Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO

Das neue EU-Datenschutzrecht hat das Ziel, in allen Mitgliedstaaten der Europäischen Union ein gleichmäßiges und nachhaltiges Schutzniveau bei der Verarbeitung personenbezogener Daten herbeizuführen. Die ab Ende Mai 2018 wirksame Datenschutz-Grundverordnung (DS-GVO) enthält dafür geeignete Instrumente, um mit einem überschaubaren Arbeitsaufwand einen strukturierten Prozess innerhalb der Arztpraxen zur Einhaltung des Datenschutzes und zur Reduzierung potentieller Risiken für die technische Infrastruktur der Datenverarbeitung anzustoßen. Dies gilt insbesondere für das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO, das eine Zusammenstellung aller Datenverarbeitungstätigkeiten beinhalten soll. Inhabern von Arztpraxen kommt dies entgegen, da sie infolge ihrer täglichen Verarbeitung höchst sensibler Gesundheitsdaten in ihren Einrichtungen eine besondere Verantwortung zur Wahrung von Datenschutz- und Berufsrecht tragen (vgl. Art. 24 Abs. 1 DS-GVO sowie die Vorgaben der Berufsordnung).

Steuerungsinstrument eines datenschutzgerechten Praxisbetriebs

Primäres Ziel des Verzeichnisses nach Art. 30 DS-GVO ist die Anlage einer aussagekräftigen Dokumentation über die einzelnen Datenverarbeitungen z.B. in einer Arztpraxis und die hierzu erforderlichen bzw. ergriffenen technischen oder organisatorischen Schutzvorkehrungen. Durch eine konsequente Fortschreibung des Verzeichnisses kann ohne großen Aufwand eine Historie der in einer Praxis durchgeführten Verfahren und der jeweils zur Absicherung ergriffenen Maßnahmen angelegt werden, die nicht nur im Falle einer Prüfung durch eine Aufsichtsbehörde dem Praxisinhaber die Erfüllung seiner Rechenschaftspflicht ermöglicht, sondern allgemein als Steuerungsinstrument für einen rechtskonformen und wirtschaftlichen Praxisbetrieb herangezogen werden kann. Ein aktuell geführtes Verzeichnis ist darüber hinaus eine wichtige Arbeitsgrundlage für den von der Praxis formell benannten Datenschutzbeauftragten oder einen sonstigen Ansprechpartner, der den verantwortlichen Praxisinhaber in diesem Zusammenhang fachkundig beraten soll.

Pflicht zum Führen des Verzeichnisses

Um einschätzen zu können, welche Datenschutz- und Datensicherheitsrisiken konkret bestehen und was zu tun wäre, um möglichen Gefährdungen für einen ungestörten Behandlungsablauf und die Rechte der Patienten entgegenzutreten, ist die Kenntnis der praxisbezogenen Verarbeitungstätigkeiten unentbehrlich. Denn nur wer die eigenen Verarbeitungsprozesse kennt, kann gezielt Maßnahmen ergreifen, um seinen o.g. rechtlichen Pflichten nachzukommen. Aus diesem Grund war bereits nach der bisherigen Rechtslage ein sog. Verfahrensverzeichnis zu führen (vgl. § 4d BDSG).

Nach Art. 30 Abs. 1 Satz DS-GVO haben jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die ihrer Zuständigkeit unterliegen. Anders als bisher sind in dieses Verzeichnis auch nichtautomatisierte Verarbeitungen aufzunehmen, sofern die Daten in einem Dateisystem gespeichert werden. Die in Art. 30 Abs. 5 DS-GVO enthaltene Ausnahme von der Pflicht zum Führen des Verzeichnisses gilt im Ergebnis nicht für Arztpraxen oder vergleichbare Stellen, da dort regelmäßig Gesundheitsdaten und damit besondere Daten im Sinne von Art. 9 Abs. 1 DS-GVO verarbeitet werden. In diesem Fall muss immer ein Verzeichnis geführt werden.

Bestandsaufnahme der eigenen Datenverarbeitung

Das Verzeichnis von Verarbeitungstätigkeiten ermöglicht in Form einer Bestandsaufnahme dem Verantwortlichen einen ersten Überblick über die Datenschutzverträglichkeit seines Betriebs. Zugleich können daraus Optimierungspotenziale für die Datenverarbeitung sichtbar werden, die ansonsten unentdeckt geblieben wären. Das Verzeichnis stellt somit einen zentralen Baustein für einen effektiven, aber auch ressourcenschonenden Datenschutz dar und sollte deshalb im Bereich der niedergelassenen Heilberufspraxen immer geführt werden.

Inhalt des Verzeichnisses für Verarbeitungstätigkeiten

Der in ein Verzeichnis von Verarbeitungstätigkeiten aufzunehmende Inhalt ergibt sich unmittelbar aus Art. 30 Abs. 1 DS-GVO. Dabei ist zu differenzieren: während die meisten der nach Art. 30 Abs. 1 Satz 2 lit. a DS-GVO anzugebenden Inhalte (Name und Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten) als Stammdaten geführt werden können und daher für alle zu dokumentierenden Verarbeitungen der Arztpraxis immer gleich sind, variieren die sonstigen nach Art. 30 Abs. 1 Satz 2 lit. b bis lit. g DS-GVO zu machenden Angaben abhängig von der Verarbeitungstätigkeit, auf die sie sich beziehen. Grund dafür ist Art. 30 Abs. 1 DS-GVO: Hiernach ist für jede einzelne Verarbeitungstätigkeit eine separate Beschreibung anzufertigen, so dass das Verzeichnis im Ergebnis die Summe aller durch den Verantwortlichen durchgeführten Verarbeitungen einschließlich deren jeweiliger Historie enthält.

Begriff der Verarbeitungstätigkeit

Was in diesem Zusammenhang unter „Verarbeitungstätigkeit“ zu verstehen ist, definiert die Datenschutz-Grundverordnung selbst nicht. Aus Sicht der Konferenz der staatlichen Datenschutzbeauftragten des Bundes und der Länder (DSK) ist damit jeder hinreichend abstrakte Geschäftsprozess eines Verantwortlichen gemeint, dem ein eigener Zweck zugrunde liegt. Kurz gefasst: jeder neue, abgrenzbare Zweck einer Verarbeitung stellt eine eigene Verarbeitungstätigkeit dar, für die auch ein eigenes Verzeichnisblatt anzulegen ist. Bei einer nur geringen Zweckänderung muss der Verantwortliche – d.h. im Bereich der niedergelassenen Heilberufe der Praxisinhaber - prüfen, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen ist. Die Aussagekraft eines derartigen Verzeichnisses hängt somit entscheidend von der Vollständigkeit der darin enthaltenen Verarbeitungstätigkeiten des Verantwortlichen ab.

Erstellung eines Verzeichnisses

Das Vorgehen der niedergelassenen Arztpraxen zur ersten Erstellung eines eigenen Verzeichnisses von Verarbeitungstätigkeiten ist damit vorgezeichnet: abgesehen von den einfach anzugebenden Stammdaten müssen zunächst die im Praxisbetrieb anfallenden Geschäftsprozesse, bei denen Patienten- oder Mitarbeiterdaten verarbeitet werden, getrennt nach den einzelnen jeweils zugrunde liegenden Zweckbestimmungen identifiziert werden. Danach sind die nach Art. 30 Abs. 1 Satz 2 it. b bis g DS-GVO zu machenden Angaben in das Verzeichnisblatt einzutragen: neben dem Zweck der Verarbeitungstätigkeit gehören hierzu eine Beschreibung der Kategorien von Personen, die von der Datenverarbeitung betroffen sind, und der Daten, die verarbeitet werden, sowie der potentiellen Empfänger, denen die Daten offengelegt werden sollen. Dies umfasst auch interne Zugriffsberechtigte. Darüber hinaus sind Datenübermittlungen an ein Drittland oder an eine internationale Organisation, Löschfristen für die jeweiligen Datenkategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung anzugeben. Sofern einzelne Verarbeitungstätigkeiten in gemeinsamer rechtlicher Verantwortung (Art. 26 DS-GVO) mit anderen Stellen oder Personen durchgeführt werden, muss dies insoweit nach Art. 30 Abs. 1 Satz 2 lit. a DS-GVO kenntlich gemacht werden.

Beispiele für einzelne Bestandteile des Verzeichnisses nach Art. 30 DS-GVO in Arztpraxen, soweit Patientendaten betroffen sind:

Verarbeitungstätigkeit:

Untersuchung/Diagnostik, Behandlungsdokumentation, Erstellung einer AU-Bescheinigung, Begutachtung, Videosprechstunde, Abrechnung, Überweisung, Terminvergabe, Rezeptierung, Tätigkeit als Vertretungsarzt, Qualitätssicherung, MDK-Prüfungen, Erfüllung von Mitteilungs- oder Meldepflichten, Austausch mit Sozialleistungsträgern, Forschung, Einsatz von Videokameras. Abhängig von den Umständen der konkreten Tätigkeiten kann es Sinn machen, diese noch granularer abzubilden, sofern dabei unterschiedliche Methoden der Datenverarbeitung praktiziert werden (z.B. statt „Untersuchung“ Differenzierung nach „allgemeine Untersuchung“, “Laboruntersuchung“ und „Untersuchung mit einem digitalen Medizinprodukt“ oder statt „Abrechnung“ nach „Abrechnung von GKV-Patienten“ und „Privatabrechnung“).

Zweck der Verarbeitung (Art. 30 Abs. 1 S. 2 lit. b DS-GVO):

Die Zwecke der Verarbeitung definieren die in einer Arztpraxis daraus abgeleiteten Geschäftsprozesse bzw. Verarbeitungstätigkeiten. Deshalb ist unter „Zweck der Verarbeitung“ die einzelne Verarbeitungstätigkeit anzugeben.

Kategorien betroffener Personen und personenbezogener Daten (Art. 30 Abs. 1 Satz 2 lit. c DS-GVO):

Bezogen auf die Kategorie der Patienten sind z.B. Anamnese-, Diagnose- und Befunddaten, Labordaten, Fremdbefunde, Abrechnungsdaten, Adressdaten, Daten von Angehörigen/gesetzlichen Vertretern, Daten von Arbeitgebern, Gutachten und Bescheinigungen denkbar.

Kategorien von Empfängern (Art. 30 Abs. 1 Satz 2 lit. d DS-GVO):

Je nach Verarbeitungstätigkeit kommen u.a. in Betracht Patient und Angehörige, Kassenärztliche Vereinigung, gesetzliche oder private Krankenversicherung, Medizinischer Dienst der Krankenversicherung, andere Sozialversicherungsträger, Beihilfestelle, privatärztliche Abrechnungsstelle, IT-Dienstleister, IT-Hersteller, Vor-, Weiter- oder Nachbehandler, andere Leistungserbringer (z.B. aus dem Hilfs- oder Heilmittelbereich), Krankenhaus, Pflegedienst, Gesundheitsamt, Robert-Koch-Institut, Arbeitgeber, Heilberufskammer, Krebsregister, Apotheken, Forschungseinrichtung Stellen der Sozialverwaltung, Pharma-Industrie, Haftpflichtversicherung, Justiz.

Löschfristen (Art. 30 Abs. 1 Satz 2 lit. f DS-GVO):

Gesetzlich oder berufsrechtlich vorgesehene Aufbewahrungs- und Löschfristen (z.B. aus dem Strahlenschutzgesetz, dem Sozialrecht oder der Berufsordnung) oder, soweit diese nicht greifen, durch den Verantwortlichen festgelegte Aufbewahrungsfristen.

Technische und organisatorische Maßnahmen (Art. 30 Abs. 1 Satz 2 lit. g DS-GVO):

Die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung erfolgt separat in einem zentralen Informationssicherheitskonzept. Auf dieses kann allgemein im Verzeichnis von Verarbeitungstätigkeiten verwiesen werden. Darüber hinaus können jedoch hier noch einzelne weitere Maßnahmen, die über das übliche Maß hinausgehen, gesondert dokumentiert werden

Ergänzende Angaben

Neben den nach Art. 30 Abs. 1 DS-GVO obligatorisch aufzunehmenden Inhalten kann das Verzeichnis durch weitere Angaben ergänzt werden. Dies ist vor dem Hintergrund der neu in das Datenschutzrecht aufgenommenen Rechenschafts- bzw. Nachweispflicht des Verantwortlichen (Art. 5 Abs. 2 DS-GVO) durchaus empfehlenswert. Konkret kommen als Ergänzungen z.B. Angaben zur Rechtsgrundlage der Verarbeitung, zu möglicherweise eingebundenen Dienstleistern (Datenverarbeitung im Auftrag), zur Erfüllung der Informationspflichten (Art. 13 f. DS-GVO) und zur Durchführung einer Datenschutz-Folgenabschätzung bzw. der damit zusammenhängenden Risikobewertung (Art. 35 DS-GVO) in Betracht. Auch Hinweise zu ggf. bestehenden Verhaltensregeln im Sinne von Art. 40 DS-GVO könnten aufgenommen werden.

Pflicht zum Führen eines Verzeichnisses auch für Auftragsverarbeiter

Eine wesentliche mit Art. 30 DS-GVO einhergehende Neuerung ist schließlich die Pflicht zum Führen eines solchen Verzeichnisses auch für die mit der Datenverarbeitung beauftragten Dienstleister, den sog. Auftragsverarbeitern. Das derartige Verzeichnis ist weniger umfangreich als das des Verantwortlichen. So muss es neben den Kontaktdaten des Auftragsverarbeiters und jedes Auftraggebers, für den er tätig ist, lediglich Angaben zu den Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden, etwaigen Übermittlungen in Drittländer und eine Beschreibung der technisch-organisatorischen Maßnahmen enthalten.

Sanktionen

Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde können nach Art. 83 Abs. 4 lit. a DS-GVO bzw. nach Art. 83 Abs. 5 lit. e DS-GVO mit einer Geldbuße sanktioniert werden.

Weiterführende Hinweise und Muster

Die DSK hat neben einem Kurzpapier Hinweise zum Führen des Verzeichnisses erstellt, insbesondere Beispiele für die jeweiligen Kategorien und Inhalte. Des Weiteren wurden Muster-Verzeichnisse sowohl für das Verzeichnis des Verantwortlichen als auch für das Verzeichnis des Auftragsverarbeiters entwickelt, die allesamt im Internet abgerufen werden können.“

Check

  1. Wurde in der Vergangenheit bereits ein Verfahrensverzeichnis geführt, das als erste Orientierung für ein Verzeichnis von Verarbeitungstätigkeiten herangezogen werden kann?
  2. Wer kümmert sich in der Praxis vorrangig um das Führen des Verzeichnisses von Verarbeitungstätigkeiten und dessen Aktualisierung?
  3. Sind die in dem Verzeichnis aufgenommenen Verarbeitungstätigkeiten vollständig?
  4. Enthält das Verzeichnis auch die ergänzenden Angaben z.B. zur Rechtsgrundlage der Verarbeitung oder beauftragten Dienstleistern?
  5. Ist das Verzeichnis nach Art. 30 DS-GVO für den Praxisinhaber jederzeit verfügbar?
  6. Führt der von Ihrer Praxis mit Aufgaben der Datenverarbeitung beauftragte Dienstleister ebenfalls ein Verzeichnis nach Art. 30 Abs. 2 DS-GVO?