Kapitel 5 - Verzeichnis von Verarbeitungstätigkeiten

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis soll sämtliche Verarbeitungsvorgänge personenbezogener Daten, die in der Praxis erhoben und gespeichert werden, erfassen und beschreiben. Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung anzufertigen. Diese geht als Bestandteil in das Verzeichnis von Verarbeitungstätigkeiten der Praxis ein. Letztlich geht es darum, dass der oder die Praxisinhaber mit diesem Verzeichnis einen Überblick darüber haben, wo in der Praxis personenbezogene Daten genutzt und verarbeitet werden.
 

Muss die Zahnarztpraxis ein Verzeichnis von Verarbeitungstätigkeiten führen?

Auch wenn Art. 30 Abs. 5 EU-Datenschutz-Grundverordnung Unternehmen mit weniger als 250 Mitarbeitern von der Führung eines Verzeichnisses von Verarbeitungstätigkeiten ausnimmt, so gilt diese Befreiung nicht für alle Kategorien von Daten, die verarbeitet werden.

Eine konkrete Ausnahme und damit eine Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten stellt die Verarbeitung von Gesundheitsdaten dar. Da die Praxis regelmäßig solche Daten von Patienten verarbeitet, hat sie, unabhängig von der Größe der Praxis, gemäß Art. 30 Abs. 5 EU-Datenschutz-Grundverordnung die Pflicht ein Verzeichnis über die Erhebung und Speicherung der Patientendaten zu führen.
    
Eine weitere Ausnahme stellt die nicht nur gelegentliche (mehr als ein Vorgang pro Jahr wird nicht mehr als gelegentlich angesehen) Verarbeitung personenbezogener Daten dar. Da die personenbezogenen Daten von Mitarbeitern und Auszubildenden aufgrund der notwendigen Lohnbuchhaltung regelmäßig benötigt und damit verarbeitet werden, ist es empfehlenswert, auch über Arbeitnehmer- und Auszubildendendaten ein Verzeichnis von Verarbeitungstätigkeiten anzulegen.

Das Verzeichnis von Verarbeitungstätigkeiten ist nicht zur Veröffentlichung bestimmt, sondern in der Praxis aufzubewahren und dem Landesbeauftragten für Datenschutz auf Verlangen vorzulegen. Es kann auch elektronisch geführt werden.

 

Was muss in diesem Verzeichnis stehen?

In einem Verzeichnis von Verarbeitungstätigkeiten hat die Praxis in Kurzform zu beschreiben, wie personenbezogene Daten (Patientendaten, Mitarbeiterdaten) genutzt und ggf. weiterverarbeitet werden und wer für die Verarbeitung verantwortlich ist.

Welche Angaben im Verzeichnis zu vermerken sind, wird insbesondere in Art. 30 Abs. 1 EU-DSGVO festgelegt:

 

  • den Namen und die Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • die Zwecke der Verarbeitung (z. B. Erfüllung des Behandlungsvertrages) 
  • eine Beschreibung der Kategorien betroffener Personen (z. B. Patient oder Mitarbeiter) und der Kategorien personenbezogener Daten 
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z. B. Kassenzahnärztliche Vereinigung, Sozialversicherungsträger), einschließlich Empfänger in Drittländern oder internationalen Organisationen 
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (z. B. Aufbewahrungsfristen nach § 630 f Abs. 3 BGB, § 28 Abs. 3 S. 2 und 3 RöV) 
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO

 

Es stehen Ihnen auf der Webseite fünf Mustertexte – Patienten, Mitarbeiter, Newsletter, Online-Terminvergabe und Arbeitszeiterfassung – zum Führen der Verzeichnisse zum Download zur Verfügung. Die drei Mustertexte Newsletter, Online-Terminvergabe und Arbeitszeiterfassung (in Papierform oder EDV-gestützt) benötigen Sie selbstverständlich nur, wenn Sie entsprechende Verfahren durchführen.

 

Hinweis:
Weder das Verfahrensverzeichnis für Patientendaten, noch das Verfahrensverzeichnis für Mitarbeiterdaten müssen für jeden Patienten oder Mitarbeiter gesondert, sondern nur einmal pro Praxis angelegt werden.

 

Zurück zur Übersicht über die EU-DSGVO!

 

 

Erstellt von: Claudia Richter, 04.04.2018

Aktualisiert von: Andrea Mader, 13.03.2019