Das Verzeichnis von Verarbeitungstätigkeiten

Was Heilpraktiker dokumentieren müssen

Als Heilpraktikerin oder Heilpraktiker verarbeiten Sie in Ihrer Praxis personenbezogene Daten, insbesondere Gesundheitsdaten, die nach der Datenschutz-Grundverordnung (DSGVO) besonders schützenswert sind. Eine zentrale Pflicht der DSGVO ist das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), das dokumentiert, wie und warum personenbezogene Daten in Ihrer Praxis verarbeitet werden. Auch kleine Praxen sind in der Regel dazu verpflichtet, dieses Verzeichnis zu führen. In diesem Artikel erfahren Sie, was Sie dabei beachten müssen und welche Daten im Verzeichnis dokumentiert werden sollten.

1. Was ist das Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis von Verarbeitungstätigkeiten ist eine Auflistung aller Prozesse, bei denen in Ihrer Praxis personenbezogene Daten verarbeitet werden. Es dient der Transparenz und soll im Falle einer Überprüfung durch die Datenschutzbehörde nachweisen, dass Sie die Vorgaben der DSGVO einhalten.

Das Verzeichnis hat mehrere Zwecke:

  • Dokumentation: Es zeigt, wie Daten in Ihrer Praxis erhoben, verarbeitet und gespeichert werden.

  • Nachweisbarkeit: Bei einer Datenschutzprüfung können Sie nachweisen, dass Sie Ihre Datenschutzpflichten erfüllen.

  • Transparenz: Es hilft, einen Überblick über die Datenverarbeitungsprozesse in der Praxis zu behalten.

Auch wenn Heilpraktiker häufig eine kleinere Datenmenge verarbeiten, sind sie aufgrund der sensiblen Gesundheitsdaten dazu verpflichtet, ein Verzeichnis zu führen.

2. Wer ist zur Führung des Verzeichnisses verpflichtet?
Nach der DSGVO müssen alle Unternehmen und Freiberufler, die personenbezogene Daten systematisch verarbeiten, ein Verzeichnis der Verarbeitungstätigkeiten führen. Heilpraktiker sind insbesondere deshalb betroffen, weil sie regelmäßig besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) verarbeiten. Diese Daten unterliegen einem besonderen Schutz.

Das Verzeichnis muss nicht nur für Ihre eigenen Datenverarbeitungsprozesse geführt werden, sondern auch für die Datenverarbeitung, die durch externe Dienstleister (z.B. IT-Dienstleister, Abrechnungsdienste) erfolgt, wenn diese in Ihrem Auftrag Daten verarbeiten.

3. Welche Inhalte müssen dokumentiert werden?
Das Verzeichnis von Verarbeitungstätigkeiten muss detailliert beschreiben, welche Daten in Ihrer Praxis verarbeitet werden, aus welchem Grund und wie diese geschützt werden. Folgende Angaben sind erforderlich:

a) Name und Kontaktdaten des Verantwortlichen
Geben Sie Ihren vollständigen Namen und Ihre Praxisadresse an. Falls ein Datenschutzbeauftragter benannt wurde, müssen dessen Kontaktdaten ebenfalls angegeben werden (auch wenn dies für kleine Heilpraktikerpraxen in der Regel nicht erforderlich ist).

b) Zweck der Datenverarbeitung
Beschreiben Sie für jede Verarbeitungstätigkeit den Zweck der Datenverarbeitung. Dies kann z.B. die Behandlung von Patienten, die Abrechnung von Leistungen, die Terminverwaltung oder der Versand von Patienteninformationen sein.

Beispiele:

  • Patientenakten: Dokumentation der Anamnese und des Behandlungsverlaufs,
  • Abrechnung: Verarbeitung von Rechnungsdaten zur Erfüllung von Verträgen.

c) Kategorien betroffener Personen
Geben Sie an, wer von der Datenverarbeitung betroffen ist. In einer Heilpraktikerpraxis sind dies in der Regel:

  • Patienten (Gesundheitsdaten, Kontaktdaten),
  • Mitarbeiter (sofern vorhanden, Lohn- und Gehaltsabrechnung),
  • Dienstleister (bei Auftragsverarbeitungen, z.B. IT-Anbieter).

d) Kategorien personenbezogener Daten
Listen Sie auf, welche Arten von personenbezogenen Daten verarbeitet werden. In einer Heilpraktikerpraxis können dies sein:

  • Stammdaten: Name, Adresse, Geburtsdatum,
  • Gesundheitsdaten: Anamnese, Diagnosen, Behandlungsergebnisse,
  • Abrechnungsdaten: Rechnungen, Zahlungsinformationen.

e) Kategorien von Empfängern der Daten
Dokumentieren Sie, an wen personenbezogene Daten weitergegeben werden. Dies können z.B. sein:

  • Abrechnungsdienste: Bei der Rechnungsstellung und Abrechnung von Leistungen,
  • IT-Dienstleister: Bei der Wartung der Praxissoftware oder der Datenspeicherung,
  • Steuerberater: Bei der Lohnbuchhaltung und Steuererklärung.

f) Übermittlung in Drittländer
Falls Sie personenbezogene Daten in ein Drittland außerhalb der EU übermitteln (z.B. durch Cloud-Dienste oder E-Mail-Anbieter), müssen Sie dies im Verzeichnis angeben. Zusätzlich sollten Sie darlegen, welche Schutzmaßnahmen (z.B. Standardvertragsklauseln) getroffen wurden, um den Datenschutz sicherzustellen.

g) Dauer der Datenspeicherung
Geben Sie an, wie lange Sie die Daten speichern. Für Heilpraktiker gilt, dass Patientenakten mindestens 10 Jahre nach Abschluss der Behandlung aufbewahrt werden müssen (§ 630f BGB). Nach Ablauf der Aufbewahrungsfrist müssen die Daten datenschutzkonform gelöscht oder vernichtet werden.

h) Technische und organisatorische Maßnahmen (TOMs)
Beschreiben Sie, welche Sicherheitsmaßnahmen getroffen werden, um die Daten zu schützen. Dies können z.B. sein:

  • Verschlüsselung digitaler Daten,
  • Passwortschutz für Praxissoftware,
  • Abschließbare Schränke für papierbasierte Patientenakten,
  • Regelmäßige Backups der Daten.

4. Praktische Tipps für die Erstellung des Verzeichnisses
Die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten muss sorgfältig durchgeführt und regelmäßig aktualisiert werden. Hier einige praktische Tipps:

a) Verwenden Sie Muster und Vorlagen
Es gibt zahlreiche Vorlagen und Muster für Verzeichnisse von Verarbeitungstätigkeiten, die Sie an die Bedürfnisse Ihrer Praxis anpassen können. Diese Vorlagen enthalten oft die wichtigsten Kategorien und können eine gute Grundlage für die Erstellung Ihres Verzeichnisses sein.

b) Regelmäßige Aktualisierung
Das Verzeichnis sollte regelmäßig aktualisiert werden, insbesondere wenn neue Verarbeitungstätigkeiten hinzukommen oder Änderungen an bestehenden Prozessen vorgenommen werden. Stellen Sie sicher, dass das Verzeichnis immer den aktuellen Stand der Datenverarbeitung widerspiegelt.

c) Zusammenarbeit mit Datenschutzexperten
Falls Sie sich unsicher sind, ob Ihr Verzeichnis vollständig und korrekt ist, kann es sinnvoll sein, einen Datenschutzexperten oder Rechtsanwalt hinzuzuziehen. Dieser kann Sie bei der Erstellung des Verzeichnisses beraten und sicherstellen, dass alle rechtlichen Anforderungen erfüllt werden.

5. Aufbewahrung und Vorlagepflicht
Das Verzeichnis von Verarbeitungstätigkeiten muss jederzeit vorzeigbar sein, wenn es von der Datenschutzbehörde angefordert wird. Es ist daher wichtig, dass das Verzeichnis gut dokumentiert und sicher aufbewahrt wird.

  • Elektronische oder papierbasierte Speicherung: Sie können das Verzeichnis elektronisch oder in Papierform führen, solange es bei Bedarf schnell verfügbar ist.

  • Keine Meldepflicht, aber Nachweispflicht: Sie müssen das Verzeichnis nicht aktiv bei der Datenschutzbehörde einreichen. Es dient jedoch als Nachweis, dass Sie die DSGVO einhalten, falls es zu einer Überprüfung kommt.

Das Verzeichnis von Verarbeitungstätigkeiten ist ein zentrales Element der DSGVO und hilft Ihnen, den Überblick über die Datenverarbeitungsprozesse in Ihrer Heilpraktikerpraxis zu behalten. Es bietet Transparenz und dient als Nachweis Ihrer DSGVO-Konformität. Indem Sie alle relevanten Informationen wie Datenkategorien, Verarbeitungszwecke und Sicherheitsmaßnahmen im Verzeichnis festhalten, erfüllen Sie die Anforderungen der DSGVO und schaffen eine solide Basis für den Schutz der sensiblen Daten Ihrer Patienten.

Dieser Artikel ersetzt keine Rechtsberatung und auch keinen Gang zu einem Spezialisten, wie Steuerberater oder Anwalt.