Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Verzeichnis von Verarbeitungstätigkeiten

Copyright,     Einleitung,     Übergangsregelung,     Verantwortlichkeiten,     Zielsetzung,     Unterschiede zum BDSG,     Begriffsbestimmungen,     Anforderungen,     Weitergehende Dokumentation,     TOMs: BDSG vs. DS-GVO,     Literatur,     Beispiel

Einleitung

Ziel dieser Ausarbeitung ist es, bei der Erstellung des durch Art. 30 der europäischen Datenschutzgrundverordnung (DS-GVO) geforderten "Verzeichnis von Verarbeitungstätigkeiten" Unterstützung zu leisten. Dazu werden zum einen die in Art. 30 genannten Anforderungen dargestellt, insbesondere die benötigten Felder eines entsprechenden Verzeichnisses dargestellt und eine Interpretationshilfe bzgl. einiger Begrifflichkeiten angeboten. Zum anderen werden auch Hinweise z.B. bzgl. der Interpretation dieser Anforderungen gegeben. Dabei unterscheidet das Dokument auch zwischen den Anforderungen, die an einen Verantwortlichen und einen Auftragsverarbeiter gestellt werden.

Diesen Überlegungen folgend, besteht das Dokument deshalb aus drei Abschnitten:
  1. Hinweise, was bei einem Verzeichnis der Verarbeitungstätigkeiten zu beachten ist.
  2. Mindestvorgaben bzgl. des Inhaltes des Verzeichnisses für den Verantwortlichen.
  3. Angaben, was ein Auftragnehmer in seinem Verzeichnis mindestens (für jeden Auftraggeber) darstellen muss.
Es ist nicht die Auffassung der Autoren, dass bei den heutigen Möglichkeiten, welche die Methoden der modernen Informationstechnologie bieten, ein Tätigkeitsverzeichnis in Papierform oder als Word-Datei der beste Weg zur Abbildung der Anforderungen der DS-GVO ist. Vielmehr sollte idealerweise das Tätigkeitsverzeichnis mit anderen IT-Systemen verknüpft werden, so dass beispielsweise Kontaktdaten für das Tätigkeitsverzeichnis direkt aus dem digitalen Adressbuch des Unternehmens eingefügt oder konkrete Maßnahmen zur Darstellung der Sicherheit eines Verfahrens direkt aus dem IT-Sicherheitskonzept übernommen werden können.

Wichtig ist dabei jedoch, dass für das Tätigkeitsverzeichnis eine nachvollziehbare Historie vorhanden ist; denn nur so lässt sich der vom Gesetzgeber verfolgte Zweck, der Aufsichtsbehörde ein Werkzeug zur Überprüfung der Legitimität der Datenverarbeitung an die Hand zu geben, erfüllen.