Jetzt loslegen
Ein vollständiges, aktuelles VVT ist unverzichtbar für Pflegeheime, um Gesundheitsdaten DSGVO‑konform zu schützen und Bußgelder zu vermeiden.
Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist für Pflegeheime Pflicht. Es dokumentiert, wie personenbezogene Daten verarbeitet werden, und schützt vor hohen Bußgeldern. Pflegeheime müssen besonders sorgfältig sein, da sie täglich sensible Gesundheitsdaten verarbeiten.
Wichtige Fakten:
Mit einer klaren Struktur, regelmäßiger Pflege und der richtigen Vorlage erfüllen Sie die Anforderungen der DSGVO und schützen Ihre Einrichtung.
VVT Pflichtfelder für Pflegeeinrichtungen nach Art. 30 DSGVO
Ein vollständiges Verzeichnis von Verarbeitungstätigkeiten (VVT) muss gemäß Art. 30 DSGVO klar definierte Pflichtangaben zur Datenverarbeitung enthalten. Diese Angaben sind entscheidend, um die Einhaltung der Datenschutzvorgaben nachzuweisen.
Jede Verarbeitungstätigkeit, ob Pflegedokumentation, Abrechnung mit Krankenkassen oder Lohnbuchhaltung, wird dabei separat aufgeführt. Im Folgenden werden die einzelnen Pflichtfelder und deren Bedeutung beleuchtet.
„Ein Verzeichnis von Verarbeitungstätigkeiten dokumentiert, wie und zu welchem Zweck personenbezogene Daten verarbeitet werden." – Jacqueline Neiazy, Partnerin & Geschäftsführerin, ISiCO [2]
Ein VVT-Eintrag muss folgende Mindestangaben enthalten:
Pflegeeinrichtungen müssen besonders darauf achten, dass Gesundheitsdaten als besondere Kategorie personenbezogener Daten gemäß Art. 9 DSGVO erfasst werden. Zudem ist die Rechtsgrundlage der Verarbeitung (z. B. gesetzliche Pflicht, Vertragserfüllung oder Einwilligung) anzugeben.
Praxistipp: Wenn detaillierte Löschkonzepte oder TOMs bereits in anderen Dokumenten hinterlegt sind, verweisen Sie darauf, anstatt diese Informationen im VVT zu wiederholen.
Die Umsetzung dieser Pflichtfelder zeigt sich im Alltag von Pflegeeinrichtungen wie folgt:
| Pflichtfeld (Art. 30 DSGVO) | Anwendungsbeispiel Pflegeeinrichtung |
|---|---|
| Verantwortlicher | Name und Anschrift des Pflegeheimbetreibers/Trägers |
| Zweck der Verarbeitung | Pflegedokumentation, SIS-basierte Pflegeplanung, Abrechnung mit Krankenkassen |
| Kategorien betroffener Personen | Bewohner, gesetzliche Betreuer, Mitarbeiter, Pflegeschüler |
| Datenkategorien | Medizinische Diagnosen, Pflegegrade, Medikationspläne, Sozialversicherungsdaten von Mitarbeitern |
| Empfängerkategorien | Medizinischer Dienst (MD), Krankenkassen, externe Apotheken, Finanzamt |
| Löschfristen | 10 Jahre für medizinische Unterlagen (gesetzliche Aufbewahrungspflicht), 3 Jahre für allgemeine Korrespondenz |
| TOMs | Verschlüsselte Pflegesoftware, Zugangskontrolle zu Papierakten, Passwortrichtlinien für mobile Tablets |
Ein Beispiel für kürzere Fristen betrifft Bewerberdaten: Bewerbungsunterlagen von abgelehnten Kandidaten sind in der Regel nach 6 Monaten zu löschen. Für die Zusammenarbeit mit externen Dienstleistern, etwa bei der Lohnabrechnung, muss dokumentiert werden, welche Mitarbeiterdaten (z. B. Sozialversicherungsnummer, Bankverbindung, Steuer-ID) weitergegeben werden und auf welcher Rechtsgrundlage dies erfolgt.
Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu erstellen, erfordert die Zusammenarbeit verschiedener Abteilungen wie Pflege, Verwaltung, IT und Geschäftsführung. Ziel ist es, sämtliche Datenverarbeitungsvorgänge präzise zu erfassen. Beginnen Sie damit, Ihre Einrichtung in Bereiche zu unterteilen und herauszufinden, wo Daten erfasst werden. Anschließend folgen die Schritte zur strukturierten Erfassung und Dokumentation.
„Wer besonders geschützte Daten verarbeitet, wie beispielsweise ein Pflegedienst, der Gesundheitsdaten speichert... muss auch immer ein Verzeichnis von Verarbeitungstätigkeiten erstellen." – Lucie Hilger, Beraterin, exkulpa gmbh
Ein guter Ausgangspunkt ist die Pflegedokumentation. Hier finden Sie zentrale Datenquellen wie Patientenstammdaten, Pflegeanamnesen, Medikationspläne und Wunddokumentationen. Diese sollten als separate Verarbeitungsvorgänge betrachtet werden.
Denken Sie dabei sowohl an digitale Systeme wie Pflegesoftware und CRM-Lösungen als auch an analoge Dokumente wie Biografiebögen oder Fieberkurven. Ergänzend dazu lohnt es sich, mit Wohnbereichsleitungen und der Verwaltung zu sprechen, um weitere Prozesse zu identifizieren.
| Bereich | Typische Verarbeitungstätigkeiten | Betroffene Personen |
|---|---|---|
| Pflege | Pflegeplanung, Medikamentenmanagement, Wunddokumentation, Pflegeberichte | Bewohner |
| Verwaltung | Abrechnung mit Krankenkassen, Bewohnerverwaltung (z. B. CRM), Lieferantenverwaltung | Bewohner, Angehörige, Lieferanten |
| Personal | Lohnbuchhaltung, Personalakten, Bewerbermanagement | Mitarbeiter, Bewerber |
| Einrichtung/IT | Videoüberwachung, Website-Analyse, Zutrittskontrollsysteme | Besucher, Mitarbeiter, Bewohner |
Sobald alle Verarbeitungstätigkeiten erfasst sind, sammeln Sie die notwendigen Informationen aus den jeweiligen Abteilungen. Beschreiben Sie die Tätigkeiten so genau wie möglich. Statt „Datenspeicherung" sollten Sie beispielsweise „Durchführung und Verwaltung von Pflegemaßnahmen" angeben.
Erfassen Sie auch die Empfängerkategorien, wie Krankenkassen, den Medizinischen Dienst, Apotheken oder externe Labore. Wichtig ist zudem die Angabe der Rechtsgrundlage. Für die Pflegedokumentation wird häufig Art. 6 Abs. 1 lit. b (Vertragserfüllung) in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) herangezogen. Um Doppelarbeit zu vermeiden, können Sie auf bestehende Löschkonzepte oder technische und organisatorische Maßnahmen (TOM) verweisen.
Nach der Erfassung aller Pflichtfelder sollten Sie die Tätigkeiten auf mögliche Risiken prüfen.
Verarbeitungsvorgänge, die sensible Daten wie Gesundheitsinformationen, Pflegegrade oder Medikationspläne betreffen, sollten als Hochrisiko eingestuft werden. Für jeden dieser Vorgänge ist eine kurze Risikobewertung notwendig, um festzustellen, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Dabei sollten Sie Sicherheitsmaßnahmen wie Verschlüsselung oder Zugriffskontrollen dokumentieren.
„In der Praxis wird jedes Verfahren einer Risikoanalyse unterzogen und es wird eine Bewertung vorgenommen, ob eine Datenschutz-Folgenabschätzung notwendig ist oder nicht." – DSGVO-Vorlagen.de
Typische Hochrisiko-Tätigkeiten in Pflegeheimen sind digitale Pflegeordner, elektronische Medikationsdokumentation, Videoüberwachung in Gemeinschaftsbereichen und digitale Wunddokumentation.
Mit dem Wissen, welche Pflichtfelder ein Verzeichnis von Verarbeitungstätigkeiten (VVT) enthalten muss, bietet die folgende Vorlage eine praktische Lösung zum Herunterladen.
Die kostenlose VVT-Vorlage wird als bearbeitbare Excel-Datei bereitgestellt. Sie ist in fünf logische Bereiche gegliedert, die speziell auf die Bedürfnisse von Pflegeheimen abgestimmt sind.
Das Hauptblatt fasst die Grundinformationen Ihrer Einrichtung zusammen: Name und Kontaktdaten der verantwortlichen Stelle (z. B. Heimleitung), Angaben zum Datenschutzbeauftragten und zur zuständigen Aufsichtsbehörde. Im Aktivitätsverzeichnis werden alle erfassten Verarbeitungstätigkeiten – wie „Bewohnerverwaltung“ oder „Lohnbuchhaltung“ – übersichtlich aufgelistet. Jede dieser Tätigkeiten hat ein eigenes Detailblatt, das alle Pflichtangaben gemäß Artikel 30 DSGVO abdeckt. Dazu gehören Zweck, Datenkategorien, betroffene Personen, Empfänger und Rechtsgrundlagen.
Besonderes Augenmerk liegt auf Feldern für sensible Gesundheitsdaten, die im Pflegealltag besonders relevant sind. Zusätzlich gibt es Bereiche für technische und organisatorische Maßnahmen (TOM) sowie ein Löschkonzept, das gesetzliche Aufbewahrungsfristen berücksichtigt.
Die Vorlage enthält vorausgefüllte Standardaktivitäten wie „E-Mail-Kommunikation“ oder „Personalverwaltung“, die Sie individuell anpassen können. Für pflegespezifische Aufgaben wie die „Pflegedokumentation“ erstellen Sie einfach eine Kopie des entsprechenden Detailblatts und ergänzen es mit den passenden Informationen. Beispiele für solche Angaben sind:
Die verlinkte Übersichtstabelle ermöglicht eine schnelle Navigation zwischen den Aktivitäten. Sicherheitsmaßnahmen müssen nicht mehrfach beschrieben werden – verweisen Sie stattdessen auf ein zentrales TOM-Dokument.
„Das Verarbeitungsverzeichnis ist weit mehr als eine lästige Pflicht. Es ist Ihr wichtigstes Werkzeug im Datenschutz-Management." – TSMONDO [3]
Überprüfen Sie jede Aktivität auf Risiken: Besonders bei der Verarbeitung von Gesundheitsdaten sollten Sie den Risikoanalyse-Bereich der Vorlage nutzen. Dort können Sie markieren, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Die Vorlage führt Sie durch diese Schritte und stellt sicher, dass keine Pflichtangaben übersehen werden.
Im nächsten Abschnitt erfahren Sie, wie Sie Ihr VVT regelmäßig aktualisieren und mit KI-Tools erweitern können.
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist kein statisches Dokument. Es muss stets vollständig und auf dem neuesten Stand sein, um die DSGVO-Anforderungen für Pflegeheime zu erfüllen. Auch nach der Erstellung erfordert es laufende Pflege und regelmäßige Überprüfung.
„Ein Verarbeitungsverzeichnis ist kein Einmalprojekt. Es muss mit dem Unternehmen wachsen." – Digimojo [5]
Nachfolgend erfahren Sie, wann und wie Sie Ihr VVT an veränderte Gegebenheiten anpassen sollten.
Sobald sich etwas in Ihren Datenverarbeitungsprozessen ändert, ist eine Anpassung notwendig. Dies betrifft unter anderem:
Die folgende Tabelle zeigt typische Szenarien und die entsprechenden Maßnahmen:
| Situation | Erforderliche Maßnahme |
|---|---|
| Neue Software/KI-Tool | Eintrag mit Zweck, Datenkategorien und Anbieterangaben hinzufügen |
| Dienstleisterwechsel | Kategorien der „Empfänger“ aktualisieren und Auftragsverarbeitungsvertrag (AVV) prüfen |
| Prozessänderung | Felder wie „Zweck“ und „Datenkategorien“ anpassen |
| Personalwechsel | Verantwortliche Person oder Kontaktdaten aktualisieren |
| Verfahren eingestellt | Eintrag archivieren oder aus dem aktiven VVT löschen |
Reservieren Sie vierteljährlich etwa 30 Minuten, um Ihr Verzeichnis zu überprüfen. Dabei sollten Änderungen bei Tools, Prozessen oder Personal erfasst werden. Ein klar definierter Meldeweg erleichtert die Aktualisierung: Die IT-Abteilung könnte beispielsweise den Datenschutzbeauftragten über neue Systeme informieren. Regelmäßige Abstimmungen mit den Abteilungen helfen, unbemerkte Änderungen oder „Schatten-IT“ frühzeitig zu erkennen.
Dokumentieren Sie jede Änderung mit Datum und Grund, um bei einer Prüfung durch Behörden einen lückenlosen Nachweis führen zu können. Nutzen Sie das Feld „Letzte Überprüfung“ in Ihrer Vorlage, um die Aktualität der Einträge sichtbar zu machen. Vergessen Sie nicht, regelmäßig nicht mehr genutzte Verarbeitungstätigkeiten zu entfernen, damit das Verzeichnis übersichtlich bleibt.
Wenn Sie Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT) aktualisieren, sollten Sie auch neue KI-gestützte Prozesse berücksichtigen. Nutzen Sie KI-Tools wie dexter health, müssen diese Tätigkeiten vollständig dokumentiert werden. Da diese Tools oft sensible Gesundheitsdaten verarbeiten, gelten hier die strengen Vorgaben des Art. 9 DSGVO.
Die Verwendung von KI-Tools muss im VVT transparent nachverfolgt werden. Erstellen Sie für jedes eingesetzte Tool einen eigenen Eintrag. Beschreiben Sie den Zweck präzise, etwa „Effizienzsteigerung in der Pflegedokumentation durch KI-gestützte Spracherkennung“ oder „Automatisierte Unterstützung bei der SIS-Erstellung“. Unter den Datenkategorien könnten Sie Gesundheitsdaten, Pflegeberichte, temporär gespeicherte Sprachaufnahmen und Mitarbeiter-IDs aufführen.
Wichtig ist auch, die Empfänger der Daten zu benennen. Dazu gehören interne Verantwortliche wie die Pflegedienstleitung sowie externe Partner, beispielsweise der Anbieter des KI-Tools und dessen Cloud-Hosting-Dienstleister.
Ein weiterer zentraler Punkt sind Löschfristen: Während Pflegeberichte in Deutschland gesetzlich meist 10 Jahre aufbewahrt werden müssen, sollten temporäre Sprachaufnahmen direkt nach der Umwandlung in Text gelöscht werden. Verweisen Sie im VVT außerdem auf ein Dokument zu den technischen und organisatorischen Maßnahmen (TOM). Hier sollten Details wie Verschlüsselung, Zugriffskontrollen und Pseudonymisierung beschrieben werden, um den Einsatz der KI-Lösung nahtlos in Ihre bestehende Struktur einzufügen.
Der Einsatz von KI in der Pflege ist häufig mit hohen Risiken verbunden, weshalb eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO oft notwendig ist. Prüfen Sie, ob eine DSFA erforderlich ist, und stellen Sie sicher, dass ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter vorliegt, bevor das Tool genutzt wird. Im VVT sollten Sie die Rechtsgrundlagen dokumentieren, typischerweise Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 9 Abs. 2 lit. h DSGVO (Gesundheits- oder Sozialfürsorge).
Falls das KI-Tool Daten außerhalb der EU verarbeitet, müssen entsprechende Garantien – wie Standardvertragsklauseln – im Verzeichnis festgehalten werden. Ein unvollständiges VVT kann schwerwiegende Konsequenzen nach sich ziehen: Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sind möglich [1][3]. Ein Beispiel: Im September 2021 verhängte eine italienische Datenschutzbehörde eine Strafe von 800.000 €, weil ein VVT fehlte [4].
Ein aktuelles und vollständiges Verzeichnis von Verarbeitungstätigkeiten (VVT) ist keine bloße Formalität – es ist eine rechtliche Verpflichtung für jede Pflegeeinrichtung. Ein unvollständiges oder veraltetes VVT kann schwerwiegende Konsequenzen nach sich ziehen. Mit der kostenlosen Vorlage aus diesem Artikel haben Sie eine solide Grundlage, um alle relevanten Pflichtfelder abzudecken und die wichtigsten Verarbeitungstätigkeiten zu dokumentieren.
Die manuelle Pflege solcher Dokumente in Excel oder Word ist oft fehleranfällig und kostet viel Zeit. Mit moderner Software können Sie diese Herausforderungen umgehen. Solche Lösungen bieten über 50 vorkonfigurierte Vorlagen, führen automatische Risikoanalysen durch und erinnern Sie an Aktualisierungen. Damit sparen Sie nicht nur Zeit, sondern minimieren auch das Risiko von Fehlern[3].
Wie bereits im Abschnitt zur Aktualisierung des VVT erwähnt, können KI-gestützte Tools wie dexter health Ihre Dokumentation erheblich erleichtern. Diese digitalen Lösungen ermöglichen es, neue Verarbeitungstätigkeiten effizient zu dokumentieren, indem sie vorbereitete Strukturen bereitstellen. Außerdem lassen sich VVT-Einträge direkt mit den entsprechenden technischen und organisatorischen Maßnahmen (TOM) verknüpfen.
„Das VVT ist das zentrale Dokument Ihres Datenschutzmanagements und die Grundlage für jede Datenschutzprüfung durch Aufsichtsbehörden." – datenschutzeinfach.com[3]
Durch die Kombination aus Vorlagen und digitalen Prozessen gestalten Sie Ihre Compliance nicht nur effizienter, sondern auch transparenter. Eine gut gepflegte Dokumentation schützt vor möglichen Bußgeldern, schafft Klarheit für Bewohner, Angehörige und Behörden und gibt Ihrem Team mehr Freiraum, sich auf die Pflege zu konzentrieren.
In einem Pflegeheim liegt die Verantwortung für das Verzeichnis von Verarbeitungstätigkeiten (VVT) typischerweise bei der Leitung oder dem Management der Einrichtung. Ist ein Datenschutzbeauftragter vorhanden, spielt auch dieser eine zentrale Rolle bei der Erstellung und regelmäßigen Aktualisierung des VVT.
Nein, eine Datenschutz-Folgenabschätzung (DSFA) ist nur unter bestimmten Umständen erforderlich. Sie muss durchgeführt werden, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Das bedeutet, dass sie nicht für jede Verarbeitungstätigkeit automatisch vorgeschrieben ist.
Im Verzeichnis von Verarbeitungstätigkeiten sollten Technische und Organisatorische Maßnahmen (TOMs) sowie Löschfristen so detailliert festgehalten werden, dass sie die getroffenen Schutzmaßnahmen und festgelegten Aufbewahrungsfristen klar und nachvollziehbar beschreiben.
Diese präzise Dokumentation ist nicht nur ein zentraler Bestandteil der DSGVO-Compliance, sondern sorgt auch für Transparenz bei der Datenverarbeitung. Ein gut strukturiertes Verzeichnis hilft dabei, Verantwortlichkeiten zu klären und den Schutz personenbezogener Daten nachweislich sicherzustellen.
