Das Verarbeitungsverzeichnis – VVT

In den vergangenen Blogbeiträgen unserer Reihe “Datenschutz im Gesundheitswesen” haben wir gelernt, wie wichtig eine strukturierte und prozessuale Dokumentation aller personenbezogener Daten in Ihrer Praxis ist. Weiterhin haben wir uns damit befasst, welche rechtlichen Grundlagen es gibt, welche Art von Datenkategorien vorkommen können, was es mit der Auftragsverarbeitung auf sich hat und welche Löschfristen einzuhalten sind.

All diese Aspekte rund um das Thema Datenschutz sind Bestandteile des sogenannten Verarbeitungsverzeichnisses (in Kurzform auch VVT genannt).

In diesem Artikel möchten wir konkret auf das Thema VVT eingehen und Ihnen genau erklären, was dieses Verzeichnis ausmacht und wer zur Führung eines solchen Dokumentationsverzeichnisses gesetzlich verpflichtet ist.

Was ist ein Verarbeitungsverzeichnis und viel wichtiger: Müssen Sie ein VVT anlegen?

Art. 30 Abs. 1 DSGVO verpflichtet den Verantwortlichen (in diesem Fall meistens den Praxisinhaber) zur Erstellung und laufenden Pflege eines Verzeichnisses von Verarbeitungstätigkeiten. Hierbei sollte das Ziel stets sein, die notwendige Transparenz über alle Vorgänge in Ihrer Praxis zu bekommen. Besonders wichtig sind natürlich die Vorgänge, die mit der Verarbeitung personenbezogener Daten zu tun haben.

ACHTUNG:

Die Pflicht, ein Verarbeitungsverzeichnis anzulegen und zu pflegen, gilt laut Art. 30 Abs. 5 DSGVO vor allem für Unternehmen, die min. 250 Mitarbeiter beschäftigen. Allerdings sind auch kleinere Betriebe nur dann von dieser Pflicht entbunden, wenn:

  • kein Risiko für die Rechte und Freiheiten der betroffenen Personen liegt vor
  • die Verarbeitung erfolgt nur gelegentlich
  • es wird keine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Abs. 1 DSGVO bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO vollzogen

Da wir uns in dieser Blogreihe jedoch mit Datenschutz im Gesundheitswesen befassen, werden durchaus auch Datenkategorien gemäß Artikel 9 Abs. 1 DSGVO verarbeitet. Das bedeutet, dass Personen, die im Gesundheitswesen tätig sind, auch dazu verpflichtet sind, ein Verarbeitungsverzeichnis zu führen. Und diese Pflicht gilt gemäß Art. 30 Abs. 2 DSGVO auch für den Auftragsverarbeiter.

Wer ist für das Verarbeitungsverzeichnis verantwortlich?

In der Regel ist der Praxisinhaber bzw. die Geschäftsführung (im folgenden auch Verantwortliche genannt) für die Pflege des Verarbeitungsverzeichnisses verantwortlich. Eine gefährliche Annahme, von der allerdings häufig ausgegangen wird, besagt, dass der Datenschutzbeauftragte für die Erstellung des VVTs Sorgen zu tragen hat. An dieser Stelle müssen wir Ihnen mitteilen: Auch der zuverlässigste Datenschutzbeauftragte ist grundsätzlich nur beratend tätig, er ist also nicht für das VVT verantwortlich.

Was allerdings stimmt: In vielen Praxen wird das Verarbeitungsverzeichnis von einem externen Datenschutzbeauftragten angelegt, allerdings geschieht dies nur in Absprache und nie ohne das Wissen der durchführenden Mitarbeiter.

WICHTIG:

Die grundsätzliche Verantwortung für die Erstellung eines Verarbeitungsverzeichnisses liegt beim Verantwortlichen. Kümmert sich der Verantwortliche nicht um die Erstellung eines VVTs, kann gem. Artikel 83 Abs. 4 lit. a DSGVO eine Geldbuße von bis zu 10 Mio. Euro verhängt werden (alternativ von bis zu 2 % des Jahresumsatzes).

Deswegen lautet unsere ganz klare Empfehlung an Sie: Legen Sie ein Verarbeitungsverzeichnis an und pflegen Sie es dementsprechend.

Wie erstelle ich ein Verzeichnis von Verarbeitungstätigkeiten?

Sie haben mehrere Möglichkeiten, um erfolgreich und möglichst stressfrei ein Verarbeitungsverzeichnis anzulegen. Sollten Sie ohne Vorkenntnisse und ohne unterstützende Software starten wollen, bietet sich ein strukturiertes Vorgehen an. Anhand klar definierter Fragen und einer Vorgehensweise, die Ihnen aus meinem ersten Blogbeitrag zum Thema Datenschutz im Gesundheitswesen bekannt sein dürfte (falls nicht, hier finden Sie diesen Artikel):

Infografik-Datenschutz-Fragen-Schwarte-Consulting

Betrachten wir das Vorgehen Schritt für Schritt und im Detail, anhand des folgenden Beispiels: Ein Patient kommt mit einem Rezept in Ihre Praxis und möchte einen Termin vereinbaren.

Wie erstelle ich ein Verzeichnis von Verarbeitungstätigkeiten - Schwarte Consulting

Form des VVT

Nun wissen Sie bereits, dass Sie ein Verzeichnis für Verarbeitungstätigkeiten führen müssen, wer für die Erstellung der VVTs verantwortlich ist und welche Fragen Sie stellen sollten, um zum Ziel zu kommen.

Wie dokumentieren Sie diese ganzen Daten sorgfältig und strukturiert?

In der Tat gibt es keine klare Vorgabe wie ein solches Verzeichnis zu führen ist, nur darüber, was es beinhalten muss. Die gängigsten Formen der Dokumentation sind Folgende:

  • Word-Dokumente (für jede Tätigkeit ein Dokument)
  • Excel -Tabelle (für jede Tätigkeit ein Eintrag)
  • Spezielle Software (Wir verweisen an dieser Stelle auf unseren Partner www.RobinData.io)
VERGESSEN SIE NICHT:

Wichtig ist in erster Linie, DASS Sie ein Verarbeitungsverzeichnis anlegen. Nicht unbedingt WIE. Solch ein Verzeichnis ist aber nicht dafür gedacht, es einmal zu erstellen und es dann nie wieder auf den neuesten Stand zu bringen. Es bedarf der ständigen Überprüfung auf Aktualität. Zusätzlich dient es dazu, stichprobenartige Überprüfungen bei der Belegschaft durchzuführen, um genau die genannten Tätigkeiten regelmäßig zu überprüfen. Im Grunde sollten Sie der Form nicht zu viel Beachtung schenken. Halten Sie sich stets an die Devise: Größe und Tiefe des Verarbeitungsverzeichnisses sollten immer im Verhältnis zur Notwendigkeit stehen. Auch hierfür gibt es keine konkreten Vorgaben. Die Größe, Tiefe und Detailgrad eines solchen VVTs hängt oftmals von der Größe des Unternehmens ab.

Gibt es Muster für ein ordentliches VVT?

Gerne können Sie auf mich zukommen und gemeinsam evaluieren wir, welche Form des VVTs für Ihrer Praxis am besten ist. Wir erstellen Ihnen einen Grundaufbau, mit dem Sie dann weiterarbeiten können, individuell auf Ihre Praxis zugeschnitten. Kontaktieren Sie mich gerne.

Zusammenfassung – Verarbeitungsverzeichnis

Das Verzeichnis von Verarbeitungstätigkeiten, auch VVT genannt, muss von jeder verantwortlichen Stelle angefertigt werden.

Auch Auftragsverarbeiter müssen ein Verzeichnis von Verarbeitungstätigkeiten anfertigen.

Das VVT muss in schriftlicher Form geführt werden. Dies kann auch in einem elektronischen Format erfolgen.

Die inhaltlichen Angaben, die enthalten sein müssen, gibt der Katalog in Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO vor. Dies sind beispielsweise die Zwecke der Verarbeitung, die Kategorien betroffener Personen sowie der personenbezogenen Daten und die Kategorien von Empfängern, denen die personenbezogenen Daten vorgelegt werden.

Verstöße gegen die gesetzlichen Vorgaben für das VVT können mit Bußgeldern von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bestraft werden.

Kategorien

Aktuelle Posts

NEWSLetter

Sie wollen, dass wir Ihnen automatisch unseren aktuellen Blogartikel zusenden? Dann melden Sie sich hier zu unseren Newsletter an.

Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn mit Ihren Bekannten.
ACHTUNG!

Dieser Beitrag ist keine Rechtsberatung! Ich bin zertifizierter Datenschutzbeauftragter aber kein Rechtsanwalt. Von daher kann ich und darf ich keine anwaltlichen Tipps geben und auch keinerlei keinerlei Haftung übernehmen.

Vielen Dank, für die Newsletter anmeldung

Bitte bestätigen Sie Ihre Anmeldung über einen Link den wir Ihnen per Email zugesendet haben. Falls Sie keine E-mail erhalten haben, überprüfen Sie auch den Spam folder.