Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist eine schriftliche (auch elektronische) Dokumentation aller Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Für Arztpraxen als Verantwortliche nach DSGVO ist es verpflichtend und muss der Datenschutzbehörde auf Anforderung vorgelegt werden können.
Bedeutung für Ärzte
Arztpraxen verarbeiten besonders sensible Gesundheitsdaten im Sinne von Art. 9 DSGVO. Das Verarbeitungsverzeichnis muss für jede Datenverarbeitungstätigkeit folgende Informationen enthalten: Name und Kontaktdaten des Verantwortlichen (Praxisinhaber), Zweck der Verarbeitung (z. B. Patientenbehandlung, Abrechnung), Kategorien der betroffenen Personen (Patienten, Mitarbeiter), Kategorien der Daten, Empfänger und Löschfristen. Ein fehlendes oder unvollständiges Verarbeitungsverzeichnis kann bei Datenschutzprüfungen zu Bußgeldern führen; nach Art. 83 DSGVO können Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes verhängt werden. In der Praxis sind kleinere Bußgelder (1.000 bis 50.000 Euro) für Praxen mit dokumentarischen Mängeln realistisch. Ärzteversichert empfiehlt, das Verarbeitungsverzeichnis mit einem Datenschutzberater zu erstellen und jährlich zu aktualisieren.
Abgrenzung
Das Verarbeitungsverzeichnis ist von der Datenschutzerklärung zu unterscheiden: Letztere ist eine externe Information für Patienten über den Umgang mit ihren Daten. Das Verarbeitungsverzeichnis ist ein internes Dokument für die Datenschutzaufsichtsbehörde. Es ist auch nicht mit dem Datenschutz-Audit identisch.
Beispiel
Eine hausärztliche Praxis führt ein Verarbeitungsverzeichnis mit folgenden Einträgen: Patientenbehandlung (Daten: Name, Geburtsdatum, Diagnosen; Empfänger: Labor, Fachärzte; Löschfrist: 10 Jahre); Personalabrechnung (Lohndaten; Empfänger: Steuerberater; Löschfrist: 6 Jahre); Praxisvideo-Überwachung (nur wenn vorhanden; Löschfrist: 72 Stunden).
Quellen
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →