Blogserie Datenschutz in der Arztpraxis - Teil 4: Verzeichnis von Verarbeitungstätigkeiten und Auftragsverarbeiter

Verzeichnis von Verarbeitungstätigkeiten und Auftragsverarbeiter – Vorbereitet sein auf den Ernstfall

Das Verzeichnis von Verarbeitungstätigkeiten und der Umgang mit Auftragsverarbeitern sind nicht wegzuredende Anforderungen der EU-Datenschutz-Grundverordnung. Diesen Anforderungen müssen sich alle Unternehmen (nicht nur Ärzte), die personenbezogene Daten verarbeiten oder verarbeiten lassen, stellen.

Dabei ist beides, sowohl die Regelungen des Verzeichnis von Verarbeitungstätigkeiten als auch der Abschluss und die Kontrolle von Vereinbarungen zur Verarbeitung von Daten im Auftrag, alter Wein in neuen Schläuchen. Zu alten BDSG-Zeiten hieß das Verzeichnis von Verarbeitungstätigkeiten (oder Verarbeitungsverzeichnis) noch Verfahrensverzeichnis und Auftragsverarbeiter hießen Auftragsdatenverarbeiter. Was den europäischen Gesetzgeber geritten hat, die Begriffe zu ändern und den Rest fast gleich zu lassen, kann ich nur mutmaßen – eine Arbeitsbeschaffungsmaßnahme für Rechtsanwälte war es aber nicht.

Fangen wir an mit dem Verarbeitungsverzeichnis. Da gibt es nach Art. 30 Abs. 5 DSGVO eine Ausnahme: Wenn Sie weniger als 250 Mitarbeiter beschäftigen, dann sind Sie von der Pflicht, ein Verfahrensverzeichnis befreit. Aber nur, wenn keiner Ihrer Mitarbeiter „besondere Kategorien“ personenbezogener Daten (das schließt nach Art. 9 Abs. 1 DSGVO Gesundheitsdaten ein) verarbeiten oder wenn die Verarbeitung der Daten nicht nur gelegentlich erfolgt. Ärzte müssen also ein Verarbeitungsverzeichnis führen, laufend pflegen und anhand dessen regelmäßig die Ordnungsmäßigkeit und Rechtmäßigkeit der Datenverarbeitung überprüfen.

Ein Verfahrensverzeichnis muss folgende Informationen nach Art. 30 Abs. 1 DSGVO beinhalten:

  1. Name und Kontaktdaten des Verantwortlichen
  2. Name und Kontaktdaten des Datenschutzbeauftragten

Sowie für jede Verarbeitungstätigkeit einzeln

  1. Bezeichnung der Verarbeitungstätigkeit
  2. Zwecke der Verarbeitung
  3. Kategorien betroffene Personen
  4. Kategorien von personenbezogenen Daten
  5. Kategorie von Empfängern
  6. Drittlandstransfer (Transfer von Daten außerhalb der EU, z. B. Clouddienste in den USA, DuDa/Jimdo-Webseite)
  7. Löschfristen
  8. Technische und organisatorische Maßnahmen (Verweis auf das Informationssicherheitskonzept)

Auch wenn die Punkte 3-10 sind für jede Verarbeitungstätigkeit einzeln auszufüllen sind, werden sich Eintragungen teilweise wiederholen, z. B. die technisch-organisatorischen Maßnahmen. Trotzdem kommt bei einer Arztpraxis mit zwei Ärzten und einer normalen Praxisausstattung einiges zusammen, was zu dokumentieren ist.

Muster für Verarbeitungsvorgänge bei einem Verzeichnis von Verarbeitungstätigkeiten in einer Arztpraxis

  1. Verarbeitung von Patientendaten zur Behandlung
  2. Verarbeitung von Patientendaten zur Abrechnung
  3. Verarbeitung von Patientendaten zur Abrechnung über einen externen Dienstleister
  4. Betrieb der eigenen Webseite
  5. Betrieb der Online-Terminvergabe (über einen Auftragsverarbeiter)
  6. Online-Anamnesebogen
  7. Betrieb der Facebook Fanpage
  8. Nutzung von Google Analytics
  9. Personalverwaltung und Lohnabrechnung
  10. Betrieb des Röntgengeräts und aller angeschlossener Peripherie
  11. Digitale Kameradokumentation, z.B. FotoFinder oder Interoralkamera
  12. Videoüberwachung zum Schutz des Eigentums (siehe dazu den nächsten Blogeintrag)
  13. Datensicherung über Cloud-Dienste

Ein solches Verzeichnis von Verarbeitungstätigkeiten müssen Sie nicht nur erstellen und pflegen. Nach Art. 5 Abs. 2 müssen Sie auch die Rechtmäßigkeit der personenbezogenen Datenverarbeitung anhand dieses Verarbeitungsverzeichnisses regelmäßig überprüfen. Checklisten dazu gibt es, nur sollten Sie für diesen Schritt eine externe Unterstützung annehmen. Dabei wird gleichzeitig Ihr selbst dokumentiertes Verarbeitungsverzeichnis überprüft und gegebenenfalls angepasst. Schieben Sie die Erstellung des Verzeichnis von Verarbeitungstätigkeiten nicht auf die lange Bank: Sie müssen ein solches Verzeichnis führen und diese der Aufsichtsbehörde auf Verlangen jederzeit zur Verfügung stellen können.

Kommen wir zum zweiten Punkt: Auftragsverarbeiter. Viele der oben genannten Verarbeitungsvorgänge führen Sie nicht selbstständig aus. Vergleichsweise selten (aber nicht unmöglich) werden Sie ihre eigene Praxiswebseite betreiben. Auch bedienen sich vieler Ärzte eines Inkassodienstleisters (die nennen das nur anders – nämlich z.B. Abrechnungsstelle), welcher von den Ärzten Gesundheitsdaten im Form von Abrechnungsdaten erhält. Diese und viele weitere Auftragsverarbeitungsverhältnisse müssen (nicht erst seit dem 25. Mai 2018) datenschutz-vertraglich geregelt werden. Die dazu notwendige Auftragsverarbeitungsvereinbarung zwischen dem Auftraggeber (dem Arzt) und dem Auftragnehmer (dem Auftragsverarbeiter) soll dem Verantwortlichen (dem Arzt) ausreichende Garantien geben, dass der Auftragnehmer die Verarbeitung der personenbezogenen Daten im Auftrag im Einklang mit den datenschutzrechtlichen Bestimmungen durchführt.

Eine solche Auftragsverarbeitung muss folgende Punkte beinhalten:

  1. Gegenstand und Dauer des Auftrags
  2. Umfang, Art und Zweck der vorgesehenen Verarbeitung von Daten
  3. Art der Daten
  4. Kategorien betroffener Personen
  5. Gewährleistung der Betroffenenrechte
  6. Rechte und Pflichten des Auftraggebers
  7. Umfang der Weisungsbefugnisse, die der Auftraggeber gegenüber dem Auftragnehmer hat
  8. Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers
  9. Pflichten des Auftragnehmers
  10. Berechtigung zur Begründung von Unterauftragsverhältnissen
  11. Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Vorschriften oder gegen die im Auftrag getroffenen Festlegungen
  12. Die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags
  13. Technisch-organisatorische Maßnahmen des Auftragnehmers

Falls Sie keine abgesegnete, eigene vertragliche Vorlage für eine solche Auftragsverarbeitungsvereinbarung haben, müssen Sie auf die Vorlage des Auftragsverarbeiters zurückgreifen. Sie können sich sicherlich vorstellen, dass eine solche Vorlage die Rechte und Pflichten jeweils sehr einseitig auslegt. Deswegen müssen Sie jede Auftragsverarbeitungsvereinbarung überprüfen, bevor Sie sie unterschreiben. Abschließend sollten Sie noch beachten, dass Sie gesetzlich verpflichtet sind, die Arbeit des Auftragsverarbeiters regelmäßig zu überprüfen – in welchem Umfang ihnen das Ihr Auftragsverarbeiter aber nur gestattet und was das für Sie dann kostet steht teilweise in Punkt 8 der oben dargestellten Auftragsverarbeitungsvereinbarung.

Keine solche Auftragsverarbeitungsvereinbarung müssen Sie vereinbaren, wenn Sie mit anderen Berufsgeheimnisträgers (Steuerberater – außer für die Lohn- und Gehaltsabrechnung, Rechtsanwälte) zusammenarbeiten, wenn Sie Forderungen direkt an Inkassobüros übertragen, wenn Sie Banken mit dem Geldtransfer beauftragen oder wenn Sie einen Brief mit der Deutschen Post versenden wollen.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter,
Datenschutz und Informationssicherheit
Aachen