Verzeichnis für Verarbeitungstätigkeiten
Das Verzeichnis für Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO verfolgt das Ziel, den Verantwortlichen eine Übersicht über alle von ihnen vorgenommenen Verarbeitungstätigkeiten zu geben, um damit die Einhaltung des Datenschutzes und insbesondere die Reduzierung potentieller Risiken für die Datenverarbeitung anzustoßen. Dies gilt insbesondere für die Verarbeitung besonders schutzwürdiger Daten wie z.B. Gesundheitsdaten. Vor diesem Hintergrund dient es dem Interesse der Praxisinhaber, ein derartiges Verzeichnis zeitnah zu erstellen und aktuell zu halten. Zugleich stellt das Fehlen eines Verzeichnisses nach Art. 30 DS-GVO einen Datenschutzverstoß dar, der bußgeldbewährt ist.
Das bereitgestellte Muster beinhaltet die aus Sicht der Kooperationspartner gängigsten Verarbeitungstätigkeiten in Arzt- und Psychotherapiepraxen. Das Muster soll den Praxen als Arbeitserleichterung dienen und hat zu diesem Zweck soweit möglich bereits Eintragungen bspw. zum jeweiligen Verarbeitungszweck, zu den Kategorien der verarbeiteten Daten, der betroffenen Personen und der Empfänger und zur jeweiligen Rechtsgrundlage vorgenommen. Weitere Angaben bspw. zu dem für die jeweilige Verarbeitungstätigkeit intern zuständigen Ansprechpartner, zur Laufzeit, zu Löschfristen, zu den ergriffenen technisch-organisatorischen Vorkehrungen und zu beauftragten Dienstleistern müssen von den Praxen konkret bezogen auf ihre Situation aktiv eingetragen werden.
Generell sollten die in dem Muster enthaltenen Voreintragungen im Hinblick auf die Gegebenheiten in der konkreten Arzt- oder Psychotherapiepraxis überprüft und ggf. angepasst werden. So kann es sein, dass bestimmte Verarbeitungstätigkeiten, die im Muster aufgeführt sind, im konkreten Fall gar nicht durchgeführt werden. Denkbar ist auch, dass Verarbeitungstätigkeiten durch die Praxis erbracht werden, die aber noch nicht im Muster enthalten sind. In beiden Fällen ist eine Anpassung des Verzeichnisses geboten. Dies gilt insbesondere auch für die anzugebenden Aufbewahrungs- bzw. Löschfristen, soweit es sich um eine Arztpraxis handelt.
Im Hinblick auf die seitens der Praxen zu ergreifenden technisch-organisatorischen Vorkehrungen zum Datenschutz und zur Gewährleistung der Datensicherheit können Eintragungen entweder im Verzeichnis selbst gemacht werden oder in einem separaten Dokument (Datenschutz-/Datensicherheits- Konzept), auf das im Verzeichnis verwiesen wird.
Hinsichtlich der Begrifflichkeiten im Zusammenhang mit dem Verzeichnis nach Art. 30 DS-GVO steht den Praxen ein Glossar zur Verfügung:
Entsprechende Musterformulare für ein Verzeichnis von Verarbeitungstätigkeiten finden Sie hier:
- Download Muster Verzeichnis für Verarbeitungstätigkeiten (.xlsx)
- Download Muster Verzeichnis für Verarbeitungstätigkeiten (.ods)
Weiterführende Informationen zum Verzeichnis für Verarbeitungstätigkeiten finden Sie unter: