Als Verantwortliche gemäß Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) sind Arztpraxen nach Art. 30 Abs. 1 Satz 1 DSGVO verpflichtet, ein VVT zu führen. Diese Pflicht besteht erst ab 250 Beschäftigten. Doch es greifen Ausnahmen nach Art. 30 Abs. 5 DSGVO: Arztpraxen verarbeiten personenbezogene Daten nicht nur gelegentlich. Zudem verarbeiten sie besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO in Form von Gesundheitsdaten.
Auch abseits der gesetzlichen Pflicht empfiehlt sich ein VVT: Es schafft einen Überblick über alle Datenverarbeitungsprozesse der Praxis. Dies erleichtert es z.B., mit Datenschutzvorfällen umzugehen und Anfragen Betroffener zu beantworten.
Aufbau in der Praxis
Auf der ersten Ebene unterteilt die Person, die das VVT erstellt, die Arztpraxis in verschiedene Bereiche, z.B. Personal, Marketing oder IT. Die Anzahl der Bereiche hängt dabei insbesondere davon ab, wie groß die Praxis ist und wie zahlreich und komplex die Verarbeitungstätigkeiten sind. Daneben empfiehlt es sich, einen Bereich festzulegen, in dem alle Tätigkeiten aufgeführt sind, die die Haupttätigkeit der Arztpraxis betreffen, also die Prävention, Diagnose und Therapie von Beschwerden und Krankheiten. Dieser Bereich heißt folgerichtig z.B. „Kern- oder Haupttätigkeit“.
