Verarbeitungstätigkeiten für eine Arztpraxis
Hier ist ein Beispiel für ein Verzeichnis von Verarbeitungstätigkeiten (VVT) für eine Arztpraxis, das die Anforderungen aus Art. 30 DSGVO erfüllt. Es ist vereinfacht dargestellt, aber inhaltlich vollständig genug für die meisten kleineren oder mittelgroßen Praxen.
Verantwortlicher:
Praxis Dr. med. Anna Mustermann
Musterstraße 1
12345 Musterstadt
Tel.: 01234 / 567890
E-Mail: info(at)praxis-mustermann.de
1. Verarbeitungstätigkeit: Patientenverwaltung
| Kategorie | Inhalt |
|---|---|
| Zweck der Verarbeitung | Verwaltung von Patientendaten zur Durchführung der ärztlichen Behandlung, Terminplanung, Abrechnung |
| Kategorien betroffener Personen | Patienten |
| Kategorien personenbezogener Daten | Name, Anschrift, Geburtsdatum, Versichertendaten, Kontaktdaten, Gesundheitsdaten (Diagnosen, Befunde, Anamnesen) |
| Kategorien von Empfängern | Krankenkassen, Abrechnungsstellen, ggf. andere behandelnde Ärzte, Labore |
| Übermittlung in Drittland | Nein |
| Löschfristen | 10 Jahre nach Abschluss der Behandlung gemäß § 630f BGB, steuerlich relevante Daten nach AO/HGB |
| Technische und organisatorische Maßnahmen (TOM) | Zugangskontrolle, Verschlüsselung, Firewalls, Schulungen, regelmäßige Backups, Dokumentationspflichten |
2. Verarbeitungstätigkeit: E-Mail-Kommunikation mit Patienten
| Kategorie | Inhalt |
|---|---|
| Zweck der Verarbeitung | Terminbestätigungen, Rückfragen zu Behandlungen (sofern Einwilligung vorliegt) |
| Kategorien betroffener Personen | Patienten |
| Kategorien personenbezogener Daten | Name, E-Mail-Adresse, ggf. Gesundheitsdaten |
| Kategorien von Empfängern | Keine externen Empfänger ohne ausdrückliche Einwilligung |
| Übermittlung in Drittland | Nein |
| Löschfristen | 6 Monate nach Abschluss der Kommunikation, sofern keine Behandlung mehr besteht |
| TOM | SSL-Verschlüsselung, Zugriffsschutz, Einwilligungserklärung, keine sensiblen Inhalte ohne Absicherung |
3. Verarbeitungstätigkeit: Personalverwaltung
| Kategorie | Inhalt |
|---|---|
| Zweck der Verarbeitung | Verwaltung von Arbeitsverhältnissen |
| Kategorien betroffener Personen | Mitarbeitende |
| Kategorien personenbezogener Daten | Name, Adresse, Bankdaten, Sozialversicherungsnummer, Arbeitsvertrag, Lohnabrechnungen |
| Kategorien von Empfängern | Steuerberater, Finanzamt, Sozialversicherungsträger |
| Übermittlung in Drittland | Nein |
| Löschfristen | 10 Jahre nach Ende des Beschäftigungsverhältnisses (nach AO, HGB) |
| TOM | Aktenzugriff nur für befugtes Personal, elektronische Daten passwortgeschützt, Dokumentation, Datenschutzschulungen |
4. Verarbeitungstätigkeit: Einsatz von Praxissoftware
| Kategorie | Inhalt |
|---|---|
| Zweck der Verarbeitung | Verwaltung und Speicherung von Patientendaten, Diagnosen, Rezeptausstellung |
| Kategorien betroffener Personen | Patienten, Praxispersonal |
| Kategorien personenbezogener Daten | Gesundheitsdaten, personenbezogene Daten |
| Kategorien von Empfängern | Softwareanbieter (Auftragsverarbeiter), ggf. Cloud-Dienstleister |
| Übermittlung in Drittland | Nein (es sei denn, Cloud-Server im Drittland – prüfen!) |
| Löschfristen | Wie bei Patientenverwaltung |
| TOM | Vertrag zur Auftragsverarbeitung (AVV), regelmäßige Updates, Zugriffsmanagement, Verschlüsselung |
Hinweis:
- Dieses Verzeichnis muss intern dokumentiert und aktuell gehalten werden.
- Es muss nicht veröffentlicht, aber auf Anfrage der Datenschutzbehörde vorgelegt werden können.
- Falls externe Dienstleister (z. B. IT-Betreuung, Cloudanbieter) verwendet werden, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich.