Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

Datenschutz im Sanitätshaus – Rechtssicherheit bei Rezept- und Versicherungsdaten

27.03.2026 von Dominic

Ein Sanitätshaus gilt nicht als Gesundheitseinrichtung im klassischen Sinne – und doch verarbeitet es täglich Daten, die datenschutzrechtlich zur sensibelsten Kategorie gehören. Ärztliche Verordnungen, GKV- und PKV-Abrechnungsdaten, körperliche Maßdaten, Versorgungshistorien – all das sind Gesundheitsdaten nach Art. 9 DSGVO, für die besondere Schutzpflichten gelten. Viele Sanitätshäuser haben diese Dimension noch nicht vollständig im Blick. Dieser Beitrag klärt, was die DSGVO konkret verlangt, welche Fehler am häufigsten vorkommen und wie Rechtssicherheit im Sanitätshaus aussieht.

Rezeptdaten: Gesundheitsdaten mit besonderem Schutzbedarf

Ärztliche Verordnungen sind das Herzstück des Geschäftsbetriebs im Sanitätshaus. Ohne sie gibt es keine Hilfsmittelversorgung auf Kassenkosten, keine Abrechnung, keine Genehmigung. Und genau diese Verordnungen enthalten, was die DSGVO als Gesundheitsdaten nach Art. 9 Abs. 1 definiert: Diagnosen, Indikationen, Informationen über körperliche Einschränkungen oder Erkrankungen.

Das bedeutet: Die Entgegennahme, Speicherung, Weiterleitung und Archivierung von Rezepten ist nicht nur eine administrative Tätigkeit – sie ist eine Verarbeitung besonderer Kategorien personenbezogener Daten, die den erhöhten Anforderungen der DSGVO unterliegt. Eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO muss für jeden Verarbeitungsschritt vorliegen, Zugriffe müssen begrenzt und protokolliert werden, und die Daten dürfen nicht länger gespeichert werden als erforderlich.

In der Praxis sieht das häufig anders aus: Verordnungen stapeln sich in offenen Ablagen, werden ohne Verschlüsselung in Kassensysteme eingescannt, per ungesicherter E-Mail an Lieferanten weitergeleitet oder jahrelang ohne Löschkonzept in Papierform archiviert. Jedes dieser Szenarien ist ein Datenschutzverstoß – und jedes davon hat bei Aufsichtsbehörden bereits zu Beanstandungen geführt.

GKV- und PKV-Abrechnungsdaten: Rechtsgrundlage und Verarbeitungsgrenzen

Die Abrechnung von Hilfsmitteln mit gesetzlichen und privaten Krankenversicherungen ist eine der datenschutzrechtlich sensibelsten Vorgänge im Sanitätshaus. Die dabei verarbeiteten Daten – Versichertennummer, Krankenkasse, Diagnose, verordnetes Hilfsmittel, Zuzahlungsbefreiung – stehen in unmittelbarem Zusammenhang mit dem Gesundheitszustand des Versicherten und fallen unter Art. 9 Abs. 1 DSGVO

Die Rechtsgrundlage für die Verarbeitung ergibt sich aus Art. 9 Abs. 2 lit. h DSGVO: Die Verarbeitung ist zulässig, wenn sie für Zwecke der Gesundheitsversorgung oder der Verwaltung von Systemen und Diensten im Gesundheitsbereich erforderlich ist. Diese Grundlage deckt die Abrechnungsverarbeitung im Rahmen der Hilfsmittelversorgung ab. Was sie nicht abdeckt: die Nutzung dieser Daten für andere Zwecke, etwa für Marketingauswertungen oder die Profilbildung von Stammkunden.

Besonders relevant im Abrechnungsprozess: die Einbindung externer Abrechnungsdienstleister. Wer die GKV-Abrechnung über einen spezialisierten Dienstleister abwickelt – was bei vielen Sanitätshäusern der Fall ist – muss prüfen, ob dieser als Auftragsverarbeiter nach Art. 28 DSGVO oder als eigenständig Verantwortlicher einzuordnen ist. Die Einordnung bestimmt, welche Art von Vertrag erforderlich ist. Fehlt der Vertrag, ist die Datenübermittlung rechtswidrig.

Kundendaten und Versorgungshistorie: Aufbewahrung, Zugriff und Löschung

Viele Sanitätshäuser führen digitale oder analoge Kundendateien, in denen vergangene Versorgungen, Maßdaten, Präferenzen und Kommunikationsverläufe dokumentiert sind. Das erleichtert Folgeversorgungen erheblich – schafft aber gleichzeitig ein Archiv hochsensibler Gesundheitsdaten, für das klare Regeln gelten müssen.

Drei Fragen stellen sich bei jeder Kundendatei:

  1. Wie lange darf sie gespeichert werden?
  2. Wer darf darauf zugreifen?
  3. Und wann muss sie gelöscht werden?

Die Antworten ergeben sich aus dem Zweck der Verarbeitung, geltenden gesetzlichen Aufbewahrungsfristen – etwa steuerrechtlichen Fristen für Abrechnungsunterlagen – und dem Prinzip der Datensparsamkeit nach Art. 5 Abs. 1 lit. c DSGVO: Es dürfen nur die Daten gespeichert werden, die für den Versorgungszweck tatsächlich benötigt werden.

Ein Löschkonzept, das für alle Datenkategorien – Rezepte, Abrechnungsunterlagen, Maßdaten, Kommunikationsprotokolle – Aufbewahrungsfristen und Löschprozesse dokumentiert, ist keine optionale Maßnahme, sondern eine gesetzliche Pflicht. Wer Kundendaten auf unbestimmte Zeit archiviert, ohne eine rechtliche Grundlage dafür benennen zu können, verstößt gegen das Speicherbegrenzungsprinzip nach Art. 5 Abs. 1 lit. e DSGVO.

Darüber hinaus müssen Betroffenenrechte berücksichtigt werden: Kunden haben das Recht, Auskunft über ihre gespeicherten Daten zu verlangen (Art. 15 DSGVO), Berichtigungen zu fordern (Art. 16 DSGVO) und unter bestimmten Voraussetzungen die Löschung ihrer Daten zu verlangen (Art. 17 DSGVO). Ein strukturierter Prozess für den Umgang mit solchen Anfragen muss im Voraus definiert sein.

Digitale Hilfsmittelversorgung und DSGVO: Neue Risiken durch neue Technologien

Die Hilfsmittelversorgung wird zunehmend digital. Elektronische Verordnungen (eRezept), digitale Antragsstellung bei Krankenkassen, Online-Kundendatenbanken, Cloud-basierte Warenwirtschaft – jede dieser Entwicklungen bringt datenschutzrechtliche Herausforderungen mit sich, die über das klassische Papierrezept hinausgehen.

Das eRezept ist seit 2024 in Deutschland verpflichtend einzuführen. Für Sanitätshäuser bedeutet das: Verordnungen werden über digitale Schnittstellen empfangen, verarbeitet und an Kostenträger übermittelt. Die dabei eingesetzten Systeme und Schnittstellen müssen datenschutzrechtlich geprüft sein. Insbesondere die Frage, welche Dritten Zugang zu den übertragenen Daten haben, muss im Rahmen einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO bewertet werden, wenn das Risiko als hoch einzustufen ist.

Cloud-basierte Warenwirtschaftssysteme speichern Kundendaten, Versorgungshistorien und Abrechnungsinformationen auf Servern externer Anbieter. Der Anbieter dieser Software ist in der Regel als Auftragsverarbeiter nach Art. 28 DSGVO einzubinden. Ohne AV-Vertrag ist jede Datenspeicherung in der Cloud rechtswidrig – unabhängig davon, wie sicher das System technisch ist. Besonders kritisch ist der Serverstandort: Liegt er außerhalb der EU, sind die Anforderungen der Art. 44 ff. DSGVO für Drittlandtransfers zu erfüllen.

Wer unsicher ist, ob die eingesetzten digitalen Systeme diese Anforderungen erfüllen, kann ein strukturiertes Audit durch zweiplus beauftragen. Weitere Informationen zum Leistungsangebot finden Sie hier.

Datenschutzerklärung und Website-Compliance im Sanitätshaus

Auch die Online-Präsenz eines Sanitätshauses unterliegt datenschutzrechtlichen Anforderungen. Die Datenschutzerklärung nach Art. 13 DSGVO muss über alle Verarbeitungsvorgänge informieren, die über die Website ausgelöst werden: Kontaktformulare, Online-Terminbuchungen, Newsletter-Anmeldungen, eingebettete Google-Maps-Karten oder Analysetools.

Seit Mai 2024 gilt zusätzlich das TDDDG, das die Anforderungen an das Cookie-Management und die Einwilligungsgestaltung präzisiert hat. Viele Sanitätshäuser betreiben noch immer Websites mit veralteten Datenschutzerklärungen, fehlenden oder rechtswidrigen Cookie-Bannern und nicht genannten Auftragsverarbeitern. Das ist nicht nur ein Compliance-Mangel – es ist eine Grundlage für Abmahnungen durch Wettbewerber und Verbraucherschutzorganisationen.

Wer ein Kontaktformular betreibt, über das Kunden ihre Versorgungswünsche oder gesundheitliche Situation schildern, verarbeitet möglicherweise bereits beim ersten Kundenkontakt Gesundheitsdaten – mit entsprechend erhöhten Anforderungen an Verschlüsselung, Informationspflicht und Einwilligungsgestaltung. Ein Datenschutzbeauftragter prüft und aktualisiert die Website-Compliance regelmäßig als Teil des laufenden Mandats.

Typische Datenschutzmängel und wie sie vermieden werden

Eine Analyse der häufigsten Datenschutzmängel in Sanitätshäusern zeigt ein wiederkehrendes Muster. Die gute Nachricht: Die meisten dieser Fehler sind mit vertretbarem Aufwand zu beheben, sobald sie identifiziert sind.

  • Fehlende AV-Verträge mit Softwareanbietern: Das ist der am weitesten verbreitete Mangel. Warenwirtschaftssysteme, Abrechnungssoftware und Cloud-Dienste werden ohne Vertrag zur Auftragsverarbeitung eingesetzt. Abhilfe: vollständige Inventarisierung aller Dienstleister mit Datenzugang und systematischer Abschluss fehlender Verträge.
  • Kein Verzeichnis der Verarbeitungstätigkeiten: Art. 30 DSGVO verpflichtet zur Dokumentation aller Verarbeitungsvorgänge. Fehlt dieses Verzeichnis, kann die Aufsichtsbehörde es anfordern – und das Fehlen selbst ist ein Verstoß. Der externe Datenschutzbeauftragte erstellt das Verzeichnis im Rahmen der Erstaufstellung und aktualisiert es laufend.
  • Unsichere Aufbewahrung von Rezepten und Kundendaten: Papierverordnungen in offenen Ablagen, Bildschirme ohne Blickschutz, nicht verschlossene Archivräume – physische Schutzmängel werden bei Behördenprüfungen regelmäßig beanstandet und sind häufig einfach zu beheben.
  • Veraltete oder fehlende Datenschutzerklärung: Eine Datenschutzerklärung, die noch auf das TTDSG verweist oder wichtige Auftragsverarbeiter nicht nennt, ist nicht rechtskonform. Sie muss nach TDDDG (seit Mai 2024) und DSGVO aktualisiert werden.
  • Keine Mitarbeiterschulungen: Mitarbeiter, die täglich mit Rezepten, Kundendaten und Abrechnungsunterlagen arbeiten, aber nicht über ihre Datenschutzpflichten unterwiesen wurden, sind das größte Risiko. Jährliche Datenschutzunterweisungen sind Pflicht und müssen dokumentiert sein.

Fazit: Rechtssicherheit im Sanitätshaus beginnt mit dem richtigen Datenschutzbeauftragten

Datenschutz im Sanitätshaus ist kein Randthema. Wer täglich Rezepte verarbeitet, GKV- und PKV-Abrechnungen einreicht, Kundendateien mit Versorgungshistorien führt und Cloud-Software einsetzt, betreibt ein Unternehmen mit einem klaren datenschutzrechtlichen Risikoprofil – und klaren gesetzlichen Pflichten.

Rechtssicherheit entsteht nicht durch einzelne Maßnahmen, sondern durch ein vollständiges Datenschutz-Managementsystem: ein aktuelles Verzeichnis der Verarbeitungstätigkeiten, AV-Verträge mit allen Dienstleistern, dokumentierte technische und organisatorische Maßnahmen, eine rechtskonforme Website, jährliche Mitarbeiterschulungen und ein klarer Prozess für den Umgang mit Datenpannen und Betroffenenanfragen.

zweiplus betreut Sanitätshäuser und Unternehmen im Gesundheitswesen als externer Datenschutzbeauftragter – TÜV-zertifiziert, mit Erfahrung in der Hilfsmittelversorgung und einem strukturierten Onboarding, das alle Pflichtdokumente von Beginn an vollständig abdeckt. Nehmen Sie Kontakt auf und lassen Sie Ihre Datenschutzsituation unverbindlich prüfen.

FAQs – Häufig gestellte Fragen zum Datenschutz im Sanitätshaus

Ja. Ärztliche Verordnungen enthalten Diagnosen, Indikationen und Informationen über den Gesundheitszustand des Patienten. Sie sind eindeutig Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO und unterliegen dem erhöhten Schutzniveau für besondere Kategorien personenbezogener Daten.

Die Rechtsgrundlage ist Art. 9 Abs. 2 lit. h DSGVO: Die Verarbeitung ist zulässig, wenn sie für Zwecke der Gesundheitsversorgung oder der Verwaltung entsprechender Dienste erforderlich ist. Diese Grundlage deckt die Verarbeitung von Verordnungen im Rahmen der Hilfsmittelversorgung und Abrechnung ab.

Die Aufbewahrungsdauer richtet sich nach dem Verarbeitungszweck und geltenden gesetzlichen Fristen. Für Abrechnungsunterlagen gelten steuerrechtliche Aufbewahrungsfristen von in der Regel zehn Jahren. Darüber hinaus dürfen Rezepte nicht länger gespeichert werden, als der Versorgungszweck dies erfordert. Ein Löschkonzept, das alle Datenkategorien und Fristen dokumentiert, ist Pflicht.

Ja, wenn der Anbieter personenbezogene Daten im Auftrag des Sanitätshauses verarbeitet – also weisungsgebunden handelt. Das trifft auf Warenwirtschaftssysteme, Cloud-Lösungen, Abrechnungssoftware und IT-Dienstleister in der Regel zu. Der Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO muss die konkreten TOMs des Dienstleisters benennen und darf nicht pauschal auf DSGVO-Konformität verweisen.

Das eRezept eröffnet neue Verarbeitungswege für Gesundheitsdaten – über digitale Schnittstellen, externe Server und neue Akteure im Datenstrom. Sanitätshäuser müssen sicherstellen, dass alle eingesetzten Systeme zur eRezept-Verarbeitung datenschutzrechtlich geprüft sind, AV-Verträge mit den Schnittstellenanbietern bestehen und der Datenstrom gegen unbefugte Zugriffe gesichert ist.

GKV-Abrechnungsdaten enthalten versicherungsbezogene Gesundheitsdaten und dürfen nur für den Abrechnungszweck verarbeitet werden. Die Übermittlung an Krankenkassen oder Abrechnungsdienstleister muss auf einer Rechtsgrundlage beruhen, und alle beteiligten Dienstleister müssen korrekt – als Auftragsverarbeiter oder eigenständig Verantwortliche – eingebunden sein. Ohne diese Prüfung ist jede Datenübertragung potenziell rechtswidrig.

Ja. Art. 13 DSGVO verpflichtet das Sanitätshaus, Kunden bei der Datenerhebung über Zweck, Rechtsgrundlage, Speicherdauer, Auftragsverarbeiter und ihre Rechte zu informieren. Diese Information wird in der Praxis häufig über ein Datenschutzinformationsblatt erfüllt, das bei der ersten Versorgung ausgehändigt wird. Fehlt dieses Dokument oder ist es veraltet, liegt ein Verstoß gegen die Informationspflicht vor.

Ja. Seit Mai 2024 regelt das TDDDG die Anforderungen an Cookies und ähnliche Technologien. Jede Website, die nicht technisch notwendige Cookies setzt, braucht eine aktive, informierte Einwilligung. Auch Online-Terminbuchungssysteme und Kontaktformulare müssen datenschutzkonform eingebunden sein.

Die Konsequenzen reichen von Verwarnungen und Auflagen durch die Aufsichtsbehörde bis zu Bußgeldern – bei Verstößen gegen die Grundpflichten bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes, bei schwerwiegenden Verstößen gegen Art. 9 DSGVO bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. Hinzu kommen Reputationsschäden, Abmahnungen durch Wettbewerber und zivilrechtliche Schadensersatzansprüche betroffener Kunden nach Art. 82 DSGVO.

zweiplus übernimmt die Funktion des externen Datenschutzbeauftragten und begleitet Sanitätshäuser von der ersten Schutzbedarfsfeststellung bis zum vollständig implementierten Datenschutz-Managementsystem. Dazu gehören die Erstellung aller Pflichtdokumente, die Prüfung und Verhandlung von AV-Verträgen, die Bewertung digitaler Versorgungssysteme, regelmäßige Audits und Mitarbeiterschulungen – TÜV-zertifiziert und mit Erfahrung im Gesundheitswesen.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.