Ich analysiere sämtliche Verarbeitungsvorgänge in Ihrer Apotheke oder Arzpraxis und helfe Ihnen dabei, ein Verarbeitungsverzeichnis zu erstellen.
Im Verarbeitungsverzeichnis müssen Ärzte, Zahnärzte, Psychotherapeuten und Apotheken auflisten, welche personenbezogenen Daten sie genau verarbeiten, welche Personengruppen betroffen sind und was sie tun, um die Daten technisch und organisatorisch zu schützen. Das gabs auch schon früher, hieß Verfahrensverzeichnis, galt aber auch nur für automatisierte Vorgänge. Jetzt sind alle Formen der Verarbeitung gemeint, also auch der beliebte Zettelkasten mit Kundenvisitenkarten oder sonstige Papierakten. Was hilft das? Eine ganze Menge, denn endlich hat man einen Überblick. Und das kann manchmal ziemlich erhellend sein.
Wer trotzdem denkt: Da muss es doch Ausnahmen geben – das stimmt. In Art. 30 Abs. 5 DSGVO wird davon gesprochen, dass es bei Unternehmen mit weniger als 250 Mitarbeitern eine Ausnahme von der Pflicht zum Führen eines Verabeitungsverzeichnisses geben soll. Aber: Es gibt so viele Einschränkungen dieser Ausnahme, dass sie nahezu bedeutungslos ist. Denn wer kann zum Beispiel schon sicher sagen, dass die vorgenommene Verarbeitung von personenbezogenen Daten kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, wie es dort verlangt wird.
Das Verarbeitungsverzeichnis ist der Kern des Datenschutzmanagements in Ihrer Praxis oder Apotheke
Im Verarbeitungsverzeichnis müssen die Kategorien der betroffenen Personen aufgelistet werden und die personenbezogenen Daten, die verabeitet werden. Außerdem müssen die Zwecke der Verarbeitung angegeben werden – und natürlich auch, auf welcher Rechtsgrundlage die Verarbeitung beruht.
Wichtig sind auch die Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder werden. Gegebenenfalls ist noch anzugeben, ob personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt werden.
Das Gesetz spricht davon, dass Löschfristen und technisch-organisatorische Maßnahmen „wenn möglich“ angegeben werden müssen. Das heißt allerdings nicht, dass Apotheken und Arztpraxen hier eine Wahl haben. Gegenüber den Aufsichtsbehörden muss schon sehr gut begründet werden, warum man der Ansicht ist, dass diese Angaben nicht gemacht werden können. In der Regel gehören sie also in das Verarbeitungsverzeichnis.
Es gilt: Prinzipiell sollen nach dem Datenschutzrecht Daten, die nicht mehr gebraucht werden, gelöscht werden. Gilt also eine gesetzliche Aufbewahrungsfrist (z.B. 10 Jahre bei steuerrelevanten Daten), sollten die Daten nach Ablauf dieser Frist gelöscht werden.
Zu technisch-organisatorischen Maßnahmen gehören gemäß Art. 32 DSGVO zum Beispiel Verfahren für die Pseudonymisierung der Daten oder deren Sicherung. Die Maßnahmen sollten so konkret beschrieben werden, dass die Aufsichtsbehörde anhand der Angaben eine erste Prüfung vornehmen kann.
Das Verarbeitungsverzeichnis ist der Kern Ihres Datenschutzmanagements und das erste Dokument, dass von den Aufsichtsbehörden überprüft wird. Sollten Sie hierzu noch Fragen haben, melden Sie sich gerne bei mir. Ich berate Sie gerne und kann Ihnen auch als externer Datenschutzbeauftragter zur Seite stehen.