Verlag & Akademie

So haben Sie den ersten DSGVO-Prüfschwerpunkt im Griff

10.12.2018

In einigen Gesprächskreisen haben sich die Landesdatenschutz-Beauftragten festgelegt: Schwerpunkt der ersten Prüfungen bezüglich der neuen Datenschutz-Grundverordnung (DSGVO) ist das sogenannte Verarbeitungsverzeichnis. Nach Artikel 30 Abs. 1 DSGVO muss jede einzelne Verarbeitungstätigkeit (einschließlich ihrer Historie, d. h.: Wann wurde der Verarbeitungsvorgang erstmals durchgeführt, wann wurde er verändert?) separat in das Verzeichnis aufgenommen werden.

Folgerichtig also, dass unsere Einrichtungen zunächst sämtliche, bei ihnen anfallenden Verarbeitungstätigkeiten auflisten sollten. Im Übrigen ist dieses Vorgehen auch sinnvoll, weil es uns eine gute Übersicht über unsere automatischen Datenverarbeitungsprozesse gibt.

Schauen Sie doch hier einmal rein: Wir haben für Sie ein Muster-Verarbeitungsverzeichnis erstellt.

Rechtsgrundlage ist Artikel 30 DSGVO

Die DSGVO zielt darauf ab, den Datenschutz betroffener Personen auszubauen und Datensicherheitsrisiken konsequent zu minimieren. Deshalb schreibt Artikel 30 DSGVO die Führung eines Verarbeitungsverzeichnisses vor, in das sämtliche Datenverarbeitunsvorgänge aufzunehmen sind, die in einer Einrichtung anfallen. Mithilfe des Verzeichnisses sollen Datenverarbeitungsvorgänge also transparent aufgeführt und einer Überprüfung durch die Aufsichtsbehörden zugänglich gemacht werden.

Hier ist insbesondere auf Artikel 30 Abs. 4 DSGVO zu verweisen, wonach Unternehmen die Pflicht haben, ihre Datenverarbeitungsverzeichnisse den Aufsichtsbehörden auf Verlangen zur Verfügung zu stellen. Andererseits wirkt diese Transparenz auch nach innen, d. h. die Leitung einer Einrichtung bekommt so die Möglichkeit, sich jederzeit ein Bild über die einzelnen Verarbeitungsvorgänge zu machen, und kann dadurch ihre Verantwortung für die Datensicherheit auch tatsächlich wahrnehmen.

Das Verarbeitungsverzeichnis zielt insgesamt darauf ab, die einzelnen Datenverarbeitungsvorgänge innerhalb einer Einrichtung transparent zu dokumentieren, genauso wie die entsprechend erforderlichen oder umgesetzten Schutzvorkehrungen für diese Datenverarbeitungsprozesse. Darüber hinaus ist das Verarbeitungsverzeichnis eine wichtige Arbeitsgrundlage für den Datenschutzbeauftragten, der die Leitung der Einrichtung oder des Unternehmens im Hinblick auf die Datensicherheit beraten soll.

Verarbeitungstätigkeiten lassen sich definieren

Einzelne Verarbeitungstätigkeiten sind solche, die klar voneinander abgrenzbar sind. Einzelne Verarbeitungsvorgänge lassen sich am besten danach abgrenzen, dass mit den Verarbeitungsvorgängen unterschiedliche Zwecke verfolgt werden und unterschiedliche Personen dafür zuständig sind. Allerdings gibt es verschiedene Verarbeitungsvorgänge, die typischerweise in allen Pflegeeinrichtungen bzw. Pflegeunternehmen anfallen, z. B.:

  • Verarbeitung von Heimbewohner- bzw. Patientendaten zur Durchführung von Pflege- und Betreuungsleistungen (ggf. einschließlich sonstiger Serviceleistungen wie Barbetragsverwaltung etc.);
  • Verarbeitung von Heimbewohner- bzw. Patientendaten zur Abrechnung mit den Kostenträgern oder zur Abrechnung über einen Abrechnungsdienst (dies kann auch mit dem vorstehend genannten Verarbeitungsvorgang zusammenfallen);
  • Verarbeitung von personenbezogenen Daten zum Betrieb einer Website (Nennung von Mitarbeiternamen, Möglichkeit der Kontaktaufnahme durch ein elektronisches Formular etc.);
  • Führen von Dienstplänen bzw. Tourenplänen.

Wie führt man ein Verarbeitungsverzeichnis?

Verarbeitungsverzeichnisse können unternehmensweit geführt werden; ein Unternehmen, das mehrere Einrichtungen betreibt, kann also ein zentrales Verzeichnis führen. Hierbei muss aber wiederum genau abgegrenzt werden: Wenn in dem Unternehmen eine zentrale Personalverwaltung existiert, kann die Lohnabrechnung als ein zentraler Verarbeitungsvorgang gelistet werden. Gleiches gilt, wenn die Bewohner- oder Patientendaten zentral verwaltet werden und zentral mit den Kostenträgern abgerechnet wird.

Sollte aber jede Einrichtung eigene Datenverarbeitungssysteme für Bewohner- und Patientendaten unterhalten, so sind diese dann auch als getrennte Verarbeitungsvorgänge einzeln in das jeweilige Verzeichnis aufzunehmen. Zwar gehen die Datenschutzbehörden davon aus, dass vergleichbare Datenverarbeitungsprozesse auch zusammengefasst werden können, übersichtlicher dürfte jedoch eine strenge Trennung der Verarbeitungsprozesse sein.

Ein Verarbeitungsverzeichnis ist gemäß Artikel 30 Abs. 3 DSGVO schriftlich zu führen, kann aber auch in elektronischer Form erfolgen. Die Datenschutzaufsichtsbehörden der Länder haben Muster für Datenverarbeitungsverzeichnisse herausgegeben. Diese können Sie auch anfordern und für Ihre Einrichtung nutzen.

Nein, Danke

Nein, Danke

Nein, Danke

Nein, Danke

Qualitäts-Management aktuell

1 x in der Woche finden Sie in unserem kostenlosen E-Mail-Newsletter PPM Qualitäts-Management aktuelle Tipps zur Qualitätssteigerung.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen. Datenschutz-Hinweis

Nein, Danke

Palliativpflege heute

News und Praxistipps für eine professionelle Palliativpflege – speziell für Pflegekräfte in stationären und ambulanten Einrichtungen.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen. Datenschutz-Hinweis

Nein, Danke

Menschen mit Demenz professionell pflegen

Wichtige Informationen zum Thema Pflege und Betreuung bei Demenz. So bewältigen Sie als Pflegefachkraft die speziellen Herausforderungen.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen. Datenschutz-Hinweis

Nein, Danke

Nein, Danke

Nie mehr den Überblick verlieren!

Holen Sie sich Hilfe für Ihre stationäre Pflege!

In nur 15 Minuten über das Wichtigste informiert sein.

  • Pflegekokumentation
  • Mitarbeiterführung
  • Haftungsrecht
  • Nein, Danke

    Nein, Danke