Anzeige
Qualitätsmanagement 10.01.2019

Nachweispflichten bei Verarbeitung personenbezogener Daten

Nachweispflichten bei Verarbeitung personenbezogener Daten

Die EU-Datenschutz-Grundverordnung – DSGVO – weitet die Nachweispflichten bei der Verarbeitung personenbezogener Daten gegenüber den bisherigen Anforderungen nach deutschem Recht deutlich aus. Nach Erwägungsgrund 82 der DSGVO muss der Verantwortliche für das interne Datenschutzmanagement einer Zahnarztpraxis „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis von Verarbeitungstätigkeiten führen. Diese Forderung wird im Artikel 30 DSGVO spezifiziert und ersetzt das bisherige Verfahrensverzeichnis bzw. die Verarbeitungsübersicht nach altem deutschen Datenschutzrecht.

Mithilfe der angelegten Verarbeitungsverzeichnisse über alle Vorgänge, die mit der Verarbeitung personenbezogener Daten zu tun haben, soll sich eine höhere Transparenz im Datenschutzmanagement einstellen. Für die zuständige Datenschutzbehörde wird damit der Nachweis erbracht, dass die Anforderungen der Datenschutz-Grundverordnung praxisintern umgesetzt werden. Auf Verlangen müssen die Verarbeitungsverzeichnisse der Behörde zur Verfügung gestellt werden, da sie inhaltlich sehr aussagekräftig sind.

Das Wichtigste für uns aber ist, dass unser Verarbeitungsverzeichnis Bewusstsein schafft und uns die Selbstüberprüfung erleichtert. Somit gehören die Verarbeitungsverzeichnisse zu den wichtigsten Unterlagen eines Datenschutzmanagements.

Die notwendigen Inhalte

Auszug aus der DSGVO Artikel 30 Abs. 1. Dieses Verzeichnis enthält sämtliche folgende Angaben:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung (WARUM werden die Daten von uns erhoben?);
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (WER ist von der Erhebung betroffen: Patienten, Mitarbeiter, Lieferanten? und WELCHE Daten werden erhoben?);
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen (WER bekommt die Daten?);
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Da in die Verzeichnisse sehr viele Informationen gebracht werden müssen, wird zur Darstellung eine Tabellenform empfohlen. Des Weiteren sollte überlegt werden, dass für die unterschiedlichen „Betroffenen“ (Mitarbeiter, Patienten, Lieferanten/ Dienstleister) je ein Verzeichnis angelegt werden sollte.

Beispiel für ein Verarbeitungsverzeichnis „Mitarbeiter“

ART der Verarbeitung?
– Datenerfassung

WARUM bearbeite ich die Daten?
– Führen einer Personalakte

Ansprechpartner:
– Praxisleitung

WELCHE Art an Daten wird verarbeitet?
– Name und Vorname, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Bewerbungsunterlagen, Zeugnisse und Zertifikate

WO werden die Daten abgelegt?
– Büro Praxisleitung, Personalordner

WER bekommt die Daten?
– praxisintern

WIE lange werden die Daten archiviert?
– sechs Jahre für Handels- und Geschäftsbriefe gemäß § 147 Abs. 1 Nr. 2 und 3 AO und § 257 Abs. 1 Nr. 2 und 3 HGB (Handelsbriefe)

Beispiel für ein Verarbeitungsverzeichnis „Patient“

ART der Verarbeitung?
– Datenerfassung

WARUM bearbeite ich die Daten?
– Erfassen der Anamnese bei einem Neupatienten

Ansprechpartner:
– Empfang der Praxis

WELCHE Art an Daten wird verarbeitet?
– Name und Vorname, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Gesundheitsdaten, Krankenkasse, Versicherungsnummer, ggf. Medikationsplan

WO werden die Daten abgelegt?
– Patientenverwaltungsprogramm oder Patientenkartei

WER bekommt die Daten?
– praxisintern

WIE lange werden die Daten archiviert?
– zehn Jahre für abrechnungsbegründende Unterlagen gemäß § 630f BGB

Ab sofort steht den Zahnarztpraxen in Deutschland das neue Datenschutz-NaviHandbuch zur Verfügung. Das neue Handbuch kann bequem über unsere Homepage www.der-qmberater.de  bestellt werden.

Der Beitrag ist in der ZWP Zahnarzt Wirtschaft Praxis erschienen.

Foto: wladimir1804 – stock.adobe.com
Mehr
Mehr News aus Qualitätsmanagement

ePaper

Anzeige