Datenschutz-Grundverordnung: Verzeichnis von Verarbeitungstätigkeiten

26.03.2018 |

Praxen benötigen ein Verzeichnis von Verarbeitungstätigkeiten. Darin werden Tätigkeiten beziehungsweise Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten verarbeitet werden. Die Aufstellung und Beschreibung der Tätigkeiten ist auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verzeichnis vor, drohen Geldstrafen.

Das ist zu tun

Die KBV stellt für das Verzeichnis ein Muster bereit, das Sie nutzen können. Dazu gibt es ein Ausfüllbeispiel mit zwei Verarbeitungstätigkeiten. So können Sie vorgehen:

Schritt 1: Für das Erstellen des Verzeichnisses sollten Sie zunächst überlegen, wo überall in der Praxis personenbezogene Daten verarbeitet, also zum Beispiel erhoben, gespeichert, bearbeitet oder weitergeleitet, werden. Dabei bietet es sich an, Tätigkeiten, die demselben Zweck dienen, zusammenzufassen. Eine Tätigkeit, die in allen Praxen anfallen dürfte, ist die Nutzung des Praxisverwaltungssystems zum Zwecke der ärztlichen / psychotherapeutischen Dokumentation in der Patientenakte, der Qualitätssicherung, der Terminplanung und der Abrechnung. Eine weitere Tätigkeit ist beispielsweise das Führen von Personalakten, um Mitarbeiter beschäftigen zu können.

Schritt 2: Im nächsten Schritt fügen Sie zu jeder Tätigkeit die in der DSGVO geforderten Angaben hinzu. Das sind:

  • Zweck der Verarbeitung (z.B. ärztliche Dokumentation)
  • betroffene Personengruppen (z.B. Patienten, Beschäftigte)
  • Datenkategorien (z.B. Gesundheitsdaten, Personaldaten)
  • Empfängergruppen, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Krankenkassen, Kassenärztliche Vereinigungen)
  • Fristen für die Löschung (z.B. zehn Jahre)

Schritt 3: Geben Sie jetzt noch den Namen und die Kontaktdaten Ihrer Praxis und gegebenenfalls des Datenschutzbeauftragten an. Dazu füllen Sie die Felder auf der ersten Seite der Dokumentenvorlage aus. Prüfen Sie bei der Erstellung des Verzeichnisses auch, ob bestimmte Datenverarbeitungsvorgänge ein besonders hohes Risiko bergen. Dann könnte unter Umständen eine Datenschutz-Folgenabschätzung nötig sein.

 

TIPP: Das Muster für ein Verarbeitungsverzeichnis und das Ausfüllbeispiel finden Sie auf der Homepage der KBV:

 

Datenschutz
Datenschutz-Grundverordnung
DSGVO