Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

E-Rezept und Telematikinfrastruktur im Sanitätshaus: Was der Datenschutz jetzt verlangt

20.06.2026 von Dominic

Sanitätshäuser stehen vor dem größten Digitalisierungsschritt ihrer Geschichte: der Anbindung an die Telematikinfrastruktur (TI) und der Umstellung auf die elektronische Hilfsmittelverordnung. Was für Ärzte und Apotheken bereits Alltag ist, erreicht nun die sogenannten sonstigen Leistungserbringer. Damit verarbeiten Sanitätshäuser künftig noch mehr Gesundheitsdaten in noch mehr digitalen Systemen: elektronische Verordnungen, Versichertenstammdaten, Abrechnungsdaten, Kommunikation über KIM. Welche Fristen aktuell gelten, wer datenschutzrechtlich wofür verantwortlich ist und welche konkreten Pflichten Sanitätshäuser vor und nach der TI-Anbindung erfüllen müssen, erklärt dieser Beitrag.

E-Rezept für Hilfsmittel: Wo Sanitätshäuser aktuell stehen

Das E-Rezept ist für verschreibungspflichtige Arzneimittel seit dem 1. Januar 2024 verpflichtend. Für Hilfsmittel gilt dagegen weiterhin die Verordnung auf Papier (Muster 16). Der Gesetzgeber hat die elektronische Verordnung von Hilfsmitteln, Verbandmitteln und Medizinprodukten in § 360 Abs. 7 SGB V geregelt: Sie soll verpflichtend ab dem 1. Juli 2027 kommen. Das Bundesgesundheitsministerium hat im März 2026 allerdings bestätigt, dass eine Verschiebung der verpflichtenden Einführung auf den 1. Juli 2030 geprüft wird.

Auch die Anschlusspflicht an die Telematikinfrastruktur wurde bereits verschoben: Ursprünglich sollten Heil- und Hilfsmittelerbringer gemäß § 360 Abs. 8 SGB V zum 1. Januar 2026 angebunden sein. Mit dem Pflegekompetenzgesetz wurde diese Frist auf den 1. Oktober 2027 verlegt. Parallel laufen bereits Pilotprojekte zur elektronischen Hilfsmittelverordnung, an denen sich mehrere große Krankenkassen beteiligen, darunter AOK Bayern, Barmer, DAK-Gesundheit und Techniker Krankenkasse.

Wichtig für die Praxis: Die freiwillige TI-Anbindung ist schon heute möglich. Voraussetzung ist insbesondere eine Institutionskarte (SMC-B), die über das elektronische Gesundheitsberuferegister (eGBR) beziehungsweise die Handwerkskammern ausgegeben wird. Das frühere Erfordernis eines elektronischen Heilberufsausweises für den Zugriff auf das E-Rezept wurde für Hilfsmittelerbringer gestrichen. Wer sich anbindet, kann bereits jetzt den sicheren Kommunikationsdienst KIM nutzen.

Eines ist trotz aller Fristverschiebungen sicher: Die TI-Anbindung kommt. Und mit ihr kommen datenschutzrechtliche Pflichten, die viele Sanitätshäuser heute noch nicht auf dem Schirm haben. (Stand der Fristen: Juni 2026, Änderungen durch laufende Gesetzgebungsverfahren sind möglich.)

Datenschutzrechtliche Verantwortlichkeit in der TI: Wer haftet wofür?

Sanitätshäuser verarbeiten Gesundheitsdaten als Kerntätigkeit: Verordnungen, Diagnosen, Versorgungsdokumentationen, Maßdaten und Abrechnungsunterlagen. Diese Daten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO und unterliegen dem höchsten Schutzniveau, das das Datenschutzrecht kennt. Für die meisten Sanitätshäuser folgt daraus bereits heute die Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 lit. c DSGVO, ergänzt um die Schwelle von 20 ständig mit automatisierter Datenverarbeitung beschäftigten Personen nach § 38 BDSG. Welche datenschutzrechtlichen Grundpflichten unabhängig von der TI für Sanitätshäuser gelten, haben wir in unserem Grundlagenbeitrag zum Datenschutz im Sanitätshaus zusammengefasst.

Mit der TI-Anbindung kommt eine Besonderheit hinzu, die in der Beratungspraxis regelmäßig für Verwirrung sorgt: die Aufteilung der Verantwortlichkeit. § 307 SGB V regelt sie ausdrücklich. Für die zentrale TI-Infrastruktur tragen gematik und die jeweiligen Betreiber die Verantwortung. Für die dezentralen Komponenten in der eigenen Einrichtung, also Konnektor oder TI-Gateway-Zugang, Kartenterminals, SMC-B und die angebundene Branchensoftware, ist das Sanitätshaus selbst datenschutzrechtlich verantwortlich. Wer glaubt, mit der TI-Anbindung wandere die Verantwortung an die gematik, irrt: Fehlkonfigurationen, unterlassene Updates oder unkontrollierte Zugriffe im eigenen Haus gehen zulasten des Sanitätshauses.

Hinzu kommt der sozialrechtliche Rahmen: Daten aus der Versorgung gesetzlich Versicherter, etwa Abrechnungsdaten nach § 302 SGB V, unterliegen neben der DSGVO auch dem Sozialgeheimnis nach § 35 SGB I in Verbindung mit § 78 SGB X. Sanitätshäuser bewegen sich damit in zwei Rechtsrahmen gleichzeitig, die beide eingehalten werden müssen.

Zugriffsrechte und digitale Identitäten: SMC-B, Berechtigungskonzept und Protokollierung

Die SMC-B ist der elektronische Institutionsausweis des Sanitätshauses. Mit ihr authentifiziert sich die Einrichtung gegenüber der TI und erhält Zugriff auf Fachanwendungen wie das E-Rezept oder KIM. Datenschutzrechtlich ist die SMC-B aber nur die halbe Miete: Sie regelt den Zugang der Institution, nicht den Zugriff der einzelnen Mitarbeiter.

Genau hier liegt das praktische Risiko. Wenn künftig elektronische Verordnungen im System eingehen, muss intern geregelt sein, wer sie abrufen, einsehen und bearbeiten darf. Erforderlich ist ein dokumentiertes Berechtigungskonzept nach dem Need-to-know-Prinzip: Die Mitarbeiterin in der Filiale A benötigt keinen Zugriff auf die Versorgungsdaten der Filiale B, der Auszubildende keinen Vollzugriff auf alle Verordnungen. Die Branchensoftware muss differenzierte Nutzerrollen ermöglichen, Zugriffe protokollieren und das Teilen von Zugangsdaten technisch wie organisatorisch unterbinden. Sammelaccounts und geteilte Passwörter, in vielen Betrieben noch üblich, sind mit Art. 32 DSGVO nicht vereinbar.

Ein zweiter Hebel ist die Kommunikation: Heute werden Verordnungen, Kostenvoranschläge und Rückfragen vielfach per Fax oder unverschlüsselter E-Mail mit Arztpraxen und Krankenkassen ausgetauscht. Beides ist bei Gesundheitsdaten datenschutzrechtlich hochproblematisch und wird von Aufsichtsbehörden zunehmend beanstandet. Mit KIM steht über die TI ein verschlüsselter Kommunikationsweg zur Verfügung, der dieses Dauerproblem löst. Die Umstellung der Kommunikationswege sollte deshalb fester Bestandteil des TI-Projekts sein.

Pflichten vor der TI-Anbindung: Was der Datenschutz konkret verlangt

Die TI-Anbindung ist kein reines IT-Projekt, sondern ein Datenschutzprojekt. Folgende Punkte müssen vor dem Echtbetrieb stehen:

  • Datenschutzfolgenabschätzung (DSFA): Die Einführung neuer Technologien zur umfangreichen Verarbeitung von Gesundheitsdaten löst in der Regel eine DSFA nach Art. 35 DSGVO aus. Mindestens ist eine dokumentierte Schwellwertanalyse erforderlich, die begründet, ob eine vollständige DSFA notwendig ist. Für die TI-Anbindung samt neuer Softwareprozesse sollte die Bewertung strukturiert und nachweisbar erfolgen.
  • Verzeichnis der Verarbeitungstätigkeiten: Das Verzeichnis nach Art. 30 DSGVO muss um die neuen Verarbeitungsvorgänge ergänzt werden: Empfang und Verarbeitung elektronischer Verordnungen, KIM-Kommunikation, Nutzung der Versichertenstammdaten, Protokollierung der Zugriffe. Ein veraltetes Verzeichnis fällt bei jeder behördlichen Prüfung sofort auf.
  • Auftragsverarbeitung und AV-Verträge: TI-Anbieter, Anbieter von TI as a Service, Hersteller der Branchensoftware, IT-Dienstleister und Abrechnungszentren verarbeiten personenbezogene Daten im Auftrag des Sanitätshauses. Für jeden dieser Dienstleister ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO Pflicht, inklusive dokumentierter technischer und organisatorischer Maßnahmen und klarer Regelung der Unterauftragnehmer. Fehlt der AV-Vertrag, ist die Datenweitergabe rechtswidrig, unabhängig davon, wie sicher der Dienstleister tatsächlich arbeitet.
  • Technische und organisatorische Maßnahmen: Der sichere Betrieb der dezentralen Komponenten liegt beim Sanitätshaus: regelmäßige Updates von Konnektor und Software, abgesicherte Netzwerkumgebung, Verschlüsselung, Datensicherung und ein Berechtigungskonzept. Diese Maßnahmen sind nach Art. 32 DSGVO zu dokumentieren.
  • Informationspflichten und Datenschutzerklärung: Patienten und Kunden müssen nach Art. 13 DSGVO darüber informiert werden, wie ihre Daten verarbeitet werden. Mit der TI-Anbindung ändern sich Verarbeitungswege und Empfänger, die Datenschutzinformationen im Geschäft und die Datenschutzerklärung der Website müssen entsprechend aktualisiert werden.
  • Schulung der Mitarbeiter: Die beste Technik nützt nichts, wenn das Team Risikosituationen nicht erkennt. Mitarbeiter müssen für den Umgang mit elektronischen Verordnungen, KIM, Passwörtern und mobilen Geräten sensibilisiert werden, als Präsenzschulung oder per E-Learning.
  • Notfallprozess für Datenpannen: Geht ein Tablet verloren, werden Verordnungsdaten an den falschen Empfänger gesendet oder fällt ein System einem Angriff zum Opfer, greift die Meldepflicht nach Art. 33 DSGVO: 72 Stunden Frist gegenüber der Aufsichtsbehörde. Der Meldeweg muss vor dem ersten Vorfall definiert sein, nicht danach.

Freiwillige TI-Anbindung schon vor der Frist: Chance oder Risiko?

Viele Softwareanbieter und Verbände werben dafür, sich nicht erst zur harten Frist anzubinden. Dafür spricht einiges: Wer früh anbindet, sichert sich Erfahrungsvorsprung, kann KIM bereits für die sichere Kommunikation mit Ärzten und Kassen nutzen und vermeidet den Umstellungsstau, der erfahrungsgemäß kurz vor Fristablauf entsteht. Auch die Teilnahme an Pilotprojekten zur elektronischen Hilfsmittelverordnung kann ein echter Wettbewerbsvorteil sein.

Aus Datenschutzsicht gilt aber: Die Reihenfolge entscheidet. Wer zuerst die Technik bestellt und danach über Datenschutz nachdenkt, baut sich Risiken ein, die später teuer korrigiert werden müssen. DSFA beziehungsweise Schwellwertanalyse, AV-Verträge, Berechtigungskonzept und Schulungen gehören an den Anfang des Projekts. Richtig aufgesetzt ist die freiwillige Anbindung eine Chance: Sie verschafft dem Sanitätshaus Zeit, Prozesse in Ruhe datenschutzkonform zu gestalten, statt sie unter Fristdruck zu improvisieren.

Wann externe Unterstützung sinnvoll ist

Die wenigsten Sanitätshäuser verfügen intern über eine Person, die sowohl das Datenschutzrecht als auch die TI-Architektur und die sozialrechtlichen Besonderheiten der Hilfsmittelversorgung beherrscht. Eine Fachkraft erst aufzubauen kostet Zeit und löst das Problem der gesetzlich geforderten Unabhängigkeit des Datenschutzbeauftragten nicht: Geschäftsführung, Filialleitung oder IT-Verantwortliche scheiden wegen Interessenkonflikten nach Art. 38 Abs. 6 DSGVO regelmäßig aus.

Ein externer Datenschutzbeauftragter mit Branchenerfahrung im Gesundheitswesen bringt die Qualifikation vom ersten Tag an mit, begleitet die TI-Anbindung strukturiert von der Schwellwertanalyse über die AV-Verträge bis zum Berechtigungskonzept und steht bei Datenpannen und Behördenanfragen zur Seite. zweiplus übernimmt genau diese Funktion für Einrichtungen im Gesundheitswesen, TÜV-zertifiziert und mit einer Komplettlösung von der Schutzbedarfsfeststellung bis zum laufenden Datenschutzmanagement.

Hinweis: Für KMU, zu denen die meisten Sanitätshäuser zählen, besteht die Möglichkeit, Beratungsleistungen im Bereich Datenschutz über das Förderprogramm der BAFA bezuschussen zu lassen. Ob und in welchem Umfang eine Förderung in Frage kommt, klären wir im Erstgespräch.

Fazit: Die TI-Anbindung ist ein Datenschutzprojekt, kein reines IT-Projekt

E-Rezept und Telematikinfrastruktur verändern die Hilfsmittelversorgung grundlegend. Auch wenn sich die Fristen verschieben, steht die Richtung fest: Sanitätshäuser werden Teil der digitalen Gesundheitsinfrastruktur und verarbeiten Gesundheitsdaten künftig in deutlich größerem Umfang und in deutlich mehr Systemen. Die datenschutzrechtliche Verantwortung für die eigene Umgebung bleibt dabei vollständig im Haus: Berechtigungskonzepte, AV-Verträge, DSFA, aktualisierte Verzeichnisse, geschulte Mitarbeiter und ein funktionierender Meldeprozess sind keine optionale Kür, sondern gesetzliche Pflicht mit konkreten Sanktionsrisiken.

Wer die Anbindung jetzt vorbereitet, verschafft sich einen doppelten Vorteil: Rechtssicherheit gegenüber Aufsichtsbehörden und Krankenkassen sowie stabile, digitale Prozesse, bevor der Fristdruck einsetzt. zweiplus begleitet Sanitätshäuser und andere sonstige Leistungserbringer auf diesem Weg. Nehmen Sie Kontakt auf und lassen Sie Ihre Datenschutzsituation unverbindlich prüfen.

FAQs – Häufig gestellte Fragen zu E-Rezept, TI und Datenschutz im Sanitätshaus

Noch nicht verpflichtend. Die Anschlussfrist für Heil- und Hilfsmittelerbringer wurde mit dem Pflegekompetenzgesetz vom 1. Januar 2026 auf den 1. Oktober 2027 verschoben (§ 360 Abs. 8 SGB V). Eine freiwillige Anbindung ist bereits heute möglich, sofern die technischen Voraussetzungen, insbesondere eine SMC-B, vorliegen.

Gesetzlich ist die verpflichtende elektronische Verordnung von Hilfsmitteln derzeit für den 1. Juli 2027 vorgesehen. Das Bundesgesundheitsministerium prüft allerdings eine Verschiebung auf den 1. Juli 2030. Bis dahin gilt für Hilfsmittel weiterhin die Papierverordnung (Muster 16); Pilotprojekte mit mehreren Krankenkassen laufen bereits.

In aller Regel ja. Sanitätshäuser verarbeiten Gesundheitsdaten nach Art. 9 DSGVO als Kerntätigkeit, womit die Bestellpflicht nach Art. 37 Abs. 1 lit. c DSGVO greift. Ergänzend besteht die Pflicht nach § 38 BDSG, sobald mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten.

§ 307 SGB V teilt die Verantwortung auf: Für die zentrale TI-Infrastruktur sind gematik und die Betreiber verantwortlich. Für die dezentralen Komponenten in der eigenen Einrichtung, also Konnektor, Kartenterminals, SMC-B und Branchensoftware, bleibt das Sanitätshaus selbst Verantwortlicher im Sinne der DSGVO.

Die SMC-B (Security Module Card Typ B) ist der elektronische Institutionsausweis, mit dem sich das Sanitätshaus gegenüber der TI authentifiziert. Die Ausgabe erfolgt für Hilfsmittelerbringer über das elektronische Gesundheitsberuferegister (eGBR) beziehungsweise die Handwerkskammern. Das frühere Erfordernis eines elektronischen Heilberufsausweises für den E-Rezept-Zugriff wurde für Hilfsmittelerbringer gestrichen.

In der Regel ja, mindestens aber eine dokumentierte Schwellwertanalyse. Die Einführung neuer Technologien zur umfangreichen Verarbeitung von Gesundheitsdaten gehört zu den Fallgruppen, für die Art. 35 DSGVO eine DSFA vorsieht. Die Bewertung sollte vor dem Echtbetrieb erfolgen und nachvollziehbar dokumentiert sein.

Ja. TI-Dienstleister, Anbieter von TI as a Service, Branchensoftware-Hersteller, IT-Dienstleister und Abrechnungszentren verarbeiten Daten im Auftrag des Sanitätshauses. Für jeden dieser Dienstleister ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO Pflicht. Ohne AV-Vertrag ist die Datenweitergabe rechtswidrig.

Der Versand von Gesundheitsdaten per Fax oder unverschlüsselter E-Mail wird von den Aufsichtsbehörden zunehmend beanstandet und genügt den Anforderungen des Art. 32 DSGVO regelmäßig nicht. Mit KIM bietet die TI einen verschlüsselten Kommunikationsweg, der diese Risiken beseitigt. Die Umstellung sollte Teil des TI-Projekts sein.

Bei einer Datenschutzverletzung gilt die 72-Stunden-Meldepflicht nach Art. 33 DSGVO gegenüber der zuständigen Aufsichtsbehörde. Besteht ein hohes Risiko für die Betroffenen, müssen auch die Patienten informiert werden (Art. 34 DSGVO). Ein vorab definierter Notfallprozess stellt sicher, dass Fristen und Meldewege im Ernstfall eingehalten werden.

Häufig ja: Wer früh anbindet, kann KIM nutzen, sammelt Erfahrung mit den neuen Prozessen und vermeidet den Umstellungsstau zum Fristende. Entscheidend ist die Reihenfolge: Datenschutzfolgenabschätzung, AV-Verträge, Berechtigungskonzept und Schulungen gehören an den Anfang des Projekts, nicht an dessen Ende.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.