Pflichtangaben, Muster und Anleitung für Ihr Verarbeitungsverzeichnis. Kostenloser Leitfaden für Arztpraxen, KMU und Datenschutzbeauftragte.
Das Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO ist das zentrale Datenschutz-Dokument jeder Organisation. Es dokumentiert alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden — von der Lohnabrechnung über den Newsletter bis zur Videoüberwachung.
Die Datenschutz-Aufsichtsbehörden fordern das VVT regelmäßig als erstes Dokument bei Prüfungen an. Ein fehlendes oder unvollständiges VVT ist ein haeufiger Beanstandungspunkt bei Datenschutzpruefungen.
Art. 30 Abs. 1 DSGVO schreibt folgende Mindestangaben vor:
| # | Pflichtangabe | Beispiel |
|---|---|---|
| 1 | Name und Kontaktdaten des Verantwortlichen | Musterpraxis Dr. Müller GmbH |
| 2 | Ggf. gemeinsam Verantwortlicher | Laborgemeinschaft XY |
| 3 | Datenschutzbeauftragter | David Stegmann, dsb@firma.de |
| 4 | Zwecke der Verarbeitung | Patientenbehandlung, Abrechnung |
| 5 | Kategorien betroffener Personen | Patienten, Mitarbeiter, Lieferanten |
| 6 | Kategorien personenbezogener Daten | Kontaktdaten, Gesundheitsdaten, Bankdaten |
| 7 | Empfänger | Krankenkasse, Steuerberater, IT-Dienstleister |
| 8 | Drittlandtransfers | Google Analytics (USA, DPF) |
| 9 | Löschfristen | 10 Jahre nach Behandlungsende |
| 10 | TOM-Beschreibung | Verschlüsselung, Zugriffskontrolle, Backups |
Diese Verarbeitungstätigkeiten sollten in fast jedem VVT dokumentiert sein:
Arztpraxen benötigen zusätzlich: Patientenbehandlung, ePA, Laboraufträge, QM-Dokumentation.
| Kriterium | Excel | Custodio |
|---|---|---|
| Einstieg | Kostenlos | Ab 49 €/Monat |
| Vorlagen | Manuell erstellen | 25 Branchen-Presets vorbefüllt |
| Fristen | Manuell überwachen | Automatische Erinnerungen |
| Versionierung | Dateiname_v3_final_NEU.xlsx | Automatisch mit Audit-Log |
| Export | PDF manuell | PDF, CSV, Behördenformat |
| Verknüpfung | Isoliert | Verknüpft mit AVV, TOM, DSFA |
| Zusammenarbeit | E-Mail-Versand | Multi-User, Aufgaben, Kommentare |
Mit Custodio erstellen Sie Ihr Verarbeitungsverzeichnis in Minuten — mit branchenspezifischen Vorlagen, automatischen Fristen und Behörden-Export.
Kostenlos beraten lassen Kostenlos DSE erstellenDas VVT nach Art. 30 DSGVO dokumentiert alle Verarbeitungstätigkeiten einer Organisation, bei denen personenbezogene Daten verarbeitet werden. Es ist Pflicht für jeden Verantwortlichen und Auftragsverarbeiter.
Name und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung, Kategorien betroffener Personen und Daten, Empfänger, Drittlandtransfers, Löschfristen und technisch-organisatorische Maßnahmen (TOM).
Grundsätzlich jede Organisation, die personenbezogene Daten verarbeitet. Die Ausnahme für Unternehmen unter 250 Mitarbeitern greift nur, wenn die Verarbeitung nicht regelmäßig erfolgt — in der Praxis braucht fast jedes Unternehmen ein VVT.
Ja. Für mehr als 5-10 Einträge wird Excel jedoch schnell unübersichtlich. Spezialisierte Tools wie Custodio bieten Vorlagen, automatische Fristen, Versionierung und Exportfunktionen.