31.01.2018 · Fachbeitrag · Datenschutz

Die neue DSGVO in der Physiopraxis: Vorgaben für die Auftragsdatenverarbeitung

von Rechtsanwalt Ralph Jürgen Bährle, Bährle & Partner, Nothweiler

| Am 25.05.2018 entfaltet die Datenschutzgrundverordnung (DSGVO) ihre volle Wirkung ( PP 12/2017, Seite 13 ). Sie regelt neben der Verarbeitung personenbezogener Daten durch Ihre Physiotherapiepraxis u. a. auch die sogenannte Auftragsdatenverarbeitung (ADV). Damit ist die Verarbeitung von Daten gemeint, mit der Sie externe Dienstleister beauftragen (z. B. für die Abrechnung von Behandlungen, PP 11/2017, Seite 10 ). Sowohl auf Sie als Auftraggeber als auch auf Ihre Dienstleister kommen mit der DSGVO neue Verpflichtungen zu. PP fasst diese zusammen. |

Pflichten des Verantwortlichen für die Datenverarbeitung

Verantwortlicher für die Datenverarbeitung i. S. d. DSGVO ist jeder, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Das kann eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein. Nach Art. 30 DSGVO müssen Verantwortliche und Auftragsverarbeiter ein Verzeichnis über alle Verarbeitungstätigkeiten führen und das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung stellen. Ein Musterverzeichnis finden Sie online unter pp.iww.de, Abruf-Nr. 45030261.

ADV: Pflichtangaben im Verzeichnis des Verantwortlichen
Angabe	Beispiel
1. Namen und die Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
2. Zweck(e) der Verarbeitung	Erfassen von Diagnosen
3. Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten	Personen: Patienten, Daten: Diagnosen
4. Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen	Krankenkassen
5. Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien	In der Physiotherapiepraxis nicht von Bedeutung
6. Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien	Zehn Jahre
7. Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO (auch als separates Dokument möglich).	Beschreibung der technischen Maßnahmen zur Verschlüsselung und Schutz vor Datenverlust