de en
Nexia Ebner Stolz

Branchen

DSGVO: Verzeichnis von Verarbeitungstätigkeiten im Gesundheitssektor

Das Verarbeitungs-Verzeichnis ist das wichtigste Dokument der Datenschutz-Dokumentation eines Unternehmens. Dort wird dokumentiert, was mit personenbezogenen Daten in einem Unternehmen gemacht wird. Das betrifft angesichts zahlreicher personenbezogener Daten insb. auch Unternehmen im Gesundheitssektor.

Wer braucht ein Ver­ar­bei­tungs-Ver­zeich­nis?

Prak­tisch jedes Unter­neh­men, jeder Selbst­stän­dige und jeder Ver­ein braucht ein Ver­zeich­nis von Ver­ar­bei­tung­s­tä­tig­kei­ten. Dies gilt auch für kleine Unter­neh­men mit weni­ger als 250 Beschäf­tig­ten. Nur in sel­te­nen Aus­nah­me­fäl­len ent­fällt diese buß­geld­be­wehrte Pflicht für kleine Unter­neh­men.

Inhalt eines Ver­ar­bei­tungs-Ver­zeich­nis­ses

In einem Ver­ar­bei­tungs-Ver­zeich­nis wer­den die ein­zel­nen Ver­ar­bei­tung­s­tä­tig­kei­ten doku­men­tiert. Ver­ar­bei­tung­s­tä­tig­kei­ten sind Pro­zesse eines Unter­neh­mens, in denen per­so­nen­be­zo­gene Daten erho­ben, gespei­chert, genutzt oder ver­ar­bei­tet wer­den. Man kann daher auch von einer Doku­men­ta­tion von Ver­ar­bei­tungs-Pro­zes­sen spre­chen.

Das Ver­ar­bei­tungs-Ver­zeich­nis muss fol­gen­den Inhalt haben:

  • Namen und Kon­takt­da­ten des oder der Unter­neh­men, die die Daten alleine oder gemein­sam ver­ar­bei­ten,
  • Name und Kon­takt­da­ten des EU-Ver­t­re­ters eines Unter­neh­mens ohne Sitz in der EU,
  • Name und Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten, sofern vor­han­den,
  • Zwe­cke der Daten­ver­ar­bei­tung,
  • Kate­go­rien der betrof­fe­nen Per­so­nen,
  • Daten­ar­ten,
  • Kate­go­rien der Emp­fän­ger der Daten,
  • Über­mitt­lun­gen in Dritt­län­der, sofern vor­han­den,
  • Fris­ten für die Löschung von Daten,
  • Besch­rei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM-Liste).

Die Doku­men­ta­tion der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Daten­schutz kann umfang­reich und über meh­rere Doku­mente ver­teilt sein. Es reicht daher aus, wenn sich die all­ge­meine Besch­rei­bung die­ser Maß­nah­men auf eine Zusam­men­fas­sung der ergrif­fe­nen Maß­nah­men beschränkt und auf die Doku­mente, die diese Maß­nah­men genauer besch­rei­ben, ver­wie­sen wird.

Soweit Unter­neh­men Daten als Auf­trags­ver­ar­bei­ter ver­ar­bei­ten, ergibt sich der etwas abge­speckte Pflich­t­in­halt eines Ver­ar­bei­tungs-Ver­zeich­nis­ses aus Art. 30 Abs. 2 DSGVO.

Form eines Ver­ar­bei­tungs-Ver­zeich­nis­ses

Das Ver­ar­bei­tungs-Ver­zeich­nis kann schrift­lich, aber auch elek­tro­nisch in einer Datei geführt wer­den. Es bie­tet sich fol­gen­der Auf­bau an:

  • Deck­blatt mit Anga­ben, die für alle Ver­ar­bei­tungs-Pro­zesse gleich sind (Name des Unter­neh­mens, Kon­takt­da­ten usw.),
  • Besch­rei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, die für alle Ver­ar­bei­tungs-Pro­zesse gleich sind,
  • Doku­men­ta­tion der Ver­ar­bei­tungs-Pro­zesse im Ein­zel­nen.

Hin­weis

Das Ver­ar­bei­tungs-Ver­zeich­nis dient in ers­ter Linie der inter­nen Doku­men­ta­tion. Im Fall einer Prü­fung durch eine Daten­schutz­be­hörde dürfte das Ver­ar­bei­tungs-Ver­zeich­nis aber meist das erste Doku­ment sein, das die Daten­schutz­be­hörde sehen möchte. Das Ver­ar­bei­tungs-Ver­zeich­nis sollte daher über­sicht­lich, leicht aus­druck­bar und nicht mit zu vie­len zusätz­li­chen Infor­ma­tio­nen über­frach­tet sein. In klei­ne­ren Unter­neh­men kann es aber sinn­voll sein, das Ver­ar­bei­tungs­ver­zeich­nis auch zur Erfül­lung eines Teils sons­ti­ger DSGVO-Doku­men­ta­ti­onspf­lich­ten zu ver­wen­den. Zumin­dest grö­ßere Unter­neh­men benö­t­i­gen zur Erfül­lung ihrer Rechen­schaftspf­lich­ten aber ein Daten­schutz-Mana­ge­ment-Sys­tem (DSMS).

nach oben