Hilfsmittel zur Umsetzung

Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DS-GVO

Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Die DS-GVO enthält umfassende Dokumentationspflichten. So beschreibt Artikel 30 der DS-GVO die Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten, das künftig sowohl Verantwortliche als auch Auftragsverarbeiter führen müssen. Ausnahmen hierzu regelt Art. 30 Abs. 5 DS-GVO.

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 DS-GVO nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Die bisher als Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung bekannten Dokumentationspflichten (§ 4g Abs. 2 Satz 1 Bundesdatenschutzgesetz bzw. § 18 Landesdatenschutzgesetz) werden hinfällig.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat Muster für das Verzeichnis des Verantwortlichen (Art. 30 Abs. 1) und des Auftragsverarbeiters (Art. 30 Abs. 2) entwickelt sowie ausführliche Hinweise zum Ausfüllen der Formulare erarbeitet. Wir empfehlen, diese Muster zur Erfüllung der oben genannten Dokumentationspflichten zu benutzen.

Leitlinien des Europäischen Datenschutzausschusses

Bezeichnung Format Größe
WP 242 Leitlinien zum Recht auf Datenübertragbarkeit PDF 0,54 MB
WP 242 Anhang ANHANG ZUM ARBEITSPAPIER WP 242“ – Häufig gestellte Fragen PDF 0,16 MB
WP 243 Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) PDF 1,08 MB
WP 244 Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters PDF 0,52 MB
WP 244 Anhang WP244 ANHANG II – Häufig gestellte Fragen PDF 0,27 MB
WP 248 Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ PDF 1,14 MB
WP 250 Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 PDF 1,19 MB
WP 251 Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling
für die Zwecke der Verordnung 2016/679
PDF 0,46 MB
WP 253 Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679 PDF 0,59 MB
WP 259 Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679 PDF 0,75 MB
WP 260 Leitlinien für Transparenz gemäß der Verordnung 2016/679 PDF 0,48 MB

Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Die DS-GVO enthält auch neue Regelungen zur Datenverarbeitung im Auftrag (Auftragsverarbeitung – Art. 28 DS-GVO). Gemäß Art. 28 Abs. 3 muss die Auftragsverarbeitung auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgen.

Wir stellen hier eine Formulierungshilfe für einen solchen Auftragsverarbeitungsvertrag zur Verfügung. Diese Formulierungshilfe ist nicht abschließend und bezieht sich in erster Linie auf die Fallgestaltung einer Auslagerung von klassischen IT-Dienstleistungen z. B. für die Lohnabrechnung oder Finanzbuchhaltung. Je nach konkretem Anwendungsfall müssen gegebenenfalls weitere Inhalte hinzukommen, können solche weggelassen oder müssen modifiziert werden, um dem gegebenen Sachverhalt gerecht zu werden (z. B. bei Berufsgeheimnisträgern, bei Dienstleistungen zur Wartung, Datenlöschung oder -konvertierung, bei der externen Datenarchivierung).

Planspiel Datenschutz-Folgenabschätzung (DSFA)

Planspiel Datenschutz-Folgenabschätzung (DSFA)

Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Sie enthält eine Reihe neuer Elemente, die zur Modernisierung des Datenschutzes beitragen können. Eines dieser Elemente ist die Datenschutz-Folgenabschätzung (DSFA). Artikel 35 DS-GVO fordert vom Verantwortlichen eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten, wenn die Form der Verarbeitung und insbesondere die Verwendung neuer Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Im Rahmen eines Planspiels haben das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein und der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern für einen hypothetischen Beispielsfall eine Datenschutz-Folgenabschätzung durchgeführt. Die Autoren haben sich dabei an einem DSFA-Framework orientiert, das dem  „Whitepaper Datenschutz-Folgenabschätzung“ und einem Aufsatz von Bieker et al. entnommen wurde. Für die Risikoabschätzung und die Bestimmung der Maßnahmen wurde das Standard-Datenschutzmodell verwendet.

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO) regelt in Artikel 35 die Rahmenbedingungen zur Datenschutz-Folgenabschätzung (DSFA) und beschreibt in allgemeiner Form, in welchen Fällen eine DSFA durchzuführen ist. Die DS-GVO schreibt vor, dass die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellt und veröffentlicht, für die eine DSFA durchzuführen ist.

Die hier veröffentlichte Liste für den nicht-öffentlichen Bereich haben die deutschen Aufsichtsbehörden gemeinsam erarbeitet. Sie hat nicht den Anspruch auf Vollständigkeit, wenngleich versucht wurde, möglichst viele der DSFA-pflichtigen Verarbeitungsvorgänge zu berücksichtigen.

Auf Grund der Schnelllebigkeit im digitalen Umfeld kann dieses Dokument nur als „lebendiges“ Papier angesehen werden, das ständigen Änderungskontrollen hinsichtlich der Aufnahme neuer Verarbeitungen in die Liste der Verarbeitungsvorgänge unterliegt. Das Dokument ist auch deshalb nur als vorläufige Liste zu betrachten, da es dem Kohärenzverfahren nach Art. 35 Abs. 6 DS-GVO unterliegt, das noch nicht abgeschlossen ist.

Die nachfolgende Liste beinhaltet ausschließlich Verarbeitungsvorgänge aus dem öffentlichen Bereich, die nicht mit dem Angebot von Waren und Dienstleistungen für betroffene Personen in mehreren Mitgliedstaaten verbunden sind. Die Liste gilt nur für Mecklenburg-Vorpommern und unterliegt aufgrund von Art. 35 Abs. 6 DS-GVO nicht dem Kohärenzverfahren gemäß Art. 63 DS-GVO. Auch diese Liste wird aktualisiert werden, soweit dies aufgrund geänderter technischer oder rechtlicher Rahmenbedingungen erforderlich ist.

Empfehlung für ein Formular zur Patienteninformation nach Art. 13 DS-GVO

(K)ein Blatt für alle Fälle, aber mit allen relevanten Informationen nach Art. 13 DS-GVO. In enger Zusammenarbeit haben die kassenärztliche Vereinigung Mecklenburg-Vorpommern, die Ärztekammer Mecklenburg-Vorpommern und der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern ein Formular zur Information der Patienten nach Art. 13 DS-GVO entwickelt. Dieses Formular deckt den „Klassiker“ in der Arztpraxis ab: Die Verarbeitung von Patientendaten zur Erfüllung des Behandlungsvertrages.

Das Formular findes Sie hier:

Datenschutzbeauftragte in Arztpraxen

Ein Datenschutzbeauftragter für eine Arztpraxis muss bestellt werden, wenn mindestens zehn Personen ständig personenbezogene Daten automatisiert verarbeiten (vgl. § 38 Abs. 1 BDSG-neu) oder die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (§ 38 BDSG-neu, Art. 35 DS-GVO). Ein hohes Risiko kann beim Einsatz neuer Technologien oder bei der umfangreichen Verarbeitung von Gesundheitsdaten bestehen. Eine bewährte Praxisverwaltungssoftware ist keine neue Technologie in diesem Sinne. Nur, was bedeutet umfangreich? Die 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat sich darauf verständigt, dass die Verarbeitung von Gesundheitsdaten in Arztpraxen, Gemeinschaftspraxen und Praxisgemeinschaften in der Regel nicht als umfangreich anzusehen ist, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind. In den meisten Fällen wird man daher davon ausgehen können, dass kleinere Arztpraxen keinen Datenschutzbeauftragten bestellen müssen.

Den genauen Wortlaut des Beschlusses finden Sie hier:

Verarbeitung personenbezogener Daten bei Fotografien

Unter dem folgenden link finden Sie eine Orientierungshilfe der Landesbeauftragten für den Datenschutz Brandenburg mit Informationen zur Zulässigkeit der Verarbeitung personenbezogener Daten bei Fotografien (lediglich Text-Bezüge auf das Brandenburgische Datenschutzgesetz sind für Mecklenburg-Vorpommern nicht anwendbar).