Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

Externer Datenschutzbeauftragter Pflegedienst – Pflicht, Aufgaben und rechtssichere Bestellung

27.03.2026 von Dominic

Pflegedienste stehen täglich vor einer besonderen datenschutzrechtlichen Herausforderung: Sie verarbeiten Gesundheitsdaten, Pflegedokumentationen und hochsensible Angaben zur persönlichen Lebenssituation – und damit Informationen der sensibelsten Kategorie, die das Datenschutzrecht kennt. Ob und wann die Bestellung eines Datenschutzbeauftragten (DSB) gemäß DSGVO verpflichtend ist, was ein externer Datenschutzbeauftragter im Pflegedienst konkret leistet und warum immer mehr Einrichtungen auf externe Expertise setzen, erklärt dieser Beitrag.

Wann ist ein Datenschutzbeauftragter im Pflegedienst Pflicht?

Die Bestellpflicht ergibt sich aus zwei Rechtsquellen: Art. 37 DSGVO sowie § 38 BDSG-n. Beide sind kumulativ zu prüfen.

Gemäß Art. 37 Abs. 1 lit. c DSGVO sind Verantwortliche zur Bestellung verpflichtet, wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO besteht. Gesundheitsdaten, wie sie in jedem Pflegedienst unvermeidlich anfallen, gehören ausdrücklich dazu. Für die überwiegende Mehrheit aller Pflegeanbieter – ob ambulant, stationär oder als Demenz-WG – besteht damit eine gesetzliche Bestellpflicht.

Ergänzend greift § 38 BDSG-n: Beschäftigt ein Unternehmen in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, ist die Bestellung eines Datenschutzbeauftragten ebenfalls Pflicht. Gerade Pflegedienste, die digitale Pflegedokumentationssysteme einsetzen, erreichen diese Schwelle regelmäßig.

Hinzu kommt ein Aspekt, der in der Praxis häufig übersehen wird: SGB XI und Datenschutz stehen in engem Zusammenhang. Die Daten zur Pflegeeinstufung, Leistungsabrechnung mit der Pflegekasse sowie Informationen aus dem Pflegeplan sind nicht nur nach DSGVO besonders schützenswert – sie unterliegen auch den sozialrechtlichen Geheimnisschutzvorschriften gemäß § 35 SGB I in Verbindung mit dem Sozialgeheimnis nach § 78 SGB X. Wer als Pflegedienst diese Wechselwirkung nicht kennt, riskiert Verstöße in einem rechtlichen Bereich, der von Aufsichtsbehörden zunehmend geprüft wird.

Konsequenz bei Nichtbestellung: Die DSGVO sieht für Verstöße gegen Art. 37 Bußgeldrahmen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor. Zusätzlich drohen behördliche Verwarnungen, Prüfungen und im schlimmsten Fall eine Untersagung bestimmter Verarbeitungsvorgänge.

Intern oder extern: Was passt zum Pflegedienst?

Grundsätzlich kann ein Pflegedienst sowohl einen internen als auch einen externen Datenschutzbeauftragten bestellen. Beide Optionen sind rechtlich zulässig – sie unterscheiden sich jedoch erheblich in Kosten, Praxistauglichkeit und Haftungsrisiko.

Interner Datenschutzbeauftragter

Ein Mitarbeiter oder eine Mitarbeiterin wird zum internen Datenschutzbeauftragten ernannt. Voraussetzung ist eine nachgewiesene Fachkunde im Datenschutzrecht und in der Informationstechnologie gemäß Art. 37 Abs. 5 DSGVO. Problematisch ist: Interessenkonflikte mit anderen Rollen – etwa als Pflegedienstleitung oder IT-Verantwortliche – können zur Unwirksamkeit der Bestellung führen. Dazu kommen laufende Fortbildungskosten und ein besonderer Kündigungsschutz während und nach der Amtszeit.

Externer Datenschutzbeauftragter

Ein spezialisierter Dienstleister übernimmt die Funktion des Datenschutzbeauftragten auf vertraglicher Basis. Die Fachkunde ist durch anerkannte Zertifizierungen nachgewiesen. Kein Kündigungsschutzproblem, keine internen Abhängigkeiten, keine Weiterbildungskosten. Für kleine und mittlere Pflegedienste ist das in der Regel die wirtschaftlichere und rechtlich robustere Lösung. Ein externer Datenschutzbeauftragter mit Branchen-Spezialisierung kennt typische Verarbeitungsprozesse in der Pflege und bringt Muster und Vorlagen – etwa für die Bestellung des Datenschutzbeauftragten oder für Verträge zur Auftragsverarbeitung – direkt mit.

zweiplus übernimmt genau diese Funktion für Pflegedienste – TÜV-zertifiziert, mit nachgewiesener Branchenerfahrung und einer Komplettlösung für Datenschutz in Pflegeeinrichtungen.

Aufgaben des externen Datenschutzbeauftragten im Pflegedienst

Art. 39 DSGVO definiert den verbindlichen Aufgabenkatalog. Im Pflegekontext geht es dabei weit über bloßes Papierwerk hinaus.

Beratung der Einrichtungsleitung und Mitarbeiter:

Der Datenschutzbeauftragte informiert über datenschutzrechtliche Pflichten – einschließlich der besonderen Anforderungen beim Umgang mit Gesundheitsdaten nach Art. 9 DSGVO sowie der sozialrechtlichen Besonderheiten nach SGB XI und SGB X.

Auftragsverarbeitung und AV-Verträge:

Wer externe Dienstleister nutzt – Pflegesoftware-Anbieter, Cloud-Lösungen, IT-Firmen, Abrechnungsstellen – muss mit diesen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO abschließen. Der externe Datenschutzbeauftragte prüft bestehende Verträge, identifiziert Lücken und erstellt rechtssichere Muster. Insbesondere der Einsatz einer DSGVO-konformen Pflegesoftware setzt voraus, dass der Anbieter als Auftragsverarbeiter korrekt eingebunden ist.

Verzeichnis der Verarbeitungstätigkeiten:

Jede Einrichtung muss ein aktuelles Verzeichnis aller Datenverarbeitungsvorgänge führen (Art. 30 DSGVO). Der externe Datenschutzbeauftragte erstellt und pflegt dieses Verzeichnis – vom Dienstplan bis zur Medikamentenverwaltung.

Datenschutzfolgenabschätzung (DSFA):

Wenn neue Technologien oder Verarbeitungsprozesse hohe Risiken bergen, ist eine DSFA nach Art. 35 DSGVO Pflicht. Der Datenschutzbeauftragte identifiziert relevante Vorgänge und führt die Bewertung strukturiert durch.

Datenschutzerklärung und Website-Compliance:

Eine korrekte Datenschutzerklärung des Pflegedienstes auf der Unternehmenswebsite ist nach Art. 13 DSGVO Pflicht. Häufige Fehler: fehlende Angaben zu eingesetzten Tools, nicht genannte Auftragsverarbeiter, ungültige Cookie-Einwilligungen. Der externe Datenschutzbeauftragte prüft und aktualisiert die Datenschutzerklärung regelmäßig.

Schulung und Sensibilisierung:

Mitarbeiter sind gemäß Art. 39 Abs. 1 lit. b DSGVO zu schulen. Der Datenschutzbeauftragte organisiert Unterweisungen – als Präsenzschulung oder über E-Learning. Ziel ist, dass das gesamte Team Risikosituationen erkennt: unverschlüsselte Kommunikation, geteilte Passwörter, Umgang mit verlorenen Diensthandys.

Meldepflicht bei Datenpannen:

Geht ein Tablet verloren oder werden Patientendaten irrtümlich an Dritte weitergegeben, besteht in der Regel eine Meldepflicht gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO). Viele Einrichtungen kennen weder die Pflicht noch den Meldeweg. Ein externer Datenschutzbeauftragter definiert den Notfallprozess im Voraus und begleitet die Meldung aktiv.

DSGVO-konforme Pflegesoftware: Worauf Pflegedienste achten müssen

Digitale Pflegedokumentationssysteme sind aus dem Alltag nicht mehr wegzudenken. Doch nicht jede Software erfüllt die datenschutzrechtlichen Anforderungen. Eine DSGVO-konforme Pflegesoftware muss folgende Kriterien erfüllen:

  • Auftragsverarbeitungsvertrag: Der Anbieter muss als Auftragsverarbeiter nach Art. 28 DSGVO eingebunden sein, inklusive dokumentierter TOMs und klarer Unterauftragnehmer-Regelung.
  • Serverstandort: Datenverarbeitung innerhalb der EU oder in einem Land mit angemessenem Datenschutzniveau (Art. 44 ff. DSGVO). Bei US-Anbietern ist besondere Prüfung erforderlich.
  • Zugriffsberechtigungskonzept: Die Software muss differenzierte Nutzerrollen ermöglichen, damit nur berechtigte Personen auf bestimmte Patientendaten zugreifen können.
  • Verschlüsselung und Protokollierung: Übertragungswege müssen verschlüsselt sein (TLS), Zugriffe müssen protokolliert werden.

Wer unsicher ist, ob die eingesetzte Software diese Anforderungen erfüllt, kann ein strukturiertes Audit durch zweiplus beauftragen – bevor die nächste Prüfung der Aufsichtsbehörde ansteht.

Wann ist ein externer Datenschutzbeauftragter für den Pflegedienst sinnvoll?

Die Frage stellt sich aus wirtschaftlicher und rechtlicher Sicht gleichermäßen – und die Antwort fällt in der Praxis häufig klarer aus, als viele Einrichtungsleitungen erwarten.

Am häufigsten entsteht der Bedarf, weil intern keine geeignete Person für die Rolle des Datenschutzbeauftragten vorhanden ist. Eine Mitarbeiterin oder einen Mitarbeiter erst aufwendig fortzubilden, kostet Zeit und löst das Problem der gesetzlich geforderten Unabhängigkeit nicht zwingend. Ein externer Datenschutzbeauftragter bringt die nötige Qualifikation und Neutralität vom ersten Tag an mit.

Besonders konkreter Handlungsbedarf entsteht bei der Einführung neuer Pflegesoftware: Liegt ein Vertrag zur Auftragsverarbeitung vor? Sind die technischen und organisatorischen Maßnahmen des Anbieters ausreichend? Ist eine Datenschutzfolgenabschätzung erforderlich? Ein externer Datenschutzbeauftragter begleitet diesen Prozess strukturiert und verhindert, dass die Einführung zum datenschutzrechtlichen Risiko wird.

Wer seine Einrichtung vergrößert – neue Standorte, zusätzliches Personal, neue Leistungsbereiche – erhöht damit automatisch den Umfang der Datenverarbeitung und die damit verbundenen Pflichten. Ein externer Datenschutzbeauftragter skaliert flexibel mit, ohne dass ein zusätzliches Beschäftigungsverhältnis eingegangen werden muss. Und wer bereits eine Datenpanne hinter sich hat, sollte nicht nur die unmittelbaren Folgen bewältigen, sondern die strukturellen Ursachen beseitigen – durch ein Datenschutzmanagementsystem, das Wiederholungen verhindert.

Hinweis: Für KMU, zu denen die meisten Pflegedienste zählen, besteht die Möglichkeit, Beratungsleistungen im Bereich Datenschutz über das Förderprogramm der BAFA bezuschussen zu lassen. Ob und in welchem Umfang eine Förderung in Frage kommt, klären wir im Erstgespräch.

Fazit: Externer Datenschutz ist kein Kostenblock – sondern aktiver Risikoschutz

Pflegedienste befinden sich in einer datenschutzrechtlich exponierten Position: Sie verarbeiten Daten der sensibelsten Kategorie, unterliegen gleichzeitig dem DSGVO-Rahmen und den sozialrechtlichen Geheimhaltungspflichten nach SGB XI und SGB X – und müssen den laufenden Pflegebetrieb organisieren. Ein externer Datenschutzbeauftragter schafft operative Entlastung, stellt Rechtssicherheit her und bringt die Fachkunde mit, die intern nur schwer und kostspielig aufzubauen ist.

Die korrekte Bestellung des Datenschutzbeauftragten, ein vollständiges Verzeichnis der Verarbeitungstätigkeiten, rechtssichere Verträge zur Auftragsverarbeitung mit Pflegesoftware-Anbietern, eine aktuelle Datenschutzerklärung und definierte Prozesse für den Meldepflicht-Fall – all das sind keine optionalen Maßnahmen, sondern gesetzliche Pflichten mit konkreten Sanktionsrisiken.

Wer diese Anforderungen strukturiert und nachhaltig erfüllen möchte, benötigt einen Datenschutzbeauftragten mit echter Branchenerfahrung in der Pflege. zweiplus betreut bereits über 30 Pflegedienste bundesweit und begleitet Einrichtungen von der ersten Schutzbedarfsfeststellung bis zum laufenden Datenschutzmanagement. Nehmen Sie Kontakt auf und lassen Sie Ihre Datenschutzsituation unverbindlich prüfen.

FAQs – Häufig gestellte Fragen zum externen Datenschutzbeauftragten im Pflegedienst

In der Regel ab dem ersten Tag des Betriebs. Da Pflegedienste Gesundheitsdaten nach Art. 9 DSGVO als Kerntätigkeit verarbeiten, greift Art. 37 Abs. 1 lit. c DSGVO unabhängig von der Mitarbeiteranzahl. Ergänzend besteht gemäß § 38 BDSG-n eine Bestellpflicht, sobald mindestens 20 Personen ständig automatisiert Daten verarbeiten.

Nein. Die Pflegedienstleitung ist in der Regel weisungsgebunden und trägt direkte Verantwortung für Verarbeitungsvorgänge. Das schafft einen Interessenkonflikt nach Art. 38 Abs. 6 DSGVO, der die Bestellung unwirksam machen kann. Die Funktion des Datenschutzbeauftragten muss unabhängig ausgeübt werden.

Die Kosten hängen vom Umfang der Verarbeitungstätigkeiten, der Einrichtungsgröße und dem vereinbarten Leistungsumfang ab. Für KMU besteht die Möglichkeit, Beratungskosten über das BAFA-Förderprogramm teilweise zu refinanzieren. Ein erstes Gespräch zur Schutzbedarfsfeststellung gibt Aufschluss über den konkreten Bedarf.

Ja. Wer eine Pflegesoftware einsetzt, muss mit dem Anbieter einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abschließen. Die Software muss technische und organisatorische Maßnahmen (TOMs) garantieren: Verschlüsselung, Zugriffsberechtigungskonzept, Datensicherung und protokollierte Zugriffe. Fehlt der AV-Vertrag, handelt es sich bereits um einen DSGVO-Verstoß.

Bei einer Datenschutzverletzung gilt die 72-Stunden-Meldepflicht nach Art. 33 DSGVO gegenüber der zuständigen Aufsichtsbehörde. Besteht ein hohes Risiko für die Betroffenen, müssen auch Patienten oder Angehörige informiert werden (Art. 34 DSGVO). Ein externer Datenschutzbeauftragter definiert den Notfallprozess im Voraus und begleitet die Meldung.

Ja. Die formale Bestellungsurkunde ist ein Standarddokument, das Name, Funktion, Kontaktdaten und Aufgabenbereich des Datenschutzbeauftragten festhält und vom Verantwortlichen unterzeichnet wird. Externe Datenschutzdienstleister wie zweiplus stellen entsprechende Muster zur Verfügung und unterstützen bei der korrekten Ausgestaltung.

SGB XI (Soziale Pflegeversicherung) regelt u. a. die Leistungsabrechnung mit Pflegekassen und die Dokumentationspflichten. Die dabei verarbeiteten Daten – Pflegegrade, Leistungsnachweise, Einstufungsunterlagen – unterliegen neben der DSGVO auch dem Sozialgeheimnis gemäß § 35 SGB I und § 78 SGB X. Ein erfahrener Datenschutzbeauftragter kennt diese Wechselwirkung und stellt sicher, dass die Datenverarbeitung beiden Rechtsrahmen genügt.

Ja. Jede Unternehmenswebsite, die personenbezogene Daten erhebt, benötigt eine Datenschutzerklärung nach Art. 13 DSGVO. Häufige Fehler sind veraltete Erklärungen, fehlende Cookie-Banner oder nicht genannte Auftragsverarbeiter. Für Pflegedienste gilt zusätzlich: Auch die Online-Kommunikation mit Patienten oder Angehörigen muss datenschutzkonform gestaltet sein.

Auftragsverarbeitung liegt vor, wenn ein Pflegedienst personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt – z. B. durch einen Softwareanbieter, eine IT-Firma oder eine Abrechnungsstelle. In diesen Fällen ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO Pflicht. Ohne diesen Vertrag ist die Datenweitergabe rechtswidrig – unabhängig davon, ob der Dienstleister selbst datenschutzkonform arbeitet.

Wenn der interne Datenschutzbeauftragte nicht mehr die erforderliche Fachkunde aktuell halten kann, bei Personalwechsel, bei wachsender Einrichtungsgröße oder nach einer Datenpanne ist ein Wechsel sinnvoll. Ein externer Datenschutzbeauftragter bringt sofort einsetzbare Expertise mit, benötigt keine Einarbeitungszeit und erzeugt keine internen Interessenkonflikte.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.