Das Verarbeitungsverzeichnis (VV) nach Art. 30 DSGVO ist eines der wichtigsten Pflichtdokumente für jede Arztpraxis. Trotzdem fehlt es in vielen Praxen — oft aus Zeitmangel oder Unsicherheit. In diesem Artikel erklären wir, was ein VV ist, warum Sie es brauchen und wie Sie es in unter 10 Minuten erstellen.
Was ist ein Verarbeitungsverzeichnis?
Ein Verarbeitungsverzeichnis dokumentiert alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten in Ihrer Praxis verarbeitet werden. Es ist quasi das "Inhaltsverzeichnis" Ihres Datenschutzes und beantwortet die Frage: Welche Daten verarbeiten wir, warum und wie?
Die Rechtsgrundlage ist Art. 30 DSGVO. Dort ist festgelegt, dass jeder Verantwortliche ein solches Verzeichnis führen muss. Arztpraxen sind hier keine Ausnahme — im Gegenteil: Da Sie besonders schützenswerte Gesundheitsdaten verarbeiten (Art. 9 DSGVO), ist das VV sogar besonders wichtig.
Braucht jede Arztpraxis ein VV?
Kurz: Ja. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern (Art. 30 Abs. 5 DSGVO) greift bei Arztpraxen nicht, weil Sie regelmäßig besondere Kategorien personenbezogener Daten verarbeiten (Gesundheitsdaten). Daher ist das VV für jede Arztpraxis Pflicht — egal ob Einzelpraxis oder MVZ.
Was muss im VV stehen?
Für jede Verarbeitungstätigkeit müssen Sie folgende Angaben machen:
- Bezeichnung der Verarbeitungstätigkeit — z.B. "Patientenbehandlung und Dokumentation"
- Zweck der Verarbeitung — z.B. "Medizinische Versorgung, Diagnose, Therapie"
- Kategorien betroffener Personen — z.B. "Patienten, Mitarbeiter"
- Kategorien personenbezogener Daten — z.B. "Stammdaten, Gesundheitsdaten, Abrechnungsdaten"
- Empfänger — z.B. "KV, Labore, Überweisungsempfänger"
- Löschfristen — z.B. "10 Jahre nach letzter Behandlung (§ 630f BGB)"
- Technische und organisatorische Maßnahmen — z.B. "Verschlüsselung, Zugriffskontrollen"
Typische Verarbeitungstätigkeiten in der Arztpraxis
Die meisten Arztpraxen haben mindestens diese 6 Verarbeitungstätigkeiten:
- Patientenbehandlung & Dokumentation — Anamnese, Diagnose, Therapie, Befunde
- Abrechnung — KV-Abrechnung, Privatliquidation, BG-Abrechnung
- Terminverwaltung — Terminbuch, Online-Terminbuchung
- TI / ePA-Anbindung — Telematikinfrastruktur, elektronische Patientenakte
- Praxisverwaltungssystem (PVS) — Softwarenutzung, Datenverarbeitung im PVS
- Personalverwaltung — Mitarbeiterdaten, Gehaltsabrechnung, Arbeitsverträge
Je nach Praxis kommen weitere hinzu: Website mit Kontaktformular, Online-Terminbuchung, Newsletter, Videosprechstunde oder Cloud-Dienste.
Häufige Fehler beim VV
- Zu allgemein: "Wir verarbeiten Patientendaten" reicht nicht. Jede Tätigkeit muss einzeln aufgeführt werden.
- Löschfristen fehlen: Die häufigste Lücke. Für Patientenakten gelten 10 Jahre (§ 630f BGB), für Abrechnungen 10 Jahre (§ 147 AO).
- TI/ePA vergessen: Seit der ePA-Pflicht müssen die TI-Verarbeitungen im VV stehen.
- Nicht aktuell: Das VV muss bei Änderungen aktualisiert werden (neues PVS, neuer Dienst, etc.).
VV erstellen — in unter 10 Minuten
Mit PraxisGuard erstellen Sie Ihr Verarbeitungsverzeichnis in 3 einfachen Schritten:
- Praxisdaten eingeben: Name, Adresse, Fachrichtung, Datenschutzbeauftragter
- Verarbeitungstätigkeiten auswählen: Die 6 Standard-Tätigkeiten sind vorausgefüllt, optionale können Sie ergänzen
- Dokument generieren: PraxisGuard erstellt ein vollständiges VV basierend auf den Muster-VVs der KBV und LfDI Baden-Württemberg
Das Ergebnis können Sie als HTML herunterladen, in die Zwischenablage kopieren oder direkt in PraxisGuard speichern.
Quellen & weiterführende Informationen
- KBV: Muster-Verarbeitungsverzeichnis für die Arztpraxis
- LfDI Baden-Württemberg: Hinweise zum Verarbeitungsverzeichnis
- Bundesärztekammer: Empfehlungen zur ärztlichen Schweigepflicht und Datenschutz
- Art. 30 DSGVO — Verzeichnis von Verarbeitungstätigkeiten