Die EU-Datenschutzgrundverordnung (DS-GVO) verpflichtet ab 25. Mai 2018 den Großteil der Betriebe, ein sog. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) zu führen. Diese Pflicht trifft auch Apotheken, da in Apotheken besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Gesundheitsdaten) verarbeitet werden.

Zweck

Das Verzeichnis beinhaltet sämtliche Datenverarbeitungsvorgänge in der Apotheke, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, unabhängig davon, ob die Verarbeitung automatisiert oder manuell erfolgt. Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung nach Maßgabe des Art. 30 DS-GVO anzufertigen.

Das Verzeichnis der Verarbeitungstätigkeiten ist Ausdruck der Rechenschaftspflicht, die die DS-GVO den Betrieben auferlegt, dient gleichzeitig aber auch als Grundlage einer strukturierten Datenschutzdokumentation.

Im Unterschied zur bisherigen Rechtslage wird das Verzeichnis nicht mehr für jedermann einsehbar sein. Das Verzeichnis dient somit als betriebsinternes Dokument, um den Überblick über die Datenverarbeitung im Betrieb zum einen zu dokumentieren, und daneben die Datenverarbeitungsvorgänge auf dieser Basis datenschutzrechtlich beurteilen zu können.

Auf Anfrage ist das Verzeichnis der für den Datenschutz zuständigen Aufsichtsbehörde (Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg) zur Verfügung zu stellen.

Inhalt

Das Verzeichnis der Verarbeitungstätigkeiten muss folgende Mindestinhalte enthalten:

1. Allgemeine Angaben
•    Benennung der verantwortlichen Stelle, in der die Verarbeitungstätigkeit erfolgt einschließlich Kontaktdaten des gesetzlichen Vertreters des Verantwortlichen
•    Kontaktdaten des Datenschutzbeauftragten (sofern bestellt)

2. Verfahrensspezifische Angaben
•    Zweck der Datenverarbeitung  
•    Beschreibung der Kategorien betroffener Personen
•    Beschreibung der Kategorien personenbezogener Daten
•    Bezeichnung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen
•    Angaben zu den vorgesehenen Löschfristen der Datenkategorien
•    Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 DS-GVO

Sofern eine Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation erfolgt – was für die meisten Apotheken nicht zutreffen dürfte –, sind darüber hinaus weitere Angaben erforderlich.

Form

Das Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

Sanktionen

Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde können nach Art. 83 Abs. 4 lit. a DS-GVO mit einer Geldbuße sanktioniert werden.

Weiterführende Informationen

Ein Muster für ein apothekenspezifisches Verzeichnis der Verarbeitungstätigkeiten finden Sie in Kürze auf der Homepage der Landesapothekerkammer unter www.lak-bw.de Recht/Datenschutz/Arbeitshilfen.

Allgemeine Hinweise erhalten Sie über die Homepage Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg unter www.baden-wuerttemberg.datenschutz.de/

•    Kurzpapier Nr. 1 (Verzeichnis von Verarbeitungstätigkeiten): https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/07/DSK_KPNr_1_Verzeichnis_Verarbeitungst%C3%A4tigkeiten.pdf
•    Hinweise der Datenschutzkonferenz zum Verzeichnis von Verarbeitungstätigkeiten: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/Hinweise-zum-Verzeichnis-von-Verarbeitungstaetigkeiten-DSK.pdf