Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

DSGVO und Pflege 2026 – Der Leitfaden für Pflegedienste

27.03.2026 von Dominic

Die Datenschutz-Grundverordnung gilt seit 2018 – doch das Datenschutzrecht steht nicht still. Gerade für Pflegedienste hat sich das regulatorische Umfeld in den vergangenen Jahren spürbar verändert: Neue Gesetze ergänzen die DSGVO, die Aufsichtsbehörden prüfen intensiver, und technologische Entwicklungen wie der Einsatz künstlicher Intelligenz in der Pflege werfen neue Rechtsfragen auf. Dieser Leitfaden fasst zusammen, was Pflegedienste im Jahr 2026 datenschutzrechtlich wissen und umsetzen müssen.

Das Fundament: Was die DSGVO von Pflegediensten verlangt

Die DSGVO gilt für jeden Pflegedienst, der personenbezogene Daten verarbeitet – und das tut jeder, der Patienten betreut. Da Pflegedienste regelmäßig Gesundheitsdaten nach Art. 9 DSGVO verarbeiten, unterliegen sie nicht nur den allgemeinen Grundpflichten, sondern den erhöhten Anforderungen für besondere Datenkategorien.

Die Kernpflichten im Überblick:Ein aktuelles Verzeichnis der Verarbeitungtätigkeiten (Art. 30 DSGVO) ist Pflicht – es muss alle Prozesse dokumentieren, bei denen Patientendaten verarbeitet werden, vom Pflegeplan über die Medikamentenverwaltung bis zur Abrechnung mit der Pflegekasse. Für jeden externen Dienstleister, der Zugang zu personenbezogenen Daten erhält, ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abzuschließen. Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO müssen dem Risiko der Verarbeitung angemessen sein – bei Gesundheitsdaten ist das Anforderungsniveau entsprechend hoch.

Darüber hinaus gilt das Prinzip der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO: Patientendaten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Eine Nutzung von Pflegedokumentationen für interne Auswertungen ohne ausreichende Rechtsgrundlage ist unzulässig. Gleiches gilt für die Weitergabe an Angehörige: Selbst nahe Verwandte haben keinen automatischen Anspruch auf Einsicht in Pflegeunterlagen – es bedarf entweder der ausdrücklichen Einwilligung des Patienten oder einer gesetzlichen Vollmacht.

Hinzu kommt die Bestellpflicht für einen Datenschutzbeauftragten: Gemäß Art. 37 Abs. 1 lit. c DSGVO in Verbindung mit § 38 BDSG-n ist die Bestellung für nahezu alle Pflegedienste verpflichtend. Wer noch keinen Datenschutzbeauftragten bestellt hat, handelt rechtswidrig – unabhängig von der Größe der Einrichtung. Die Bestellungsurkunde muss schriftlich vorliegen und dem Datenschutzbeauftragten die nötige Unabhängigkeit sowie ausreichende Ressourcen für seine Tätigkeit garantieren.

Neu seit 2024: TDDDG und seine Bedeutung für Pflegedienste

Seit Mai 2024 gilt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), das das bisherige TTDSG ablöst. Für Pflegedienste mit eigenem Webauftritt hat das unmittelbare Konsequenzen: Die Anforderungen an Cookie-Banner, Einwilligungsmanagement und die Datenschutzerklärung wurden präzisiert.

Konkret bedeutet das, ein Pflegedienst, der auf seiner Website Analysetools, eingebettete Karten oder Kontaktformulare einsetzt, benötigt ein rechtsgemäßes Einwilligungsmanagement für alle Cookies und Tracker, die nicht technisch notwendig sind. Viele Pflegedienste haben ihre Website-Compliance seit der TDDDG-Einführung noch nicht aktualisiert – und sind damit gegenüber Abmahnungen und Behördenprüfungen angreifbar.

Besonders relevant für Pflegedienste mit Online-Terminbuchung oder digitalem Erstkontakt: Wer ein Kontaktformular betreibt, über das Interessierte ihre Pflegesituation schildern, verarbeitet dabei unter Umständen bereits Gesundheitsdaten – mit entsprechend erhöhten Anforderungen an Verschlüsselung, Informationspflicht und Einwilligungsgestaltung. Auch Newsletter-Tools oder Social-Media-Pixel, die viele Einrichtungen unreflektiert einsetzen, können unter das TDDDG fallen. Ein Datenschutzbeauftragter prüft die Website-Compliance als Teil des laufenden Mandats und aktualisiert die Datenschutzerklärung bei Bedarf.

NIS2 und Informationssicherheit: Gilt das auch für Pflegedienste?

Die NIS2-Richtlinie und ihre Umsetzung im deutschen NIS2UmsuCG richten sich primär an Betreiber kritischer Infrastrukturen und „wichtige“ bzw. „wesentliche“ Einrichtungen. Ambulante Pflegedienste unterliegen NIS2 in der Regel nicht direkt – stationäre Einrichtungen ab einer bestimmten Größe können jedoch in den Anwendungsbereich fallen.

Unabhängig von einer direkten NIS2-Pflicht erhöht die Richtlinie den allgemeinen Standard für IT-Sicherheit im Gesundheitswesen. Lieferanten und Dienstleister, die unter NIS2 fallen – etwa Pflegesoftware-Anbieter oder IT-Dienstleister – sind verpflichtet, erhöhte Sicherheitsanforderungen umzusetzen. Das hat Rückwirkungen auf die AV-Verträge von Pflegediensten: Wer sicherstellen möchte, dass seine Dienstleister NIS2-konform arbeiten, sollte die Verträge entsprechend anpassen.

Ein konkreter Handlungsbedarf ergibt sich auch dann, wenn ein Pflegedienst zwar selbst nicht unter NIS2 fällt, aber mit Dienstleistern zusammenarbeitet, die unter die Richtlinie fallen. Solche Auftragsverarbeiter müssen künftig nachweisen können, dass sie die NIS2-Anforderungen erfüllen – was wiederum im AV-Vertrag abgebildet sein sollte. Wer seine Verträge seit 2024 nicht aktualisiert hat, sollte das zeitnah nachholen.

zweiplus unterstützt Pflegedienste bei der Einschätzung, ob NIS2 direkt greift, und bei der Anpassung von AV-Verträgen an die erhöhten Sicherheitsanforderungen.

KI in der Pflege und der EU AI Act: Was 2026 gilt

Der EU AI Act ist seit August 2024 in Kraft und wird stufenweise angewendet. Ab August 2026 gelten die Anforderungen für Hochrisiko-KI-Systeme vollständig – ein Zeitpunkt, der für die Pflegebranche zunehmend relevant wird.

KI-Systeme, die in der Pflege eingesetzt werden – etwa zur Pflegebedarfserkennung, Sturzerkennung oder Medikamentenoptimierung – können als Hochrisiko-KI-Systeme nach Anhang III des EU AI Act eingestuft sein, da sie im Bereich der wesentlichen privaten und öffentlichen Dienste sowie im Gesundheitsbereich eingesetzt werden. Das bedeutet: Wer solche Systeme nutzt oder plant einzusetzen, muss sich bereits jetzt mit den Anforderungen auseinandersetzen – Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht und Transparenzpflichten gegenüber Betroffenen.

Hinzu kommt die Wechselwirkung mit der DSGVO: Der Einsatz von KI-Systemen, die Gesundheitsdaten verarbeiten, löst in der Regel eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO aus. Wer einen Datenschutzbeauftragten bestellt hat, ist klar im Vorteil: Der DSB kann die DSFA strukturiert durchführen und gleichzeitig die KI-Act-Anforderungen im Blick behalten.

SGB XI und Datenschutz: Der sozialrechtliche Rahmen

Die DSGVO ist nicht der einzige relevante Rechtsrahmen für Pflegedienste. Das SGB XI (Soziale Pflegeversicherung) regelt die Leistungsabrechnung mit Pflegekassen, Dokumentationspflichten und die Einstufungsverfahren. Die dabei verarbeiteten Daten – Pflegegrade, Leistungsnachweise, Einstufungsunterlagen – unterliegen zusätzlich dem Sozialgeheimnis nach § 35 SGB I und § 78 SGB X.

In der Praxis bedeutet das: Ein Pflegedienst, der Daten an die Pflegekasse übermittelt, muss nicht nur die DSGVO-Anforderungen für die Auftragsverarbeitung erfüllen, sondern auch die sozialrechtlichen Vorgaben für die Datenübermittlung. Diese Wechselwirkung ist komplex und wird von Aufsichtsbehörden zunehmend geprüft.

Ein weiterer Aspekt betrifft die Weitergabe von Sozialdaten an Dritte. Informationen aus dem Pflegeplan oder der Pflegeeinstufung dürfen nicht ohne Weiteres an Ärzte, Krankenhäuser oder Angehörige weitergegeben werden – auch wenn das im Pflegealltag oft als selbstverständlich erscheint. Die Weitergabe setzt entweder eine gesetzliche Grundlage oder eine ausdrückliche Einwilligung voraus. Wer diese Unterscheidung nicht kennt, riskiert einen Verstoß gegen das Sozialgeheimnis – mit möglicherweise strafrechtlichen Konsequenzen nach § 85 SGB X. Ein Datenschutzbeauftragter mit Erfahrung im Pflegebereich kennt beide Rechtsrahmen und stellt sicher, dass Pflegedienste in keinem der beiden Bereiche angreifbar sind.

Datenschutz-Checkliste für Pflegedienste 2026

Die folgende Checkliste fasst zusammen, welche Maßnahmen Pflegedienste im Jahr 2026 umgesetzt haben sollten. Sie ersetzt keine individuelle Beratung, gibt aber einen ersten Orientierungsrahmen.

  • Datenschutzbeauftragter bestellt: Ist ein Datenschutzbeauftragter – intern oder extern – rechtswirksam bestellt und mit den nötigen Ressourcen ausgestattet?
  • Verzeichnis der Verarbeitungstätigkeiten aktuell: Sind alle Verarbeitungsprozesse dokumentiert, einschließlich neuer Software, die seit der letzten Aktualisierung eingeführt wurde?
  • AV-Verträge vollständig: Gibt es für jeden Dienstleister, der Zugang zu Patientendaten hat, einen aktuellen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO?
  • TOMs dokumentiert und aktuell: Sind die technischen und organisatorischen Maßnahmen schriftlich festgehalten und entsprechen sie dem aktuellen Stand der Technik?
  • Datenschutzerklärung Website aktuell: Enthält die Datenschutzerklärung alle nach TDDDG und DSGVO erforderlichen Informationen? Ist das Cookie-Management rechtskonform?
  • Mitarbeiter regelmäßig geschult: Wurden alle Mitarbeiter in den vergangenen zwölf Monaten über ihre Datenschutzpflichten unterwiesen?
  • Notfallprozess für Datenpannen definiert: Gibt es einen schriftlichen Prozess, der regelt, wer im Fall einer Datenschutzverletzung was innerhalb der 72-Stunden-Frist unternimmt?
  • KI-Systeme geprüft: Werden KI-gestützte Systeme eingesetzt? Wenn ja: Ist geprüft, ob eine DSFA erforderlich ist und ob der EU AI Act greift?
  • Löschkonzept vorhanden: Gibt es ein dokumentiertes Löschkonzept, das Aufbewahrungsfristen und Löschprozesse für alle Datenkategorien festlegt?

    • Wer bei einzelnen Punkten unsicher ist, sollte nicht warten. Die Aufsichtsbehörden haben ihre Prüfaktivitäten im Pflegebereich in den vergangenen Jahren spürbar intensiviert. Ein strukturiertes Audit durch zweiplus gibt Aufschluss über den tatsächlichen Handlungsbedarf. Weitere Informationen finden Sie hier.

Fazit: Datenschutz in der Pflege 2026 ist mehr als DSGVO

Pflegedienste stehen 2026 vor einem datenschutzrechtlichen Umfeld, das komplexer ist als je zuvor. Die DSGVO bildet das Fundament – aber das TDDDG, die NIS2-Richtlinie, der EU AI Act und der sozialrechtliche Rahmen nach SGB XI und SGB X kommen hinzu. Wer all das intern überblicken, dokumentieren und umsetzen möchte, ohne einen qualifizierten Datenschutzbeauftragten zu haben, geht ein erhebliches Risiko ein.

Ein externer Datenschutzbeauftragter mit Branchenerfahrung in der Pflege kennt die Wechselwirkungen dieser Regelwerke und stellt sicher, dass Pflegedienste nicht nur die DSGVO erfüllen, sondern auch für die neuen Anforderungen des Jahres 2026 aufgestellt sind. Gleichzeitig entlastet ein externer Datenschutzbeauftragter die Einrichtungsleitung erheblich: Alle Pflichtdokumente werden erstellt und aktuell gehalten, Mitarbeiter werden geschult, und im Ernstfall – bei einer Datenpanne oder einer behördlichen Anfrage – steht ein erfahrener Ansprechpartner zur Verfügung.

zweiplus betreut bereits über 30 Pflegedienste bundesweit – ambulant, stationär und pflegenah. Nehmen Sie Kontakt auf und lassen Sie Ihre Datenschutzsituation unverbindlich prüfen.

FAQs – Häufig gestellte Fragen zu DSGVO und Pflege 2026

Zwei relevante Änderungen: Das TDDDG (Mai 2024) hat die Anforderungen an Cookie-Management und Datenschutzerklärungen für Websites präzisiert. Das NIS2UmsuCG hat den Rahmen für IT-Sicherheitsanforderungen erhöht – mit Rückwirkungen auf AV-Verträge mit Dienstleistern, die unter NIS2 fallen. Zusätzlich hat die Aufsichtspraxis gegenüber Pflegeeinrichtungen zugenommen.

Potenziell ja. Ab August 2026 gelten die Hochrisiko-Anforderungen des EU AI Act vollständig. KI-Systeme, die in der Pflege zur Bedarfserkennung, Sturzerkennung oder Medikamentenoptimierung eingesetzt werden, können als Hochrisiko-Systeme eingestuft sein. Wer solche Systeme nutzt oder plant, sollte jetzt prüfen, ob eine Konformitätsbewertung erforderlich ist.

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) regelt seit Mai 2024 u. a. die Pflichten bei der Nutzung von Cookies und ähnlichen Technologien. Für Pflegedienste mit eigenem Webauftritt bedeutet das: Jeder Cookie, der nicht technisch notwendig ist, braucht eine aktive, informierte Einwilligung. Veraltete Cookie-Banner oder fehlende Einwilligungslösungen sind nicht mehr rechtskonform.

Ja, in der Regel. Die Bestellpflicht nach Art. 37 Abs. 1 lit. c DSGVO greift, sobald die Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht – und das trifft auf jeden Pflegedienst zu, unabhängig von der Größe. Ergänzend gilt § 38 BDSG-n ab 20 Personen in der automatisierten Datenverarbeitung.

Die DSGVO regelt den allgemeinen Schutz personenbezogener Daten und gilt für alle Unternehmen in der EU. Das SGB XI regelt speziell die Soziale Pflegeversicherung und enthält zusätzliche Pflichten für die Verarbeitung von Sozialdaten. Das Sozialgeheimnis nach § 35 SGB I und § 78 SGB X gilt neben der DSGVO und verschiebt in bestimmten Konstellationen den zulässigen Umgang mit Daten. Beide Rahmen müssen gleichzeitig eingehalten werden.

Das Verzeichnis muss immer aktuell sein – es gibt keine feste Jahresfrist, aber jede neue Verarbeitung, jeder neue Dienstleister und jede Änderung in bestehenden Prozessen löst eine Aktualisierungspflicht aus. In der Praxis empfiehlt sich eine strukturierte Überprüfung mindestens einmal jährlich sowie anlassbezogen bei Änderungen.

Wenn ein Softwareanbieter oder IT-Dienstleister unter NIS2 fällt und damit höhere IT-Sicherheitsanforderungen erfüllen muss, sollte der AV-Vertrag entsprechende Nachweispflichten enthalten. Der Auftragsverarbeiter sollte verpflichtet sein, seine NIS2-Konformität auf Anfrage nachzuweisen. Ein externer Datenschutzbeauftragter prüft bestehende Verträge und identifiziert Anpassungsbedarf.

Der Bußgeldrahmen der DSGVO ist zweistufig: Allgemeine Verstöße können mit bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes geahndet werden. Verstöße gegen Grundprinzipien, Betroffenenrechte oder Verarbeitungsgrundlagen – also insbesondere beim Umgang mit Gesundheitsdaten nach Art. 9 DSGVO – können bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen. Hinzu kommen Reputationsschäden und mögliche zivilrechtliche Ansprüche.

zweiplus übernimmt die Funktion des externen Datenschutzbeauftragten und begleitet Pflegedienste von der ersten Schutzbedarfsfeststellung bis zum laufenden Datenschutzmanagement. Dazu gehören die Erstellung und Pflege aller Pflichtdokumente, die Prüfung von AV-Verträgen, die Durchführung von Datenschutzfolgenabschätzungen, Mitarbeiterschulungen und die Unterstützung bei der Einschätzung neuer Anforderungen wie dem EU AI Act.

Ja, wenn der Pflegedienst als KMU eingestuft ist. zweiplus ist bei der BAFA als förderfähige Unternehmensberatung gelistet. Über das Förderprogramm können Beratungskosten im Bereich Datenschutz und Informationssicherheit teilweise bezuschusst werden. Das zweiplus-Team klärt im Erstgespräch, ob und in welchem Umfang eine Förderung möglich ist.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.