DSGVO: Pflicht zur Führung eines Verarbeitungsverzeichnisses

(09.03.2018) Die Dokumentationspflichten sind ein wichtiger Baustein in der neuen Datenschutz-Grundverordnung. Sie dienen dem Nachweis der Erfüllung der Pflichten, vor allem in Bezug auf die Rechte der Betroffenen. Im Zentrum steht das Verzeichnis aller Datenverarbeitungen, das Verarbeitungsverzeichnis.

Bildquelle: pixabay/Creative Commons CC0 Zur ab 25. Mai 2018 geltenden neuen EU Datenschutz-Grundverordnung (DSGVO) berichten wir im VET-MAGAZIN seit Dezember mit einer eigenen Artikelserie. In diesem Artikel behandeln wir die umfassenden Dokumentationspflichten.

Gegenüber der Aufsichtsbehörde muss der Nachweis erbracht werden können, dass die Rechte der Betroffenen (das sind im Fachjargon der DSGVO diejenigen Personen, um deren Daten es geht) vollständig eingehalten werden. Das ist aufwändig und erfolgt am besten in strukturierter Form im Rahmen der allgemeinen Dokumentationspflichten. In Artikel 30 der DSGVO werden Unternehmen zum Führen eines "Verzeichnisses von Verarbeitungstätigkeiten" verpflichtet.

"Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1."

Schon bisher mussten Datenverarbeitungen dokumentiert und an das Datenverarbeitungsregister (DVR) gemeldet werden, außer sie waren eine der sogenannten "Standardanwendungen", für die die Meldepflicht nicht bestand. Mit Mai 2018 wird das DVR ersatzlos abgeschafft und durch die betriebsinternen Dokumentationspflichten ersetzt.

Grundlegender Zweck des Verarbeitungsverzeichnisses ist die Unterstützung der Verantwortlichen (also im Fachjargon diejenigen, die eine Datenverarbeitung betreiben oder betreiben lassen - in der Praxis Sie als Tierarzt) und der Aufsichtsbehörde, der es auf Anfrage auch jederzeit zur Verfügung gestellt werden muss. Da Sie sich zur Erstellung des Verzeichnisses umfassend mit Ihren betrieblichen Strukturen auseinandersetzen müssen, ist es auch der geeignete Ausgangspunkt für die Umsetzung der Anforderungen durch die DSGVO.

Praktisch jeder ist zur Führung verpflichtet

Artikel 30 Absatz 5 der DSGVO definiert zwar:

"Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt"

Von der Erleichterungsklausel "weniger als 250 Mitarbeiter" werden wohl bis auf große Klinik-Ketten alle Tierärzte umfasst sein. Trotzdem ist die Bestimmung "nicht nur gelegentlich" zu unklar. Die Österreichische Wirtschaftskammer führt hierzu in den FAQ aus: "Der Gesetzestext spricht hier allgemein vom „Risiko für Rechte und Freiheiten der betroffenen Personen“, er schränkt hier nicht auf ein „hohes“ oder „besonderes“ Risiko ein. Naturgemäß birgt jedoch jede Verarbeitung personenbezogener Daten ein Risiko, wodurch wiederum alle Datenverarbeitungen verzeichnet werden müssten. Man muss also wohl davon ausgehen, dass der Gesetzgeber hier doch ein „besonderes Risiko“ gemeint hat. Auch der Begriff „gelegentlich“ ist in der DSGVO und in den Erwägungsgründen nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit besteht, erfolgen. Als Beispiel wird das Anfertigen von Fotografien auf einem Firmenevent genannt. Es ist daher zum jetzigen Zeitpunkt davon auszugehen, dass grundsätzlich jedes Unternehmen, das eine Kundendatenbank führt oder eine Mitarbeiterverwaltung betreibt, ein Verarbeitungsverzeichnis benötigt." Das Verzeichnis ist schriftlich zu führen, wobei auch eine elektronische Form zulässig ist.

Schritte zur Erstellung

Die beste Herangehensweise zur Erstellung des Verarbeitungsverzeichnisses ist es, zuerst eine umfassende Analyse der Geschäftsprozesse im Unternehmen vorzunehmen. Alle Prozesse, in denen personenbezogene Daten verarbeitet werden, müssen identifiziert und erfasst werden. Dabei erkennt man auch gleich, wer für die jeweiligen Prozesse verantwortlich ist, also die Prozessverantwortlichen.

Danach betrachtet man die konkreten Verarbeitungen innerhalb der Prozesse und findet so die Eigentümer der Verarbeitung. In der tierärztlichen Praxis ist man dies in den meisten Fällen wohl selbst, wobei auch denkbar ist, dass die Führung der Kundendatei beispielsweise vollständig an den/die Helfer/in delegiert worden sein kann.

Wichtig ist, auch die ausgelagerten Prozesse nicht zu vergessen. Hier sind meist zumindest Buchhaltung und Lohnverrechnung betroffen.

Im nächsten Schritt werden für alle Verarbeitungen die Zwecke erhoben und schriftlich festgehalten, ebenso eine Beschreibung der Verarbeitung, die am besten so formuliert wird, dass sie auch gleich für die interne und externe Kommunikation in Bezug auf diese Verarbeitung herangezogen werden kann.

Wie schon hier geschrieben, ist einer der Grundsätze der DSGVO, dass die Verarbeitung von personenbezogenen Daten nur in einer für die betroffene Person nachvollziehbaren Weise erlaubt ist und nur wenn diese rechtmäßig ist. Es gibt dabei den sogenannten Erlaubsnisvorbehalt. Weniger juristisch formuliert heißt das: es ist alles verboten, was nicht explizit durch Gesetze erlaubt ist oder dem eine betroffene Person die Zustimmung gegeben hat. Für jede Verarbeitung muss also die rechtliche Grundlage erfasst werden.

Diese personenbezogenen Daten müssen in Kategorien eingeteilt werden und für jede Kategorie bestimmt werden, wer die Empfänger der Daten sind, falls diese anderen zugänglich gemacht werden, welche Aufbewahrungsfristen gelten bzw. ab wann die Daten wieder gelöscht werden müssen und ob diese an ein Drittland bzw. eine internationale Organisation übermittelt werden.

Für jede Verarbeitung muss eine Risikoanalyse gemacht werden, in der festgestellt wird, welchen Risiken die Daten selbst unterworfen sind aber auch, welche Risiken für die Freiheiten und Rechte der betroffenen Personen bestehen, wenn die Daten unbeabsichtigt gelöscht werden oder von unbefugten Dritten erlangt werden. Die bestehenden Risiken müssen behandelt und minimiert werden. 

Das erfolgt unter anderem durch geeignete technische und organisatorische Maßnahmen, die ebenfalls im Verarbeitungsverzeichnis dokumentiert werden müssen. Beispielhaft wäre die verschlüsselte Abspeicherung der Daten zu nennen. Gelangt jemand unbefugt in Besitz des Datenträgers, sind die Daten immer noch verschlüsselt und damit geschützt. Auf diesem Weg findet auch die vorgeschriebene und hier behandelte angemessene Sicherheit bei der Datenverarbeitung Eingang in die Dokumentation.


Bilden Sie sich weiter!

Zum Thema der Datenschutzgrundverordnung (DSGVO) bieten wir Ihnen als Tierarzt in Zusammenarbeit mit VETS4VETS und B.Braun unter dem Titel "Datenschutz mit der neuen EU-Verordnung" eine praxisorientierte Fortbildung, wie Sie Ihre Tierarztpraxis gesetzeskonform machen.

Der Vortrag wird von Christoph Illnar gehalten, der als technisch Verantwortlicher im COMMUNITOR Verlag unter anderem auch für den Betrieb des VET-MAGAZIN verantwortlich ist. Als Co-Herausgeber vereint er langjährige Erfahrung im Bereich der IT Security mit profunder Kenntnis der tierärztlichen Praxis.

Die Termine und Anmeldelinks sind:

Für Sie als VET-MAGAZIN-Leser gibt es € 25,- Ermäßigung!

Verwenden Sie bitte bei der Buchung den Gutschein-Code: DSGVO4VET



Bildquelle: pixabay/Creative Commons CC0

DSGVO: Ist WhatsApp noch erlaubt und wäre Signal eine Alternative?

Der beliebte Instant-Messenger „WhatsApp“ eignet sich für Gruppenchats, Textnachrichten, kostenlose Sprachanrufe sowie für den Austausch von Fotos und Videos. Leider steht er im Konflikt mit der DSGVO und könnte Ihnen eine empfindliche Strafe eintragen. Die alternative App „Signal“ ist davon nicht betroffen.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Software für die Tierarztpraxis

Die ab 25. Mai 2018 geltende Datenschutzgrundverordnung wirft natürlich auch die Frage auf, ob die in der Praxis eingesetzte Software bereits ausreichend darauf vorbereitet ist. Ein Rundruf unter den Anbietern.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Könnten Sie auf einen derartigen Brief bereits korrekt reagieren?

Der kanadische Datenschutzexperte Constantine Karbaliotis von PwC konnte mit seinem „Nightmare Letter“ veranschaulichen, was auf die Unternehmen – und Tierärzte – mit der ab 25. Mai 2018 geltende Datenschutzgrundverordnung zukommt.
Weiterlesen

vets4vets

Datenschutz mit der neuen EU-Verordnung: Wie Sie Ihre Tierarztpraxis gesetzeskonform machen

Seminar mit IT & Security Specialist Christoph Illnar am 29. April 2018 in Maria Enzersdorf
Weiterlesen

myvetlearn

eLearning-Kurs zur EU-Datenschutz-Grundverordnung - Was Tierarztpraxen beachten müssen

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Damit gehen zahlreiche Änderungen der bislang geltenden Datenschutzbestimmungen einher
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO und die Tierarztpraxis – die Zeit läuft

Für die Datenschutzgrundverordnung muss ab 25. Mai 2018 auch in der Tierarztpraxis alles vorbereitet sein. Falls Sie noch kein Verfahrensverzeichnis haben, dann ist jetzt höchste Zeit, denn die Erstellung lässt sich nicht in einer Stunde erledigen.
Weiterlesen

inBehandlung Praxissoftware

Datenschutz mit inBehandlung Tierarztsoftware

Tierärzte haben sicherlich aus den Medien und der Fachpresse entnommen, dass dem Datenschutz in 2018 eine besondere Bedeutung zukommt
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

Seminar: Datenschutz mit der neuen EU-Verordnung

Wie Sie Ihre Tierarztpraxis gesetzeskonform machen. VETS4VETS bietet Ihnen in Kooperation mit dem VET-MAGAZIN eine praxisorientierte Fortbildung zur DSGVO.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Hohe Geldbußen bei Verstößen und zusätzlich zivilrechtliche Haftung

"Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist."
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Aufgaben und Befugnisse der Datenschutzbehörde – mit Strafdrohungen

Zum Jahreswechsel betrachten wir, wie sich die Aufsichtsbehörde nach der ab 25. Mai 2018 geltenden DSGVO verändern wird und warum das alle betrifft.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Angemessene Sicherheit bei der Datenverarbeitung

Das Thema der Datensicherheit nimmt in der ab 25. Mai 2018 geltenden DSGVO eine zentrale Rolle ein. Für die Tierarztpraxis bedeutet das: nicht alles, was bisher gut war, entspricht dann noch den Vorgaben.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Datenschutzrechtliche Zustimmungserklärung beim Tierarzt

Wer ab 25. Mai 2018 mit seinen Klienten in Kontakt treten möchte, benötigt dazu in vielen Fällen eine Zustimmungserklärung.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Ist Ihre Tierarztpraxis schon fit?

Neues EU-weit geltendes Gesetz muss ab 25. Mai 2018 auch von Tierärzten beachtet werden, denn ab diesem Zeitpunkt drohen hohe Geldstrafen!
Weiterlesen

Firmennews

Vetmeduni Vienna

Neuerscheinungen