Oktober-Highlight: Verzeichnis der Verarbeitungstätigkeiten

Daten professionell schützen – jeden Monat aktuell

Das Datenschutz-Oktober-Highlight:
Ist Ihr Verarbeitungs­verzeichnis aktuell und vollständig?

Aufsichtsbehörde prüft Verarbeitungs­verzeichnisse

Wie ist das Verzeichnis der Verarbeitungstätigkeiten zu führen und vor allem, wie umfassend muss es sein? Dieser Frage geht der Tätigkeitsbericht der niedersächsischen Landesdatenschutzbeauftragten für das Jahr 2021 nach. Die Behörde hat in 30 Kliniken stichprobenartig den Status des Datenschutzes geprüft. Die Anzahl im Verarbeitungs­verzeichnis beschriebener Tätigkeiten reichte dort von 17 bis über 800. Auf Seite 154 des Berichts kann man nachlesen, dass der Durchschnitt in kleineren Häusern mit weniger als 20.000 Patienten im Jahr bei 90 Verarbeitungstätigkeiten lag, in Häusern mit mehr als 20.000 Patienten jährlich bei 207.

In ihrem Bericht schreibt Landesdatenschutzbeauftragte Barbara Thiel, derzeit lägen keine konkreten Informationen vor, wie viele Verarbeitungstätigkeiten in einem Klinikum tatsächlich zu führen sind. Die festgestellte Spanne erscheint ihr allerdings zu groß. Sie kündigt an, im Jahr 2022 im Rahmen einer Nachprüfung diese Frage gesondert zu klären und sich Auszüge der Verarbeitungstätigkeiten in den Kliniken zeigen zu lassen.

Können Sie die gesetzlichen Vorgaben nachweisen?

Wie sind Sie in Sachen Verarbeitungsverzeichnis aufgestellt? Selbst wenn es sich bei Ihrer Organisation um kein Klinikum handelt und auch wenn die niedersächsische Aufsichtsbehörde für Sie nicht zuständig sein sollte: Könnten Sie Ihrer Aufsichtsbehörde auf entsprechende Fragen die verlässliche Auskunft erteilen, zu der Sie gesetzlich verpflichtet sind?

Das sagt die DSGVO

Die Anforderung der DSGVO laut Artikel 30: „Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.“

Könnten Sie einer solchen Anforderung in der geforderten Zeit, nämlich binnen 30 Tagen, angemessen und korrekt Folge leisten? Wissen Sie, ob Ihr Verarbeitungsverzeichnis aktuell und vollständig ist und entsprechend den Vorgaben der DSGVO geführt wird? Lassen Sie sich hierzu regelmäßig berichten? Haben bei Ihnen Datenschutzbeauftragte, Datenschutzkoordinatoren und Verantwortliche für die einzelnen Prozesse genügend Ressourcen, die Anforderungen der DSGVO zu erfüllen?

Kompetente Unterstützung durch Experten von Team Datenschutz

Sollten Sie sich unsicher sein: Team Datenschutz hat für Hunderte Verarbeitungstätigkeiten Mustertexte erarbeitet. Kein Betrieb ist wie der andere, vorgefertigte Texte müssen natürlich an individuelle Gegebenheiten angepasst werden. Muster sparen allerdings eine Menge Zeit – und verringern ganz erheblich das Risiko, dass etwas übersehen wird.
 

Verarbeitungsverzeichnis vervollständigen

Klar ist, ein Verarbeitungsverzeichnis ist nie fertig. Zu oft gibt es Änderungen. Aber: Die Regel muss sein, dass neue Verarbeitungstätigkeiten schnell in das Verzeichnis aufgenommen werden. Es gilt regelmäßig zu prüfen, ob die Inhalte vollständig und aktuell sind. Beste Voraussetzung ist eine entsprechende Richtlinie oder Arbeitsanweisung.

Aktuelles Beispiel Arbeits­unfähig­keits­bescheinigung

Ein aktuelles Beispiel für die Anforderung, das Verarbeitungs­verzeichnis zu aktualisieren, sind die Änderungen bei der Arbeits­unfähig­keits­bescheinigung. Durch die Digitalisierung ändert sich dieser Prozess grundlegend. Die Änderungen müssen im Verzeichnis der Verarbeitungs­tätigkeiten dokumentiert werden. Ist das bei Ihnen schon geschehen oder befindet sich in Vorbereitung?



Risikoanalyse und weitere Anforderungen

Die niedersächsische Aufsichtsbehörde verweist auf die Tatsache, dass bei den Beschreibungen der Verarbeitungstätigkeiten eine Risikoanalyse erkennbar sein muss, aus der geeignete Maßnahmen hervorgehen, um ein potentielles Risiko zu minimieren oder bestenfalls auszuschließen. Mit geeigneten technischen und organisatorischen Maßnahmen sind diese Gegenmaßnahmen tatsächlich und nachvollziehbar umzusetzen.

Sind diese Anforderungen bei Ihnen erfüllt oder gibt es hier Potenzial zur Verbesserung? Wie würde Ihre Antwort auf eine Anfrage der Aufsichtsbehörde aussehen? Wissen Sie, wie viele Verarbeitungstätigkeiten in Ihrem Verzeichnis vorhanden sind und ob diese aktuell und vollständig sind? Haben Sie eine Arbeitsanweisung, Verarbeitungsvorgänge so zu dokumentieren, wie es die DSGVO in Artikel 30 fordert? Und dienen die Verarbeitungsbeschreibungen als Grundlage für die Erfüllung der grundsätzlichen Anforderungen des Datenschutzes?

Zur Sicherheit: Wie wäre es mit dem VVT-Check?

Die Experten von Team Datenschutz unterstützen Sie gerne. Mit dem VVT-Check haben sie ein Verfahren entwickelt, das Klarheit schafft, wo beim Verarbeitungsverzeichnis Handlungsbedarf besteht. So gering das Risiko für eine Geldbuße durch die Datenschutz-Aufsichtsbehörde sein mag – das Einhalten verbindlicher gesetzlicher Vorschriften ist unmissverständlich Handlungsgrundlage aller Unternehmen. Übrigens unabhängig davon, ob sie Datenschutzbeauftragte benennen müssen oder nicht.

Die Chance für Prozess­optimierung

Übrigens bergen gut dokumentierte Verarbeitungstätigkeiten ein vielfach unterschätztes Potenzial, denn sie sind die ideale Grundlage für Prozessoptimierung. Gut gemachter Datenschutz spart Geld, Zeit und Nerven.

Der VVT-Check von Team Datenschutz. Jetzt kennenlernen!

Mit dem VVT-Check von Team Datenschutz gewinnen Sie endlich Sicherheit in Sachen Verarbeitungstätigkeiten und bekommen klare Empfehlungen, wo Sie nachbessern sollten.

Noch unsicher? Mit unserem Schnell-Check geben wir Ihnen gerne eine erste Einschätzung – kostenlos und unverbindlich!