Was gilt im Pflegeheim für den Datenschutz? Wer Bewohnerdaten verarbeitet, trägt als Einrichtungsleitung die volle Verantwortung und haftet bei Verstößen mit Bußgeldern bis 10 Millionen Euro. DSGVO und BDSG verlangen einen Datenschutzbeauftragten, schriftliche Verträge mit Softwareanbietern (Art. 28 DSGVO) und eine 72-Stunden-Meldepflicht bei Datenpannen (Art. 33 DSGVO).
Sie leiten eine Pflegeeinrichtung und fragen sich, welche DSGVO-Pflichten konkret für Sie als Verantwortliche gelten? Verstöße können die Aufsichtsbehörde auf den Plan rufen, noch bevor Ihnen eine Datenpanne gemeldet wird. Im Folgenden klären wir, wann ein Datenschutzbeauftragter Pflicht ist, was ein Auftragsverarbeitungsvertrag mit Softwareanbietern leisten muss und welche Dokumentationspflichten die DSGVO verlangt.
Praxisfall · Ausgangslage
Eine Einrichtungsleitung erhält ein Prüfschreiben der Datenschutzaufsichtsbehörde nach einer Angehörigen-Beschwerde. Auslöser: Pflegekräfte hatten Pflegedokumentation einschließlich Bildmaterial über einen privaten Messenger-Dienst ausgetauscht, ohne dass ein Auftragsverarbeitungsvertrag mit dem Anbieter bestand. Zeitgleich fehlte die gesetzlich vorgeschriebene Benennung eines Datenschutzbeauftragten. Was zunächst wie ein formaler Hinweis wirkt, entwickelt sich in solchen Konstellationen zu einem Bußgeldverfahren mit erheblichem Reputationsrisiko.
Für Pflegeeinrichtungen ist die DSGVO kein theoretischer Rahmen. Sie ist ein täglich gültiges Regelwerk mit handfesten Konsequenzen. Gesundheits- und Pflegedaten genießen den höchsten Schutzstatus im europäischen Datenschutzrecht, und die Landesaufsichtsbehörden nehmen Beschwerden aus dem Pflegebereich aktiv auf.
Warum gelten für Pflegedaten besondere DSGVO-Regeln?
Ein Blick in die DSGVO macht schnell deutlich: Pflegedaten sind keine normalen Verwaltungsdaten.
Wer eine Pflegeeinrichtung betreibt, ist rechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Die Einrichtungsleitung entscheidet über Zweck und Mittel der Datenverarbeitung und trägt dafür die vollständige Rechenschaftspflicht gegenüber Aufsichtsbehörden und Betroffenen. Diese Verantwortung ist nicht delegierbar, auch nicht an externe IT-Dienstleister oder Softwareanbieter.
Welche Unterlagen jetzt zählen
Art. 9 Abs. 1 DSGVO stuft Gesundheitsdaten und Pflegedokumentation als besondere Kategorie personenbezogener Daten ein. Ihre Verarbeitung ist grundsätzlich verboten, mit eng definierten Ausnahmen. Im Pflegekontext greift Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 BDSG: Verarbeitung ist erlaubt, soweit sie zur Gesundheitsversorgung oder Pflege erforderlich ist und unter Wahrung des Berufsgeheimnisses erfolgt.
Was zählt als Gesundheitsdatum im Pflegealltag?
Im Alltag sind das nicht nur Diagnosen. Pflegeprotokolle, Bewegungsprofile, Medikamentenpläne, Wunddokumentationen, Fotos von Bewohnern, Gesprächsnotizen mit Angehörigen und Abrechnungsdaten tragen allesamt Gesundheitsbezug. Sie alle unterliegen dem erhöhten Schutzniveau der DSGVO, also auch dem grundsätzlichen Verarbeitungsverbot ohne Erlaubnisgrundlage.
Art. 5 + Art. 9 DSGVO
Art. 5 DSGVO verpflichtet zur Einhaltung von sechs Grundsätzen: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Art. 9 DSGVO stuft Gesundheits- und Pflegedaten als besondere Datenkategorie ein und verbietet deren Verarbeitung ohne ausdrückliche Erlaubnisgrundlage. Verstöße gegen Art. 9 können nach Art. 83 Abs. 5 DSGVO mit Bußgeldern bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden.
Aus diesen Grundsätzen folgen konkrete Organisationspflichten, die jede Einrichtungsleitung kennen muss.
Datenschutzbeauftragter, AVV und Verarbeitungsverzeichnis: Was verlangt die DSGVO konkret?
Zurück zur Ausgangssituation: Fehlt in einer Einrichtung der Datenschutzbeauftragte, liegt nicht nur ein formaler Mangel vor. Es fehlt die zentrale Stelle, die Risikolagen erkennt, Prüfschreiben koordiniert und die Aufsichtsbehörde anspricht. Alles landet dann ungefiltert bei der Einrichtungsleitung.
Pflegeeinrichtungen sind in nahezu allen Fällen zur Benennung eines Datenschutzbeauftragten (DSB) verpflichtet. Die Grundlage: Art. 37 Abs. 1 lit. c DSGVO in Verbindung mit § 38 Abs. 1 BDSG. Die Schwelle liegt bei regelmäßig mehr als 20 Personen, die automatisiert personenbezogene Daten verarbeiten. Ein typisches Pflegeheim oder ambulanter Dienst überschreitet diese Zahl durch Pflegepersonal mit Zugang zum Dokumentationssystem.
Wo die Frist praktisch beginnt
Der DSB muss schriftlich bestellt und bei der zuständigen Aufsichtsbehörde gemeldet sein.
Softwareanbieter brauchen einen Auftragsverarbeitungsvertrag
Jeder externe Anbieter, der im Auftrag der Einrichtung Bewohnerdaten verarbeitet, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 3 DSGVO. Das betrifft Pflegedokumentationssysteme, Dienstplanungssoftware, Abrechnungslösungen, Cloud-Dienste und Kommunikationswerkzeuge.
Was für die Einordnung zählt
Ein AVV regelt, was der Auftragsverarbeiter mit den Daten tun darf, welche Sicherheitsmaßnahmen er technisch und organisatorisch zu gewährleisten hat und wie er bei Datenpannen zu handeln hat. Fehlt der Vertrag, haftet die Einrichtung als Verantwortliche auch für Fehler auf Anbieterseite.
Was für den nächsten Schritt zählt
Das Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert alle Datenverarbeitungsvorgänge der Einrichtung: welche Daten, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange gespeichert werden. Es ist kein einmaliges Projekt, sondern ein kontinuierlich zu pflegendes Dokument, das bei jeder Prüfung vorzulegen ist.
WhatsApp, Signal oder Telegram im dienstlichen Einsatz sind ohne Auftragsverarbeitungsvertrag mit dem jeweiligen Anbieter datenschutzrechtlich unzulässig, wenn dabei Bewohnerdaten oder Pflegeinformationen übertragen werden. Datenschutzaufsichtsbehörden prüfen diesen Punkt aktiv nach Beschwerden und im Rahmen anlassloser Kontrollen.
Fehlt der AVV, der DSB oder das Verarbeitungsverzeichnis? Wir prüfen den Handlungsbedarf Ihrer Einrichtung.
Was passiert bei einer Datenpanne: Wer muss wann melden?
Datenpannen sind kein theoretisches Risiko. Ein verlorenes Tablet mit unverschlüsselten Pflegedaten, ein Phishing-Angriff auf die Verwaltungs-E-Mail, ein Pflegebericht versehentlich an einen falschen Empfänger: Alle drei Szenarien können eine gesetzliche Meldepflicht auslösen. Wenn der Fall arbeitsrechtlich eingeordnet werden muss, hilft der Überblick zu Arbeitsrecht in Pflege, Gesundheit und Medizin weiter.
Art. 33 DSGVO verpflichtet den Verantwortlichen, eine Datenpanne binnen 72 Stunden nach Bekanntwerden der zuständigen Datenschutzaufsichtsbehörde zu melden. Ausgenommen sind nur Pannen, bei denen voraussichtlich kein Risiko für Betroffene entsteht. Bei Pflegedaten ist diese Ausnahme selten einschlägig.
Wann müssen Bewohner selbst informiert werden?
Art. 34 DSGVO regelt die Benachrichtigungspflicht gegenüber den betroffenen Personen. Sie greift, wenn die Panne ein hohes Risiko für Rechte und Freiheiten der Betroffenen darstellt. Bei Gesundheits- und Pflegedaten ist diese Schwelle niedrig: Der Kontrollverlust über medizinische Informationen schädigt Betroffene typischerweise erheblich.
Meldepflichten bei Datenpannen im Pflegebetrieb
Entscheidend ist, dass die Einrichtung eine interne Meldekette etabliert hat: Wer meldet was, bis wann, an wen? Fehlt dieser Prozess, beginnen die 72 Stunden im Zweifel bereits zu laufen, bevor die Leitung überhaupt informiert ist.
Welche Bußgelder drohen bei DSGVO-Verstößen in Pflegeeinrichtungen?
Das Bußgeldregime der DSGVO ist zweistufig. Art. 83 Abs. 4 DSGVO sieht Bußgelder bis zu 10 Millionen Euro vor, etwa bei Verstößen gegen die Pflichten des Verantwortlichen: fehlender AVV, kein Datenschutzbeauftragter, unterlassene Datenpannenmeldung. Art. 83 Abs. In der weiteren Prüfung taucht daneben häufig Verhandlung mit der Pflegekasse auf.
5 DSGVO erhöht den Rahmen auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen die Grundprinzipien der Verarbeitung oder gegen die Regeln zur Verarbeitung besonderer Datenkategorien nach Art. 9.
„Aufsichtsbehörden stellen in ihrer Praxis klar: Ein Verstoß muss nicht zu einem messbaren Schaden geführt haben, um ein Bußgeldverfahren zu rechtfertigen. Das Fehlen eines Auftragsverarbeitungsvertrags oder eine unterlassene DSB-Benennung reicht für eine behördliche Maßnahme aus.“
Beschwerden aus dem Angehörigenkreis sind ein reales Prüfrisiko
Aufsichtsbehörden sind verpflichtet, jeder Beschwerde nachzugehen (Art. 57 Abs. 1 lit. f DSGVO). Angehörige sind eine häufig unterschätzte Beschwerdeinstanz. Ein Konflikt über die Pflege, eine fehlende Information zur Datenweitergabe oder ein Foto, das ohne Einwilligung weitergeleitet wurde, reicht als Auslöser.
Verschlüsselung mobiler Endgeräte, rollenbasierte Zugriffsrechte im Pflegedokumentationssystem und ein definiertes Passwortmanagement gehören zu den technischen Mindestanforderungen. Dokumentierte TOMs reduzieren im Schadensfall auch das Bußgeldrisiko, weil sie nachweisen, dass die Einrichtung strukturiert vorgesorgt hat.
Was gilt für Beschäftigtendaten in Pflegeeinrichtungen?
Die DSGVO schützt nicht nur Bewohner. § 26 BDSG regelt die Verarbeitung von Mitarbeiterdaten im Beschäftigungsverhältnis. Zulässig ist, was zur Durchführung, Begründung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Wenn die Pflegekasse den Vertrag selbst in Frage stellt, hilft der Überblick zur Kündigung des Pflegedienst-Versorgungsvertrags weiter.
In der Praxis betrifft das Dienstpläne, Gehaltsabrechnungen, Krankmeldungen und Leistungsbeurteilungen. Gesundheitsdaten von Mitarbeitenden, etwa Arbeitsunfähigkeitszeiträume, unterliegen dem erhöhten Schutzniveau nach Art. 9 DSGVO. Eine Weitergabe an Dritte ohne Rechtsgrundlage ist auch hier unzulässig.
Datenschutzschulungen sind keine Kür
Art. 29 DSGVO und Art. 32 Abs. 4 DSGVO verpflichten Einrichtungsleitungen, sicherzustellen, dass Mitarbeitende nur auf Weisung handeln und über die datenschutzrechtlichen Anforderungen informiert sind. Regelmäßige Datenschutzschulungen sind damit kein freiwilliges Zusatzangebot, sondern ein verpflichtender Bestandteil der DSGVO-Compliance.
DSGVO-Grundcheck für Pflegeeinrichtungen
Häufige Fragen zum DSGVO-Datenschutz in Pflegeeinrichtungen
Braucht jedes Pflegeheim einen Datenschutzbeauftragten?
Ja, in der Regel. § 38 Abs. 1 BDSG verlangt einen DSB bei mehr als 20 Personen, die regelmäßig automatisiert personenbezogene Daten verarbeiten. In Pflegeheimen und ambulanten Diensten ist diese Schwelle durch das Pflegepersonal mit Zugang zum Dokumentationssystem typischerweise überschritten. Zusätzlich greift Art. 37 Abs. 1 lit. c DSGVO bei umfangreicher Verarbeitung besonderer Datenkategorien.
Der nächste Schritt hängt oft davon ab, wie Voraussetzungen beim Intensivpflegedienst gründen einzuordnen ist.
Was passiert nach einer Beschwerde bei der Datenschutzaufsichtsbehörde?
Die Behörde ist verpflichtet, jeder Beschwerde nachzugehen. Sie kann Auskunft verlangen, Vor-Ort-Prüfungen durchführen und im Ergebnis Maßnahmen anordnen oder Bußgelder verhängen. Eine Beschwerde führt nicht automatisch zu einem Bußgeld. Entscheidend ist, ob die Einrichtung die DSGVO-Konformität belegen kann. Ohne DSB, Verarbeitungsverzeichnis und AVVs gelingt das erfahrungsgemäß nicht.
Dürfen Pflegekräfte Fotos von Bewohnern machen?
Fotos sind personenbezogene Daten und mit Gesundheitsbezug besondere Datenkategorie nach Art. 9 DSGVO. Aufnahmen sind nur mit ausdrücklicher, dokumentierter Einwilligung des Bewohners oder des rechtlichen Betreuers zulässig. Die Weitergabe über private Messenger-Dienste ist ohne AVV mit dem Anbieter auch dann unzulässig, wenn eine Einwilligung zur Aufnahme vorliegt.
Wie lange müssen Pflegedaten aufbewahrt werden?
Pflegedokumentation ist in der Regel zehn Jahre aufzubewahren (§ 630f Abs. 3 BGB analog). Abrechnungsunterlagen unterliegen handels- und steuerrechtlichen Fristen von sechs bis zehn Jahren. Nach Ablauf dieser Fristen besteht nach Art. 5 Abs. 1 lit. e DSGVO eine Löschpflicht. Ein strukturiertes Löschkonzept sollte Teil des Verarbeitungsverzeichnisses sein.
Gilt die DSGVO auch für kleine ambulante Pflegedienste?
Ja, unabhängig von der Betriebsgröße. Erleichterungen beim Verarbeitungsverzeichnis nach Art. 30 Abs. 5 DSGVO greifen bei weniger als 250 Mitarbeitenden nur, wenn die Verarbeitung kein hohes Risiko darstellt. Bei Pflegedaten ist das kaum anzunehmen. Die Pflicht zum Datenschutzbeauftragten hängt an der Anzahl datenverarbeitender Personen, nicht an der Unternehmensgröße.
Drei Maßnahmen mit dem größten Hebel für Einrichtungsleitungen
Datenschutz im Pflegebetrieb ist kein Einmalprojekt. Er verlangt strukturierte Verantwortung, aktuelle Dokumentation und geschultes Personal. Drei Schritte haben kurzfristig den größten Handlungshebel. Wenn externe Leistungserbringer oder Dienstleister eingebunden sind, ist zusätzlich der Überblick zum Pflegeheim-Subunternehmervertrag relevant.
Worauf Träger jetzt achten sollten
1. DSB-Status klären. Ist ein Datenschutzbeauftragter schriftlich bestellt und bei der Aufsichtsbehörde gemeldet? Wenn nicht, ist das der drängendste offene Punkt. Das Fehlen ist bußgeldbewehrt, und die Benennung ist zeitnah möglich.
2. AVV-Bestandsaufnahme. Für welche Systeme, Cloud-Dienste und Kommunikationslösungen bestehen Auftragsverarbeitungsverträge? Fehlende AVVs sind kurzfristig nachzuholen oder der Anbieter ist zu wechseln.
Wie Betreiber die Entscheidung vorbereiten
3. Datenpannen-Prozess etablieren. Gibt es eine interne Meldekette, die sicherstellt, dass Pannen binnen 72 Stunden der Behörde gemeldet werden können? Ohne definierten Prozess ist die Frist faktisch nicht einzuhalten.
Wir prüfen den Datenschutz-Status Ihrer Einrichtung und benennen konkret, wo Handlungsbedarf besteht.
Rechtsquellen und weiterführende Informationen
Rechtsanwalt Andreas Kübler
Experte für Sozialrecht mit Schwerpunkt Pflegerecht. Über 10 Jahre Beratung pflegender Angehöriger zu Pflegegrad-Einstufung, Widerspruchsverfahren und Sozialgerichts-Klagen.