Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Verzeichnis von Verarbeitungstätigkeiten

Copyright,     Einleitung,     Übergangsregelung,     Verantwortlichkeiten,     Zielsetzung,     Unterschiede zum BDSG,     Begriffsbestimmungen,     Anforderungen,     Weitergehende Dokumentation,     TOMs: BDSG vs. DS-GVO,     Literatur,     Beispiel

Weitergehende Dokumentation

Art. 5 DS-GVO beinhaltet weitere Anforderungen, die u.a. auch die Dokumentationspflicht betrifft. Dieses bedeutet, dass der Verantwortliche weitaus mehr "Dinge" dokumentieren muss, als in Art. 30 DS-GVO bzgl. der Dokumentation in einem Verzeichnis der Verarbeitungstätigkeiten vorgeschrieben ist. Diese dokumentierten Informationen muss er wie vorstehend beschrieben u.a. aufgrund seiner Rechenschaftspflicht (jederzeit) nachweisen bzw. vorweisen können.

Nach Ansicht der Autoren erscheint es deshalb sinnvoll, einige der (übrigen) von der DS-GVO vorgesehenen Dokumentationspflichten bzw. zu dokumentierenden Informationen mit in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen. Dieses hat den großen Vorteil, dass die Unterlagen / Informationen, welche die Aufsichtsbehörden zur Überprüfung benötigen, alle an derselben Stelle zu finden sind.

Diesbezüglich sei (informatorisch) auch auf das Working Paper 173 "Stellungnahme 3/2010 zum Grundsatz der Rechenschaftspflicht" der Artikel-29-Datenschutzgruppe verwiesen. Dieses Dokument enthält u.a. eine beispielhafte Aufzählung von Maßnahmen zur Gewährleistung der "Accountability". Die dort aufgeführten Beispiele dürften ferner einen guten Eindruck vermitteln, wie sich die Aufsichtsbehörden einen Nachweis hinsichtlich der Rechenschaftspflicht vorstellen.

Weil sich der Gesetzgeber zum Ziel gesetzt hat, mit dem Verzeichnis jederzeit eine Überprüfung zu ermöglichen, ist es angezeigt, dass im Verzeichnis alle relevanten Ansprechpartner benannt werden. Diesbezüglich sieht die DS-GVO jedoch zwingend nur den oder die Verantwortlichen sowie dessen Vertreter und - sofern vorhanden - den Datenschutzbeauftragten vor. Nach Erfahrungen der Verfasser erleichtert es jedoch die Arbeit einer Aufsichtsbehörde und vermindert die Nachfragen bei einer ggfs. stattfindenden Überprüfung, wenn zusätzlich zu den explizit gesetzlich geforderten Angaben zumindest die für die entsprechenden Verarbeitungstätigkeiten relevanten Personen wie z. B. die IT-Verantwortlichen (IT-Leiter), (falls bestellt) der Informationssicherheitsbeauftragte sowie der entsprechende Verfahrensverantwortliche im Verzeichnis mit aufgeführt werden.