DSGVO: Pflicht zur Führung eines Verarbeitungsverzeichnisses
(09.03.2018) Die Dokumentationspflichten sind ein wichtiger Baustein in der neuen Datenschutz-Grundverordnung. Sie dienen dem Nachweis der Erfüllung der Pflichten, vor allem in Bezug auf die Rechte der Betroffenen. Im Zentrum steht das Verzeichnis aller Datenverarbeitungen, das Verarbeitungsverzeichnis.
Zur ab 25. Mai 2018 geltenden neuen EU Datenschutz-Grundverordnung (DSGVO) berichten wir im VET-MAGAZIN seit Dezember mit einer eigenen Artikelserie. In diesem Artikel behandeln wir die umfassenden Dokumentationspflichten.
Gegenüber der Aufsichtsbehörde muss der Nachweis erbracht werden können, dass die Rechte der Betroffenen (das sind im Fachjargon der DSGVO diejenigen Personen, um deren Daten es geht) vollständig eingehalten werden. Das ist aufwändig und erfolgt am besten in strukturierter Form im Rahmen der allgemeinen Dokumentationspflichten. In Artikel 30 der DSGVO werden Unternehmen zum Führen eines "Verzeichnisses von Verarbeitungstätigkeiten" verpflichtet.
"Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1."
Schon bisher mussten Datenverarbeitungen dokumentiert und an das Datenverarbeitungsregister (DVR) gemeldet werden, außer sie waren eine der sogenannten "Standardanwendungen", für die die Meldepflicht nicht bestand. Mit Mai 2018 wird das DVR ersatzlos abgeschafft und durch die betriebsinternen Dokumentationspflichten ersetzt.
Grundlegender Zweck des Verarbeitungsverzeichnisses ist die Unterstützung der Verantwortlichen (also im Fachjargon diejenigen, die eine Datenverarbeitung betreiben oder betreiben lassen - in der Praxis Sie als Tierarzt) und der Aufsichtsbehörde, der es auf Anfrage auch jederzeit zur Verfügung gestellt werden muss. Da Sie sich zur Erstellung des Verzeichnisses umfassend mit Ihren betrieblichen Strukturen auseinandersetzen müssen, ist es auch der geeignete Ausgangspunkt für die Umsetzung der Anforderungen durch die DSGVO.
Praktisch jeder ist zur Führung verpflichtet
Artikel 30 Absatz 5 der DSGVO definiert zwar:
"Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt"
Von der Erleichterungsklausel "weniger als 250 Mitarbeiter" werden wohl bis auf große Klinik-Ketten alle Tierärzte umfasst sein. Trotzdem ist die Bestimmung "nicht nur gelegentlich" zu unklar. Die Österreichische Wirtschaftskammer führt hierzu in den FAQ aus: "Der Gesetzestext spricht hier allgemein vom Risiko für Rechte und Freiheiten der betroffenen Personen, er schränkt hier nicht auf ein hohes oder besonderes Risiko ein. Naturgemäß birgt jedoch jede Verarbeitung personenbezogener Daten ein Risiko, wodurch wiederum alle Datenverarbeitungen verzeichnet werden müssten. Man muss also wohl davon ausgehen, dass der Gesetzgeber hier doch ein besonderes Risiko gemeint hat. Auch der Begriff gelegentlich ist in der DSGVO und in den Erwägungsgründen nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit besteht, erfolgen. Als Beispiel wird das Anfertigen von Fotografien auf einem Firmenevent genannt. Es ist daher zum jetzigen Zeitpunkt davon auszugehen, dass grundsätzlich jedes Unternehmen, das eine Kundendatenbank führt oder eine Mitarbeiterverwaltung betreibt, ein Verarbeitungsverzeichnis benötigt." Das Verzeichnis ist schriftlich zu führen, wobei auch eine elektronische Form zulässig ist.
Schritte zur Erstellung
Die beste Herangehensweise zur Erstellung des Verarbeitungsverzeichnisses ist es, zuerst eine umfassende Analyse der Geschäftsprozesse im Unternehmen vorzunehmen. Alle Prozesse, in denen personenbezogene Daten verarbeitet werden, müssen identifiziert und erfasst werden. Dabei erkennt man auch gleich, wer für die jeweiligen Prozesse verantwortlich ist, also die Prozessverantwortlichen.
Danach betrachtet man die konkreten Verarbeitungen innerhalb der Prozesse und findet so die Eigentümer der Verarbeitung. In der tierärztlichen Praxis ist man dies in den meisten Fällen wohl selbst, wobei auch denkbar ist, dass die Führung der Kundendatei beispielsweise vollständig an den/die Helfer/in delegiert worden sein kann.
Wichtig ist, auch die ausgelagerten Prozesse nicht zu vergessen. Hier sind meist zumindest Buchhaltung und Lohnverrechnung betroffen.
Im nächsten Schritt werden für alle Verarbeitungen die Zwecke erhoben und schriftlich festgehalten, ebenso eine Beschreibung der Verarbeitung, die am besten so formuliert wird, dass sie auch gleich für die interne und externe Kommunikation in Bezug auf diese Verarbeitung herangezogen werden kann.
Wie schon hier geschrieben, ist einer der Grundsätze der DSGVO, dass die Verarbeitung von personenbezogenen Daten nur in einer für die betroffene Person nachvollziehbaren Weise erlaubt ist und nur wenn diese rechtmäßig ist. Es gibt dabei den sogenannten Erlaubsnisvorbehalt. Weniger juristisch formuliert heißt das: es ist alles verboten, was nicht explizit durch Gesetze erlaubt ist oder dem eine betroffene Person die Zustimmung gegeben hat. Für jede Verarbeitung muss also die rechtliche Grundlage erfasst werden.
Diese personenbezogenen Daten müssen in Kategorien eingeteilt werden und für jede Kategorie bestimmt werden, wer die Empfänger der Daten sind, falls diese anderen zugänglich gemacht werden, welche Aufbewahrungsfristen gelten bzw. ab wann die Daten wieder gelöscht werden müssen und ob diese an ein Drittland bzw. eine internationale Organisation übermittelt werden.
Für jede Verarbeitung muss eine Risikoanalyse gemacht werden, in der festgestellt wird, welchen Risiken die Daten selbst unterworfen sind aber auch, welche Risiken für die Freiheiten und Rechte der betroffenen Personen bestehen, wenn die Daten unbeabsichtigt gelöscht werden oder von unbefugten Dritten erlangt werden. Die bestehenden Risiken müssen behandelt und minimiert werden.
Das erfolgt unter anderem durch geeignete technische und organisatorische Maßnahmen, die ebenfalls im Verarbeitungsverzeichnis dokumentiert werden müssen. Beispielhaft wäre die verschlüsselte Abspeicherung der Daten zu nennen. Gelangt jemand unbefugt in Besitz des Datenträgers, sind die Daten immer noch verschlüsselt und damit geschützt. Auf diesem Weg findet auch die vorgeschriebene und hier behandelte angemessene Sicherheit bei der Datenverarbeitung Eingang in die Dokumentation.
Bilden Sie sich weiter!
Zum Thema der Datenschutzgrundverordnung (DSGVO) bieten wir Ihnen als Tierarzt in Zusammenarbeit mit VETS4VETS und B.Braun unter dem Titel "Datenschutz mit der neuen EU-Verordnung" eine praxisorientierte Fortbildung, wie Sie Ihre Tierarztpraxis gesetzeskonform machen.
Der Vortrag wird von Christoph Illnar gehalten, der als technisch Verantwortlicher im COMMUNITOR Verlag unter anderem auch für den Betrieb des VET-MAGAZIN verantwortlich ist. Als Co-Herausgeber vereint er langjährige Erfahrung im Bereich der IT Security mit profunder Kenntnis der tierärztlichen Praxis.
Die Termine und Anmeldelinks sind:
Für Sie als VET-MAGAZIN-Leser gibt es 25,- Ermäßigung!
Verwenden Sie bitte bei der Buchung den Gutschein-Code: DSGVO4VET