Kapitel 5 - Verzeichnis von Verarbeitungstätigkeiten
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis soll sämtliche Verarbeitungsvorgänge personenbezogener Daten, die in der Praxis erhoben und gespeichert werden, erfassen und beschreiben. Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung anzufertigen. Diese geht als Bestandteil in das Verzeichnis von Verarbeitungstätigkeiten der Praxis ein. Letztlich geht es darum, dass die Praxisinhaberin oder der Praxisinhaber mit diesem Verzeichnis einen Überblick darüber hat, wo in der Praxis personenbezogene Daten genutzt und verarbeitet werden.
Muss die Zahnarztpraxis ein Verzeichnis von Verarbeitungstätigkeiten führen?
Auch wenn Art. 30 Abs. 5 EU-Datenschutz-Grundverordnung Unternehmen mit weniger als 250 Mitarbeiterinnen und Mitarbeitern von der Führung eines Verzeichnisses von Verarbeitungstätigkeiten ausnimmt, so gilt diese Befreiung nicht für alle Kategorien von Daten, die verarbeitet werden.
Eine konkrete Ausnahme und damit eine Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten stellt die Verarbeitung von Gesundheitsdaten dar. Da die Praxis regelmäßig solche Daten von Patientinnen und Patienten verarbeitet, hat sie, unabhängig von der Größe der Praxis, gemäß Art. 30 Abs. 5 EU-Datenschutz-Grundverordnung die Pflicht ein Verzeichnis über die Erhebung und Speicherung der Patientendaten zu führen.
Eine weitere Ausnahme stellt die nicht nur gelegentliche (mehr als ein Vorgang pro Jahr wird nicht mehr als gelegentlich angesehen) Verarbeitung personenbezogener Daten dar. Da die personenbezogenen Daten von Mitarbeiterinnen und Mitarbeitern und Auszubildenden aufgrund der notwendigen Lohnbuchhaltung regelmäßig benötigt und damit verarbeitet werden, ist es empfehlenswert, auch über Arbeitnehmer- und Auszubildendendaten ein Verzeichnis von Verarbeitungstätigkeiten anzulegen.
Das Verzeichnis von Verarbeitungstätigkeiten ist nicht zur Veröffentlichung bestimmt, sondern in der Praxis aufzubewahren und der oder dem Landesbeauftragten für Datenschutz auf Verlangen vorzulegen. Es kann auch elektronisch geführt werden.
Was muss in diesem Verzeichnis stehen?
In einem Verzeichnis von Verarbeitungstätigkeiten hat die Praxis in Kurzform zu beschreiben, wie personenbezogene Daten (Patientendaten, Mitarbeiterdaten) genutzt und ggf. weiterverarbeitet werden und wer für die Verarbeitung verantwortlich ist.
Welche Angaben im Verzeichnis zu vermerken sind, wird insbesondere in Art. 30 Abs. 1 EU-DSGVO festgelegt:
- den Namen und die Kontaktdaten der oder des Verantwortlichen und ggf. des gemeinsam mit ihr oder ihm Verantwortlichen, der Vertreterin oder des Vertreters des Verantwortlichen sowie einer oder eines etwaigen Datenschutzbeauftragten
- die Zwecke der Verarbeitung (z. B. Erfüllung des Behandlungsvertrages)
- eine Beschreibung der Kategorien betroffener Personen (z. B. Patientin bzw. Patient oder Mitarbeiterin und Mitarbeiter) und der Kategorien personenbezogener Daten
- die Kategorien von Empfängerinnen und Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z. B. Kassenzahnärztliche Vereinigung, Sozialversicherungsträger), einschließlich Empfängerinnen und Empfänger in Drittländern oder internationalen Organisationen
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (z. B. Aufbewahrungsfristen nach § 630 f Abs. 3 BGB, § 28 Abs. 3 S. 2 und 3 RöV)
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO
Es stehen Ihnen auf der Webseite fünf Mustertexte – Patientinnen bzw. Patienten, Mitarbeiterinnen bzw. Mitarbeiter, Newsletter, Online-Terminvergabe und Arbeitszeiterfassung – zum Führen der Verzeichnisse zum Download zur Verfügung. Die drei Mustertexte Newsletter, Online-Terminvergabe und Arbeitszeiterfassung (in Papierform oder EDV-gestützt) benötigen Sie selbstverständlich nur, wenn Sie entsprechende Verfahren durchführen.
Hinweis:
Weder das Verfahrensverzeichnis für Patientendaten noch das Verfahrensverzeichnis für Mitarbeiterdaten müssen für jede Patientin bzw. jeden Patienten oder Mitarbeiterin bzw. Mitarbeiter gesondert, sondern nur einmal pro Praxis angelegt werden.
Zurück zur Übersicht über die EU-DSGVO!
Erstellt von: Claudia Richter, 04.04.2018
Aktualisiert von: Claudia Richter, 13.10.2021