverordnung ist bekanntermaßen am 25. Mai 2018 in Kraft getreten. Nachdem sich der erste Schrecken hierüber gelegt haben dürfte, bleiben weiterhin Fragen offen.
Was ist z.B ein Verzeichnis von Verarbeitungstätigkeiten, wer hat es zu erstellen, wie funktioniert das und was genau gehört hinein?
Das nach der DSGVO zu erstellende Verzeichnis von Verarbeitungstätigkeiten ist der Grundpfeiler der Dokumentation, zu der die DSGVO – auch Ärzte – verpflichtet. Dabei ist das Führen eines Verzeichnisses nicht ganz neu, schließlich bestand auch nach altem Recht die Pflicht zur Erstellung eines Verfahrensverzeichnisses
Wer benötigt ein Verzeichnis von Verarbeitungstätigkeit?
Im Prinzip benötigt (fast) jeder ein Verfahrensverzeichnis. Zwar sind von der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeit diejenigen Unternehmer und Einrichtungen mit weniger als 250 Mitarbeitern ausgenommen, so dass der durchschnittliche Praxisbetreiber wohl jetzt zunächst aufatmen möchte. Allerdings trifft die Pflicht – so sieht es das Gesetz vor- jeden, dessen vorgenommene Verarbeitung von Daten ein Risiko für die Rechte und Freiheiten der Person birgt und dessen Verarbeitung nicht nur gelegentlich erfolgt. Damit ist wohl zweifelsohne jeder Praxisbetreiber als Verantwortlicher dazu verpflichtet ein Verzeichnis von Verarbeitungstätigkeit zu führen, schließlich gehören zum Praxisalltag eine Vielzahl von sensibler Daten, wie z.B. Name, Anschrift, Versicherungsnummer des Patienten, die ärztliche Dokumentation von Anamnese und Behandlung, Arztbriefe, Laborberichte usw., die regelmäßig verarbeitet werden.
Ein Verfahrensverzeichnis muss damit immer geführt werden . Im Übrigen unabhängig davon, ob ein Datenschutzbeauftragter benötigt wird oder nicht.

Wer erstellt das Verzeichnis von Verarbeitungstätigkeit?
Auch hier ist der Verantwortliche gefragt, d.h. der Betreiber oder die Betreiberin der Praxis, wobei das tatsächliche Erstellen des Verzeichnisses und die Pflege desselben auch innerhalb der Praxis von anderer Stelle übernommen werden kann. Der Verantwortliche ist und bleibt aber auch unabhängig von einer internen Arbeitsverteilung verantwortlich und rechenschaftspflichtig.
Was gehört in ein Verzeichnis von Verarbeitungstätigkeit?
Zweck des Verfahrensverzeichnisses ist die Dokumentation der bei dem Verantwortlichen stattfindenden Verarbeitung personenbezogener Daten. Mit einem ordnungsgemäß geführten Verzeichnis von Verarbeitungstätigkeit besteht die Möglichkeit den Nachweis zu erbringen, dass die datenschutzrechtlichen Vorgaben eingehalten sind.
Verpflichtend hat das Verzeichnis von Verarbeitungstätigkeit folgende Inhalte zu enthalten:
1. Namen und Kontaktdaten des Arztes als Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
2. Zweck der Datenverarbeitung
3. Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
4. Beschreibung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden könnten (intern, extern, Drittländer)
5. Vorgesehene Löschfristen der verschiedenen Datenkategorien
6. Allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen
Was sind die Folgen, wenn kein Verzeichnis von Verarbeitungstätigkeiten erstellt wird?
Kann auf Anfrage der Aufsichtsbehörden kein aktuellen Verfahrensverzeichnis vorgelegt werden, können Bußgelder in Höhe von 10.000.000 EUR oder von bis zu 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Da die Bußgelder hoch sind und derzeit nicht abzusehen ist inwiefern die Aufsichtsbehörden hiervon Gebrauch machen, sollte jeder Betreiber einer Arztpraxis ein besonderes Augenmerk auf die sorgfältige Erstellung eines Verzeichnisses von Verarbeitungstätigkeit legen.