DSGVO: Verzeichnis von Verarbeitungstätigkeiten im Gesundheitssektor

Wer braucht ein Verarbeitungs-Verzeichnis?

Prak­ti­sch je­des Un­ter­neh­men, je­der Selbstständige und je­der Ver­ein braucht ein Ver­zeich­nis von Ver­ar­bei­tungstätig­kei­ten. Dies gilt auch für kleine Un­ter­neh­men mit we­ni­ger als 250 Be­schäftig­ten. Nur in sel­te­nen Aus­nah­mefällen entfällt diese bußgeld­be­wehrte Pflicht für kleine Un­ter­neh­men.

Inhalt eines Verarbeitungs-Verzeichnisses

In einem Ver­ar­bei­tungs-Ver­zeich­nis wer­den die ein­zel­nen Ver­ar­bei­tungstätig­kei­ten do­ku­men­tiert. Ver­ar­bei­tungstätig­kei­ten sind Pro­zesse ei­nes Un­ter­neh­mens, in de­nen per­so­nen­be­zo­gene Da­ten er­ho­ben, ge­spei­chert, ge­nutzt oder ver­ar­bei­tet wer­den. Man kann da­her auch von ei­ner Do­ku­men­ta­tion von Ver­ar­bei­tungs-Pro­zes­sen spre­chen.

Das Ver­ar­bei­tungs-Ver­zeich­nis muss fol­gen­den In­halt ha­ben:

• Na­men und Kon­takt­da­ten des oder der Un­ter­neh­men, die die Da­ten al­leine oder ge­mein­sam ver­ar­bei­ten,
• Name und Kon­takt­da­ten des EU-Ver­tre­ters ei­nes Un­ter­neh­mens ohne Sitz in der EU,
• Name und Kon­takt­da­ten des Da­ten­schutz­be­auf­trag­ten, so­fern vor­han­den,
• Zwecke der Da­ten­ver­ar­bei­tung,
• Ka­te­go­rien der be­trof­fe­nen Per­so­nen,
• Da­ten­ar­ten,
• Ka­te­go­rien der Empfänger der Da­ten,
• Über­mitt­lun­gen in Drittländer, so­fern vor­han­den,
• Fris­ten für die Löschung von Da­ten,
• Be­schrei­bung der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maßnah­men (TOM-Liste).

Die Do­ku­men­ta­tion der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maßnah­men zum Da­ten­schutz kann um­fang­reich und über meh­rere Do­ku­mente ver­teilt sein. Es reicht da­her aus, wenn sich die all­ge­meine Be­schrei­bung die­ser Maßnah­men auf eine Zu­sam­men­fas­sung der er­grif­fe­nen Maßnah­men be­schränkt und auf die Do­ku­mente, die diese Maßnah­men ge­nauer be­schrei­ben, ver­wie­sen wird.

So­weit Un­ter­neh­men Da­ten als Auf­trags­ver­ar­bei­ter ver­ar­bei­ten, er­gibt sich der et­was ab­ge­speckte Pflicht­in­halt ei­nes Ver­ar­bei­tungs-Ver­zeich­nis­ses aus Art. 30 Abs. 2 DS­GVO.

Form eines Verarbeitungs-Verzeichnisses

Das Ver­ar­bei­tungs-Ver­zeich­nis kann schrift­lich, aber auch elek­tro­ni­sch in ei­ner Da­tei geführt wer­den. Es bie­tet sich fol­gen­der Auf­bau an:

• Deck­blatt mit An­ga­ben, die für alle Ver­ar­bei­tungs-Pro­zesse gleich sind (Name des Un­ter­neh­mens, Kon­takt­da­ten usw.),
• Be­schrei­bung der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maßnah­men, die für alle Ver­ar­bei­tungs-Pro­zesse gleich sind,
• Do­ku­men­ta­tion der Ver­ar­bei­tungs-Pro­zesse im Ein­zel­nen.

Hinweis

Das Ver­ar­bei­tungs-Ver­zeich­nis dient in ers­ter Li­nie der in­ter­nen Do­ku­men­ta­tion. Im Fall ei­ner Prüfung durch eine Da­ten­schutz­behörde dürfte das Ver­ar­bei­tungs-Ver­zeich­nis aber meist das er­ste Do­ku­ment sein, das die Da­ten­schutz­behörde se­hen möchte. Das Ver­ar­bei­tungs-Ver­zeich­nis sollte da­her über­sicht­lich, leicht aus­druck­bar und nicht mit zu vie­len zusätz­li­chen In­for­ma­tio­nen über­frach­tet sein. In klei­ne­ren Un­ter­neh­men kann es aber sinn­voll sein, das Ver­ar­bei­tungs­ver­zeich­nis auch zur Erfüllung ei­nes Teils sons­ti­ger DS­GVO-Do­ku­men­ta­ti­ons­pflich­ten zu ver­wen­den. Zu­min­dest größere Un­ter­neh­men benöti­gen zur Erfüllung ih­rer Re­chen­schafts­pflich­ten aber ein Da­ten­schutz-Ma­nage­ment-Sys­tem (DSMS).