(K)ein Blatt für alle Fälle, aber mit allen relevanten Informationen nach Art. 13 DS-GVO. In enger Zusammenarbeit haben die kassenärztliche Vereinigung Mecklenburg-Vorpommern, die Ärztekammer Mecklenburg-Vorpommern und der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern ein Formular zur Information der Patienten nach Art. 13 DS-GVO entwickelt. Dieses Formular deckt den „Klassiker“ in der Arztpraxis ab: Die Verarbeitung von Patientendaten zur Erfüllung des Behandlungsvertrages.

Das Formular findes Sie hier:

Die Datenschutz-Grundverordnung (DS-GVO) regelt in Artikel 35 die Rahmenbedingungen zur Datenschutz-Folgenabschätzung (DSFA) und beschreibt in allgemeiner Form, in welchen Fällen eine DSFA durchzuführen ist. Die DS-GVO schreibt vor, dass die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellt und veröffentlicht, für die eine DSFA durchzuführen ist.

Die hier veröffentlichte Liste für den nicht-öffentlichen Bereich haben die deutschen Aufsichtsbehörden gemeinsam erarbeitet. Sie hat nicht den Anspruch auf Vollständigkeit, wenngleich versucht wurde, möglichst viele der DSFA-pflichtigen Verarbeitungsvorgänge zu berücksichtigen.

Auf Grund der Schnelllebigkeit im digitalen Umfeld kann dieses Dokument nur als „lebendiges“ Papier angesehen werden, das ständigen Änderungskontrollen hinsichtlich der Aufnahme neuer Verarbeitungen in die Liste der Verarbeitungsvorgänge unterliegt. Das Dokument ist auch deshalb nur als vorläufige Liste zu betrachten, da es dem Kohärenzverfahren nach Art. 35 Abs. 6 DS-GVO unterliegt, das noch nicht abgeschlossen ist.

Die nachfolgende Liste beinhaltet ausschließlich Verarbeitungsvorgänge aus dem öffentlichen Bereich, die nicht mit dem Angebot von Waren und Dienstleistungen für betroffene Personen in mehreren Mitgliedstaaten verbunden sind. Die Liste gilt nur für Mecklenburg-Vorpommern und unterliegt aufgrund von Art. 35 Abs. 6 DS-GVO nicht dem Kohärenzverfahren gemäß Art. 63 DS-GVO. Auch diese Liste wird aktualisiert werden, soweit dies aufgrund geänderter technischer oder rechtlicher Rahmenbedingungen erforderlich ist.

Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Die DS-GVO enthält auch neue Regelungen zur Datenverarbeitung im Auftrag (Auftragsverarbeitung – Art. 28 DS-GVO). Gemäß Art. 28 Abs. 3 muss die Auftragsverarbeitung auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgen.

Wir stellen hier eine Formulierungshilfe für einen solchen Auftragsverarbeitungsvertrag zur Verfügung. Diese Formulierungshilfe ist nicht abschließend und bezieht sich in erster Linie auf die Fallgestaltung einer Auslagerung von klassischen IT-Dienstleistungen z. B. für die Lohnabrechnung oder Finanzbuchhaltung. Je nach konkretem Anwendungsfall müssen gegebenenfalls weitere Inhalte hinzukommen, können solche weggelassen oder müssen modifiziert werden, um dem gegebenen Sachverhalt gerecht zu werden (z. B. bei Berufsgeheimnisträgern, bei Dienstleistungen zur Wartung, Datenlöschung oder -konvertierung, bei der externen Datenarchivierung).

Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Die DS-GVO enthält umfassende Dokumentationspflichten. So beschreibt Artikel 30 der DS-GVO die Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten, das künftig sowohl Verantwortliche als auch Auftragsverarbeiter führen müssen. Ausnahmen hierzu regelt Art. 30 Abs. 5 DS-GVO.

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 DS-GVO nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Die bisher als Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung bekannten Dokumentationspflichten (§ 4g Abs. 2 Satz 1 Bundesdatenschutzgesetz bzw. § 18 Landesdatenschutzgesetz) werden hinfällig.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat Muster für das Verzeichnis des Verantwortlichen (Art. 30 Abs. 1) und des Auftragsverarbeiters (Art. 30 Abs. 2) entwickelt sowie ausführliche Hinweise zum Ausfüllen der Formulare erarbeitet. Wir empfehlen, diese Muster zur Erfüllung der oben genannten Dokumentationspflichten zu benutzen.