Muster Datenschutz-Dokumentation mit Verarbeitungsverzeichnis
Der Gesetzgeber erwartet von Ihnen, dass Sie den Schutz der bei Ihnen verarbeiteten personenbezogenen Daten entsprechend der DSGVO sicherstellen.
Dabei müssen Sie für Ihren Betrieb u.a. folgende Fragen klären: Zu welchen Zwecken wollen Sie wessen Daten und welche Daten wie lange verarbeiten? Geben Sie diese Daten an Dritte weiter? Welche Maßnahmen haben Sie zum Schutz der Daten implementiert?
Sie müssen ein „Datenschutz-Management“ implementieren und dieses dokumentieren.
Wir möchten Ihnen eine Anregung geben, wie Sie Ihr Datenschutz-Management aufstellen und dokumentieren können. Hierzu finden Sie Dokumente zum Download.
Achtung: Diese Dokumente sind „Musterdokumente“. Diese Dokumente ersetzen weder Rechts- noch Steuerberatung. Sie sind unter Beteiligung von Fachleuten entstanden, können aber lediglich als Anregung für die Dokumentation des Datenschutz-Managements in einem Heilmittelbetrieb dienen.
Natürlich können Sie, aufbauend auf die Muster, diese Dokumente so verändern und erweitern, dass sich Ihre individuelle Datenschutz-Dokumentation ergibt. Das Dokument kann in der Regel über die Software Libre Office oder MS-Word bearbeitet werden.
Das Urheberrecht für die Musterdokumente liegt bei der SOVDWAER GmbH. Kunden mit einer laufenden Servicevereinbarung zur Software THEORG erhalten das Recht zur Verwendung für den Betrieb, für den die Servicevereinbarung abgeschlossen ist. Anderen ist die Nutzung explizit nicht genehmigt.
Die Hotline-Kollegen der Software THEORG können Ihnen leider nicht bei der Erstellung bzw. Anpassung Ihrer Dokumentation des Datenschutz-Managements behilflich sein.
Wenn Sie Hilfe benötigen, so empfehlen wir Ihnen das Lehrbuch, die Seminare oder auch die individuelle Beratung unseres Partners DATAprivat (www.DATAprivat.de).
Wenn Sie Ihr Datenschutz-Management „entlang dieser Muster“ reflektiert, implementiert und dokumentiert haben, sind Sie im Vergleich zu vielen andern Betrieben sicher ordentlich aufgestellt. Natürlich sollten Sie z.B. die TOMs (technisch organisatorischen Maßnahmen) nicht nur aufschreiben, sondern auch umsetzen. Dokumentieren Sie nur, was Sie auch leisten können oder wollen.
Am 25.05.2018 geht es los. Viele Unternehmen und Freiberufler werden erst nur rudimentär an den Start gehen können. Es kommt darauf an, den Anfang zu machen. In der Folgezeit kann man das dann immer noch ausbauen bzw. verbessern. So wird sich auch Ihr Datenschutz-Management in den nächsten Monaten und Jahren erweitern. Ihre Dokumention wird dann wachsen.
Was Sie bis zum 25.05.2018 auf jeden Fall umsetzen sollten, ist die „Information des Betroffenen nach Artikel 13 DSGVO“. Und auch auf Ihrer Homepage sollte sich eine aktuelle Darstellung Ihrer Datenschutzinformation befinden. Hierzu werden wir Ihnen aber auch noch eine detaillierte Information an dieser Stelle zukommen lassen.
Download Muster "Datenschutz-Dokumentation"
Download Muster "Verarbeitungsverzeichnis" in Tabellenform
Nun aber noch ein paar Erläuterungen zum Muster der Datenschutz-Dokumentation:
Hinweis zu Kapitel 1: Einführung
Da dieses Dokument auch für die Schulung von Mitarbeitern verwendet werden kann, erfolgt hier vorab eine kurze allgemeine Einführung zum Datenschutz bzw. zur Datenschutz-Grundverordnung.
Hinweis zu Kapitel 2.3: Datenschutzbeauftragter
Ein Datenschutzbeauftragter muss zwingend benannt werden, wenn in einer Praxis mindestens 10 Personen in Tätigkeiten eingebunden sind, bei denen auch ein Computer oder eine sonstige Datenverarbeitungsanlage (z.B. ein Faxgerät oder ein Kopiergerät)zum Einsatz kommt. Es kommt übrigens nicht darauf an, ob es sich um Vollzeit-, Teilzeitkräfte oder Minijobber handelt.
Ein Datenschutzbeauftragter ist auch zu benennen, wenn weniger als 10 Personen mit der automatisierten Verarbeitung von Daten befasst sind, aber in der Praxis Patientendaten umfangreich verarbeitet werden. Wann eine Verarbeitung als umfangreich gilt, ist im Moment noch nicht abschließend entschieden. Klar ist bislang nur: In einer Einzelpraxis findet keine umfangreiche Verarbeitung statt. Die Tendenz der Datenschutz-Aufsichtsbehörden der Länder geht zurzeit dahin, auch in größeren Praxen in der Regel keine umfangreiche Verarbeitung anzunehmen. Damit dürfte für Arzt- und Physiotherapiepraxen die Zahl der Mitarbeiter das alleinige Kriterium für die Pflicht zur Benennung eines DSB sein.
Im Musterdokument wird davon ausgegangen, dass ein Datenschutzbeauftragter benannt wurde.
Auch wenn eine Pflicht zur Benennung eines DSB in Ihrer Praxis nicht besteht, sollten Sie trotzdem eine Benennung in Erwägung ziehen, denn zur Umsetzung dieses komplexen Themas ist es viel wert, einen fachkundigen Berater zur Seite zu haben. Insbesondere für den Fall, dass eine Meldung bei der Aufsichtsbehörde aufgrund einer möglichen Verletzung von Rechten und Freiheiten Betroffener gemacht werden muss (bspw. eine Patientenakte ist verlorengegangen), macht sich der Datenschutzbeauftragte bezahlt.
Sollten Sie für Ihr Unternehmen festgestellt haben, dass kein Datenschutzbeauftragter zu benennen ist und Sie daher keinen benannt haben, so wären die Angaben in diesem Kapitel abweichend auszuführen. Statt dem Ausweis des Datenschutzbeauftragten könnten Sie z.B. folgenden Vermerk machen:
„Im Praxisbetrieb sind regelmäßig weniger als 10 Personen in Tätigkeiten eingebunden, in denen personenbezogene Daten verarbeitet werden.
Die Verarbeitung von Gesundheitsdaten ist in dieser Praxis nicht als umfangreich im Sinne von Art. 35, 37 DSGVO anzusehen. Daher wird kein Datenschutzbeauftragter benannt.“
Hinweis zu Kapitel 3: Verarbeitungsverzeichnis
Zu diesem Kapitel besteht ein zweites Dokument in Tabellenform, welches mit z.B. Libre Calc oder MS Excel bearbeitet werden kann. Es stellt die Verarbeitungstätigkeiten in Tabellenform dar. Auch hier handelt es ich lediglich um eine Anregung, wie man die Verarbeitungstätigkeiten in einer Übersicht darstellen kann
Detailliertere Ausführungen zu den Verarbeitungstätigkeiten finden sich dann im Text der Dokumentation des Datenschutz-Managements, wobei hin und wieder auch auf die Tabelle Bezug genommen wird.
Letztlich könnten man auf die Tabellendarstellung auch verzichten, da die Verarbeitung ja im Text der Datenschutz-Dokumentation ausführlich dargestellt ist. Wir haben die Tabelle trotzdem beigefügt, da Sie die Verarbeitung kompakt und übersichtlich darstellt.