Die Datenschutzgrundverordnung nähert sich mit großen Schritten. Sie gilt ab dem 25.05.2018 ohne weitere Übergangsfrist. Besondere Bedeutung wird das so genannte Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO bekommen, insbesondere für Ärzte bzw. Arztpraxen. Gerade bei kleineren Arztpraxen könnte man auf die Idee kommen, von einer Ausnahmevorschrift Gebrauch zu machen, nämlich in Art. 30 Abs. 5 DSGVO. Die Ausnahme besteht für solche Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von Ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10. Die Anwendbarkeit dieser Ausnahmevorschrift scheitert schon daran, dass die Verarbeitung von personenbezogenen Daten in Arztpraxen nicht nur gelegentlich erfolgt. Über jeden Patienten werden eine Vielzahl von personenbezogene Daten erhoben. Außerdem werden Gesundheitsdaten gemäß Art. 9 Abs. 1 verarbeitet.

Das Verzeichnis ist auf Anfrage der Datenschutzbehörde vorzulegen. Zu den Verarbeitungstätigkeiten zählen z.B.:
die elektronische Patientenakte
die Buchhaltungssoftware (Finanzbuchhaltung und Lohnbuchhaltung)
Praxis-Website
Praxisseite in sozialen Netzwerken wie z.B. Facebook, Xing, Twitter
elektronische Personalakten
E-Mail-Programm

Von der DSGVO ist ein bestimmter Aufbau des Verzeichnisses nicht vorgeschrieben. Es muss schriftlich oder elektronisch geführt werden. Elektronisch bedeutet z.B. also Word- oder Excel Datei.

Die Erstellung des Verzeichnisses wird einen hohen Aufwand erforderlich machen. Auch müssen viele Entscheidungen getroffen werden. Dies betrifft insbesondere die Dauer und Überprüfung von Speicherfristen, denn es gilt der Grundsatz der Datensparsamkeit. Es muss gefragt werden, ob die Vorhaltung von Daten tatsächlich notwendig ist. Daten sollen gelöscht werden, sobald sie nicht mehr benötigt werden. Entschieden werden muss auch darüber, wie Mitbewerber Daten verfahren wird und ob Einwilligungen für Mitarbeiterfotos für die Praxiswebsite erforderlich sind.

Das Verzeichnis der Verarbeitungstätigkeiten ist zwar nicht öffentlich, wenn es jedoch auf Verlangen der Aufsichtsbehörde nicht vorgelegt werden kann, drohen erhebliche Bußgelder. Diese wurden im Vergleich zur bisherigen Rechtslage drastisch erhöht und können bis zu 20 Million €  oder 4 % des Umsatzes betragen, je nachdem welcher Betrag höher ist.

Die Kanzlei Dr. Graf berät Arztpraxen in Bezug auf die Einhaltung der Datenschutzgrundverordnung.

Rufen Sie an! 05221 1879940
E-Mail: info@datenschutzbeauftragter-graf.de