Datenschutz FAQ Pflegedienst – Die wichtigsten Fragen aus der Pflegepraxis beantwortet
Datenschutz im Pflegedienst wirft viele Fragen auf – im Alltag, bei der Einführung neuer Software, nach einem Vorfall oder bei der Vorbereitung auf eine Prüfung durch die Aufsichtsbehörde. Die DSGVO ist komplex, und ihre Anforderungen treffen in der Pflege auf eine Branche mit besonders sensiblen Daten, hohem Zeitdruck und vielen beteiligten Personen. Dieser Beitrag bündelt die häufigsten Fragen aus der Pflegepraxis – geordnet nach Themenblöcken, klar beantwortet und mit direktem Praxisbezug.
Grundlagen: DSGVO und Datenschutzpflichten im Pflegedienst
Gilt die DSGVO auch für kleine Pflegedienste?
Ja, ohne Ausnahme. Die DSGVO gilt für jeden Verantwortlichen, der personenbezogene Daten verarbeitet – unabhängig von der Unternehmensgröße. Für Pflegedienste ist die Relevanz besonders hoch, weil sie regelmäßig Gesundheitsdaten nach Art. 9 DSGVO verarbeiten. Diese gehören zur sensibelsten Datenkategorie, die die Verordnung kennt – mit entsprechend strengen Schutzanforderungen, die unabhängig von der Betriebsgröße gelten.
Welche Datenschutzpflichten treffen Pflegedienste konkret?
Die wichtigsten Pflichten im Überblick: ein aktuelles Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, Verträge zur Auftragsverarbeitung mit allen Dienstleistern, die Zugang zu Patientendaten haben (Art. 28 DSGVO), technische und organisatorische Maßnahmen zum Schutz der Daten (Art. 32 DSGVO), die Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO), regelmäßige Mitarbeiterschulungen (Art. 39 DSGVO) sowie eine rechtskonforme Datenschutzerklärung auf der Website (Art. 13 DSGVO).
Was ist der Unterschied zwischen DSGVO und SGB XI im Datenschutz?
Die DSGVO ist das allgemeine europäische Datenschutzrecht. Das SGB XI (Soziale Pflegeversicherung) enthält zusätzliche sozialrechtliche Regelungen, die neben der DSGVO gelten. Daten aus der Pflegeeinstufung und der Leistungsabrechnung mit Pflegekassen unterliegen zusätzlich dem Sozialgeheimnis nach § 35 SGB I und § 78 SGB X. Beide Rechtsrahmen müssen gleichzeitig eingehalten werden. Ein erfahrener Datenschutzbeauftragter kennt diese Wechselwirkung.
Datenschutzbeauftragter: Pflicht, Bestellung und Aufgaben
Ab wann muss ein Pflegedienst einen Datenschutzbeauftragten bestellen?
In der Regel ab dem ersten Betriebstag. Da die Kerntätigkeit eines Pflegedienstes die umfangreiche Verarbeitung von Gesundheitsdaten umfasst, greift Art. 37 Abs. 1 lit. c DSGVO unabhängig von der Betriebsgröße. Zusätzlich besteht ab 20 Personen in der automatisierten Datenverarbeitung eine Pflicht nach § 38 BDSG-n. Wer ohne Datenschutzbeauftragten arbeitet, begeht einen eigenständigen DSGVO-Verstoß.
Kann die Pflegedienstleitung selbst als Datenschutzbeauftragte bestellt werden?
Nein. Die Pflegedienstleitung trägt direkte Verantwortung für Verarbeitungsvorgänge und ist weisungsgebunden. Das schafft einen Interessenkonflikt nach Art. 38 Abs. 6 DSGVO, der die Bestellung unwirksam macht. Der Datenschutzbeauftragte muss seine Aufgaben unabhängig und ohne Interessenkonflikte ausführen können.
Was leistet ein externer Datenschutzbeauftragter konkret?
Ein externer Datenschutzbeauftragter übernimmt alle gesetzlichen Aufgaben nach Art. 39 DSGVO: Beratung der Einrichtungsleitung, Überwachung der Compliance, Erstellung und Pflege der Pflichtdokumentation, Prüfung von AV-Verträgen, Durchführung von Datenschutzfolgenabschätzungen, Schulung der Mitarbeiter und Unterstützung im Fall einer Datenpanne. Er bringt Branchenerfahrung mit und ist unabhängig von internen Strukturen.
Patientendaten: Verarbeitung, Weitergabe und Speicherung
Welche Daten im Pflegedienst gelten als Gesundheitsdaten?
Gesundheitsdaten nach Art. 9 DSGVO sind alle Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen. Im Pflegedienst umfasst das: Diagnosen, Pflegegrade, Medikationspläne, Pflegeberichte, Wundbilder, Angaben zu Behinderungen oder Demenzerkrankungen sowie die gesamte Pflegedokumentation. Auch scheinbar neutrale Angaben – etwa dass eine Person ambulante Pflege in Anspruch nimmt – können als Gesundheitsdaten einzustufen sein.
Dürfen Patientendaten an Angehörige weitergegeben werden?
Nicht automatisch. Auch nahe Verwandte haben keinen gesetzlichen Anspruch auf Einsicht in Pflegeunterlagen. Die Weitergabe setzt entweder eine ausdrückliche Einwilligung des Patienten oder eine rechtliche Bevollmächtigung voraus – etwa eine Vorsorgevollmacht oder gesetzliche Betreuung. Ohne diese Grundlage ist die Weitergabe ein Datenschutzverstoß, auch wenn sie gut gemeint ist.
Wie lange dürfen Patientendaten gespeichert werden?
Die Speicherdauer richtet sich nach dem Verarbeitungszweck und geltenden gesetzlichen Aufbewahrungsfristen. Für Pflegedokumentationen gilt in der Regel eine Mindestaufbewahrungsfrist von zehn Jahren, die sich aus dem SGB XI und landesrechtlichen Regelungen ergibt. Steuerrechtliche Fristen für Abrechnungsunterlagen betragen ebenfalls zehn Jahre. Nach Ablauf dieser Fristen sind die Daten zu löschen. Ein dokumentiertes Löschkonzept ist Pflicht.
Darf ein Pflegedienst Fotos von Wunden oder Patienten machen?
Nur mit einer ausreichenden Rechtsgrundlage. Wundfotos zu medizinischen Dokumentationszwecken können über Art. 9 Abs. 2 lit. h DSGVO gerechtfertigt sein, wenn sie für die Versorgung erforderlich sind. Sie müssen auf dienstlichen, verschlüsselten Geräten erstellt und gespeichert werden – niemals auf privaten Smartphones. Fotos, die nicht dem Versorgungszweck dienen, sind unzulässig.
Kommunikation und digitale Tools im Pflegealltag
Dürfen Pflegekräfte WhatsApp für die Teamkommunikation nutzen?
Nicht für die Übermittlung von Patientendaten. WhatsApp verfügt über keinen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO und überträgt Metadaten an Meta. Die Nutzung für Patientendaten ist ein klarer DSGVO-Verstoß. Pflegedienste müssen datenschutzkonforme, dienstlich verwaltete Kommunikationslösungen bereitstellen und deren Nutzung verbindlich vorgeben.
Braucht jede Pflegesoftware einen AV-Vertrag?
Ja, wenn der Anbieter Patientendaten im Auftrag des Pflegedienstes verarbeitet. Das trifft auf nahezu jede Pflegedokumentationssoftware, Cloud-Lösung und Abrechnungssoftware zu. Der Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO muss die konkreten technischen und organisatorischen Maßnahmen des Anbieters benennen. Ein pauschaler Hinweis auf DSGVO-Konformität reicht nicht aus. Fehlt der Vertrag, ist jede Datenweitergabe an den Softwareanbieter rechtswidrig.
Darf die Pflegedokumentation in der Cloud gespeichert werden?
Ja, sofern die datenschutzrechtlichen Anforderungen erfüllt sind. Dazu gehören: ein gültiger AV-Vertrag mit dem Cloud-Anbieter, Serverstandort innerhalb der EU oder in einem Land mit angemessenem Datenschutzniveau (Art. 44 ff. DSGVO), Verschlüsselung der Daten bei Übertragung und Speicherung sowie ein Zugriffsberechtigungskonzept, das sicherstellt, dass nur autorisierte Personen auf die Daten zugreifen können.
Was gilt seit 2024 durch das TDDDG für die Website des Pflegedienstes?
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) hat seit Mai 2024 die Anforderungen an Cookie-Management und Einwilligungsgestaltung präzisiert. Für Pflegedienste bedeutet das: Jede Website, die nicht technisch notwendige Cookies, Analysetools oder eingebettete Dienste (z. B. Google Maps) einsetzt, braucht ein rechtsgemäßes Einwilligungsmanagement. Veraltete Cookie-Banner ohne Ablehnmöglichkeit sind nicht mehr rechtskonform.
Datenpannen: Erkennen, Melden und Dokumentieren
Was gilt als Datenpanne im Pflegedienst?
Eine Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO ist jede Verletzung des Schutzes personenbezogener Daten – ob durch Verlust, unbefugten Zugang, Veränderung oder Offenlegung. Dazu gehören: ein verlorenes Diensthandy, eine falsch adressierte E-Mail mit Patientendaten, ein Ransomware-Angriff auf die Pflegesoftware, eine Papierakte im falschen Briefkasten oder der unbefugte interne Zugriff auf Patientendaten.
Wann muss eine Datenpanne gemeldet werden – und wohin?
Bei Datenpannen, die voraussichtlich ein Risiko für Betroffene darstellen, gilt eine Meldepflicht gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Zuständig ist die Datenschutzaufsichtsbehörde des jeweiligen Bundeslandes. Bei Gesundheitsdaten ist die Risikoeinschätzung fast immer positiv – im Zweifel sollte immer gemeldet werden. Alle Vorfälle, auch nicht meldepflichtige, müssen intern dokumentiert werden.
Müssen Patienten über eine Datenpanne informiert werden?
Nur wenn die Panne voraussichtlich ein hohes Risiko für die Betroffenen zur Folge hat (Art. 34 DSGVO). Bei Gesundheitsdaten ist diese Schwelle häufig erreicht – insbesondere wenn Daten unverschlüsselt abgeflossen sind oder ein unverschlüsseltes Gerät verloren wurde. Die Information an Betroffene muss in klarer und verständlicher Sprache erfolgen.
Mitarbeiter und Schulung: Pflichten im Pflegealltag
Müssen alle Mitarbeiter im Pflegedienst datenschutzrechtlich geschult werden?
Ja. Die Schulungspflicht ergibt sich aus Art. 39 Abs. 1 lit. b DSGVO und gilt für alle Mitarbeiter, die mit personenbezogenen Daten arbeiten – also für nahezu das gesamte Personal eines Pflegedienstes. Schulungen müssen regelmäßig stattfinden, mindestens einmal jährlich, und müssen dokumentiert sein. Fehlende Schulungsnachweise sind ein Compliance-Mangel, der bei Aufsichtsprüfungen beanstandet wird.
Was muss ein neuer Mitarbeiter im Pflegedienst datenschutzrechtlich wissen?
Neue Mitarbeiter müssen unmittelbar nach der Einstellung eine Datenschutzunterweisung erhalten. Pflichtinhalte: Grundlagen der DSGVO für die Pflege, sicherer Umgang mit Patientendaten und mobilen Endgeräten, erlaubte und unerlaubte Kommunikationskanäle, Erkennen und Melden von Datenpannen sowie Betroffenenrechte. Zusätzlich muss jeder Mitarbeiter schriftlich auf die Vertraulichkeit von Patientendaten verpflichtet werden.
Darf ein Mitarbeiter seine Zugangsdaten für die Pflegesoftware mit Kollegen teilen?
Nein. Zugangsdaten sind immer persönlich. Das Teilen von Passwörtern verhindert die Protokollierung von Zugriffen und macht es unmöglich nachzuverfolgen, wer wann auf welche Daten zugegriffen hat. Im Fall einer Datenpanne oder eines unbefugten Zugriffs kann die Verantwortlichkeit nicht mehr zugeordnet werden. Jeder Mitarbeiter muss über eigene, individuelle Zugangsdaten verfügen.
Fazit: Datenschutz im Pflegedienst ist komplex – aber strukturierbar
Die Fragen, die in der Pflegepraxis rund um den Datenschutz entstehen, sind zahlreich – und viele davon haben eindeutige Antworten, die sich direkt aus der DSGVO, dem BDSG-n und dem SGB ergeben. Was fehlt, ist häufig nicht der gute Wille, sondern der strukturierte Überblick über die eigenen Pflichten und ein Ansprechpartner, der Fragen aus dem Pflegealltag zuverlässig beantwortet.
Genau das ist die Aufgabe eines externen Datenschutzbeauftragten: nicht nur Dokumentation erstellen und Verträge prüfen, sondern auch im Alltag ansprechbar sein, wenn Pflegeeinrichtungen unsicher sind – bevor aus einer Frage ein Verstoß wird.
zweiplus betreut bereits über 30 Pflegedienste bundesweit als externer Datenschutzbeauftragter – TÜV-zertifiziert, mit nachgewiesener Branchenerfahrung in der Pflege. Weitere Fragen zur Datenschutz-Compliance Ihres Pflegedienstes beantworten wir im Rahmen einer unverbindlichen Erstberatung. Nehmen Sie Kontakt auf.