Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

Externer Datenschutzbeauftragter Sanitätshaus – Pflicht oder Kür?

27.03.2026 von Dominic

Sanitätshäuser stehen an der Schnittstelle zwischen dem Gesundheitswesen und dem Einzelhandel. Sie beliefern Kunden mit Hilfsmitteln, verarbeiten ärztliche Verordnungen, rechnen mit gesetzlichen und privaten Krankenversicherungen ab und beraten Menschen mit körperlichen Einschränkungen oder chronischen Erkrankungen. All das geht zwingend mit der Verarbeitung hochsensibler Gesundheitsdaten einher – und damit mit datenschutzrechtlichen Pflichten, die viele Sanitätshäuser noch nicht vollständig umgesetzt haben. Ob ein externer Datenschutzbeauftragter (DSB) Pflicht ist, was ein solcher im Sanitätshaus konkret leistet und warum sich die Bestellung für nahezu jede Einrichtung lohnt, erklärt dieser Beitrag.

Welche Daten verarbeitet ein Sanitätshaus – und warum ist das datenschutzrechtlich relevant?

Auf den ersten Blick erscheint ein Sanitätshaus wie ein Fachhandelsgeschäft. Auf den zweiten Blick zeigt sich: Fast jede Transaktion ist mit der Verarbeitung personenbezogener Daten verbunden – und ein erheblicher Teil davon gehört zu den besonderen Kategorien nach Art. 9 Abs. 1 DSGVO.

  • Ärztliche Verordnungen: Jede Hilfsmittelversorgung – ob Rollstuhl, Kompressionsstrumpf, Prothese oder Inkontinenzartikel – basiert auf einer ärztlichen Verordnung. Diese Verordnung enthält Diagnosen, Indikationen und Informationen über den Gesundheitszustand des Patienten. Sie ist eindeutig ein Gesundheitsdatum im Sinne der DSGVO.
  • Krankenkassen- und Versicherungsdaten: Die Abrechnung von Hilfsmitteln mit der GKV oder PKV erfordert die Verarbeitung von Versichertendaten, Krankenkassen-IDs und Abrechnungskennziffern. Auch diese Daten stehen in unmittelbarem Zusammenhang mit dem Gesundheitszustand des Versicherten.
  • Maß- und Anpassungsdaten: Für individuelle Hilfsmittelversorgungen – orthopädische Einlagen, maßgefertigte Kompressionsversorgungen, Prothesenanpassungen – werden körperliche Maße und funktionelle Daten erhoben. Auch das sind Gesundheitsdaten, die besonderen Schutz genießen.
  • Kundendaten im Folgegeschäft: Viele Sanitätshäuser führen Kundendateien, in denen vergangene Versorgungen, Präferenzen und Anpassungsdetails dokumentiert sind. Das erleichtert Folgeversorgungen – schafft aber gleichzeitig ein Archiv sensibler Gesundheitsinformationen, für das klare Schutzmaßnahmen und Löschfristen gelten müssen.

Zusammengenommen bedeutet das: Ein Sanitätshaus verarbeitet im normalen Geschäftsbetrieb regelmäßig und umfangreich Gesundheitsdaten nach Art. 9 DSGVO. Die rechtliche Folge ist eindeutig.

Wann ist ein Datenschutzbeauftragter im Sanitätshaus Pflicht?

Die Bestellpflicht ergibt sich aus Art. 37 Abs. 1 lit. c DSGVO: Verantwortliche, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO besteht, sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Ein Sanitätshaus, das täglich Verordnungen, Krankenkassendaten und Maßdaten verarbeitet, erfüllt dieses Kriterium in der Regel.

Ergänzend greift § 38 BDSG-n: Beschaeftigt ein Unternehmen mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, besteht ebenfalls eine Bestellpflicht. Mittelgroße und größere Sanitätshäuser mit mehreren Filialen oder einem Fachpersonal, das digitale Warenwirtschafts- und Abrechnungssysteme nutzt, erreichen diese Schwelle regelmäßig.

Auch Sanitätshäuser, die unterhalb dieser Schwellen liegen, sollten die Frage nicht vorschnell verneinen. Wer über eine digitale Kundendatenbank verfügt, Abrechnungen elektronisch mit Krankenversicherungen austauscht oder eine Warenwirtschaft mit Patientenbezug betreibt, verarbeitet Gesundheitsdaten in einem Umfang, der die Bestellpflicht auslösen kann. Im Zweifel klärt eine Schutzbedarfsfeststellung, ob eine Pflicht besteht.

Konsequenz bei Nichtbestellung: Wer trotz bestehender Pflicht keinen Datenschutzbeauftragten bestellt, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Darüber hinaus kann die Aufsichtsbehörde bestimmte Verarbeitungsvorgänge untersagen – mit unmittelbaren Folgen für den Geschäftsbetrieb.

Interner oder externer Datenschutzbeauftragter: Was ist für Sanitätshäuser sinnvoll?

Grundsätzlich kann ein Sanitätshaus sowohl einen internen als auch einen externen Datenschutzbeauftragten bestellen. In der Praxis spricht für die meisten Sanitätshäuser vieles für die externe Lösung.

Interner Datenschutzbeauftragter

Ein Mitarbeiter wird zur internen DSB-Person ernannt. Voraussetzung ist eine nachgewiesene Fachkunde im Datenschutzrecht und in der Informationstechnologie gemaß Art. 37 Abs. 5 DSGVO. Das Problem: Im Sanitätshaus gibt es selten eine Person, die diese Qualifikation mitbringt und gleichzeitig keine Interessenkonflikte hat. Eine Geschäftsführerin oder ein Geschäftsführer kann nicht gleichzeitig DSB sein. Ein Mitarbeiter, der in der Abrechnung oder im Kundendienst tätig ist, trägt bereits Verantwortung für Verarbeitungsvorgänge – was die Unabhängigkeit des DSB gefährden kann.

Externer Datenschutzbeauftragter

Ein spezialisierter Dienstleister übernimmt die Funktion des Datenschutzbeauftragten auf vertraglicher Basis. Die Fachkunde ist durch anerkannte Zertifizierungen nachgewiesen. Kein Kündigungsschutzproblem, keine internen Interessenkonflikte, kein Weiterbildungsaufwand. Ein externer Datenschutzbeauftragter mit Erfahrung im Gesundheitswesen und Hilfsmittelbereich kennt die typischen Verarbeitungsprozesse im Sanitätshaus und bringt Muster und Vorlagen – etwa für die Bestellung des Datenschutzbeauftragten, Verträge zur Auftragsverarbeitung oder die Datenschutzinformation für Kunden – direkt mit.

zweiplus übernimmt genau diese Funktion – TÜV-zertifiziert, mit nachgewiesener Branchenerfahrung im Gesundheitswesen und einem strukturierten Onboarding für neue Mandate. Weitere Informationen finden Sie hier.

Typische Datenschutzrisiken im Sanitätshaus

Die Kombination aus Gesundheitsdaten, Kassensystemen, Lieferantennetzwerken und digitalem Kundenmanagement erzeugt im Sanitätshaus ein spezifisches Risikoprofil, das sich von anderen Einzelhandelsunternehmen deutlich unterscheidet.

  • Digitale Rezeptverarbeitung und Krankenkassenabrechnung: Die elektronische Übermittlung von Verordnungen und Abrechnungsdaten an Krankenkassen ist Alltag. Dabei werden Gesundheitsdaten über externe Systeme und Dienstleister verarbeitet – in der Regel ohne dass ein gültiger Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO vorliegt. Das ist ein verbreiteter und schwerwiegender Datenschutzverstoß.
  • Lieferanten- und Herstelleranbindung: Viele Sanitätshäuser tauschen im Rahmen der Hilfsmittelversorgung Daten mit Herstellern oder Lieferanten aus – etwa für individuelle Anfertigungen oder Garantieverarbeitungen. Auch hier ist zu prüfen, ob eine Auftragsverarbeitung vorliegt und entsprechende Verträge existieren.
  • Kassensysteme und Cloud-Lösungen: Moderne Warenwirtschaftssysteme im Sanitätshaus speichern Kundendaten, Versorgungshistorien und Abrechnungsinformationen häufig in der Cloud. Wenn der Anbieter dieser Software als Auftragsverarbeiter agiert – was in der Regel der Fall ist – muss ein AV-Vertrag abgeschlossen sein. Fehlt er, ist jede Datenübertragung an den Softwareanbieter rechtswidrig.
  • Datenschutzerklärung und Website: Viele Sanitätshäuser betreiben eine Website mit Kontaktformularen, Online-Terminbuchung oder Produktkatalog. Die Datenschutzerklärung ist häufig veraltet, unvollständig oder entspricht nicht den Anforderungen des TDDDG (seit Mai 2024). Das ist ein eigenständiger Verstoß, der von Wettbewerbern abgemahnt werden kann.
  • Physische Sicherheit im Ladengeschäft: Verordnungen und Kundendaten in Papierform, offen zugängliche Theken mit Kundendaten, Bildschirme, die von Dritten eingesehen werden können – im Ladengeschäft gibt es viele Schwachstellen, die einfach zu beheben sind, aber regelmäßig beanstandet werden.

Auftragsverarbeitung: Besondere Relevanz für Sanitätshäuser

Kaum ein Geschäftsbereich des Sanitätshauses kommt ohne externe Dienstleister aus, die Zugang zu Kundendaten haben. Warenwirtschaftssysteme, Abrechnungsdienstleister, Krankenkassen-Schnittstellen, IT-Dienstleister, Hersteller für individuelle Anfertigungen – sie alle können als Auftragsverarbeiter einzustufen sein. Mit jedem von ihnen muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen sein.

In der Praxis fehlen diese Verträge in vielen Sanitätshäusern vollständig oder sind seit Jahren nicht aktualisiert worden. Besonders kritisch: Wenn ein Abrechnungsdienstleister oder Softwareanbieter seine Systeme in einem Drittland außerhalb der EU betreibt, sind zusätzlich die Anforderungen der Art. 44 ff. DSGVO für Drittlandtransfers zu prüfen. Ein externer Datenschutzbeauftragter inventarisiert alle Auftragsverarbeiter, prüft bestehende Verträge und identifiziert Lücken.

Darüber hinaus ist zu prüfen, ob die Krankenkassen selbst als Auftragsverarbeiter oder als eigenständig Verantwortliche einzustufen sind. Die rechtliche Einordnung hängt von der konkreten Ausgestaltung des Datenflusses ab und hat unmittelbare Konsequenzen für die Vertragsgestaltung. Ein erfahrener Datenschutzbeauftragter klärt diese Frage und dokumentiert die Einordnung im Verzeichnis der Verarbeitungstätigkeiten.

Was ein externer Datenschutzbeauftragter für das Sanitätshaus konkret leistet

Die Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO sind auch im Sanitätshaus verbindlich. In der Praxis bedeutet das:

  • Schutzbedarfsfeststellung und Ist-Analyse: Zu Beginn des Mandats analysiert der Datenschutzbeauftragte alle Verarbeitungsprozesse im Sanitätshaus – von der Rezeptannahme bis zur Abrechnung, vom Kundenmanagementsystem bis zur Website. Ergebnis ist eine vollständige Übersicht der Verarbeitungstätigkeiten und eine Bewertung des Schutzbedarfs.
  • Verzeichnis der Verarbeitungstätigkeiten: Gemäß Art. 30 DSGVO muss jedes Unternehmen ein aktuelles Verzeichnis aller Datenverarbeitungsvorgänge führen. Der Datenschutzbeauftragte erstellt und pflegt dieses Verzeichnis – vollständig und in einer Form, die bei behördlichen Prüfungen vorzeigbar ist.
  • AV-Verträge mit allen Dienstleistern: Der Datenschutzbeauftragte erstellt eine vollständige Liste aller Auftragsverarbeiter, prüft bestehende Verträge auf Konformität und schließt fehlende Vereinbarungen ab. Das betrifft insbesondere Software-Anbieter, Abrechnungsdienstleister und IT-Dienstleister.
  • Technische und organisatorische Maßnahmen: Der Datenschutzbeauftragte bewertet, ob die TOMs im Sanitätshaus dem Risiko der Verarbeitung von Gesundheitsdaten angemessen sind, und empfiehlt konkrete Verbesserungen – von der Bildschirmsicherung an der Verkaufstheke bis zur Verschlüsselung von Kundendatenbanken.
  • Datenschutzerklärung und Website-Compliance: Der Datenschutzbeauftragte überprüft die Datenschutzerklärung auf Vollständigkeit und Aktualität, prüft das Cookie-Management nach TDDDG und stellt sicher, dass Online-Kontaktformulare und Terminbuchungssysteme DSGVO-konform eingebunden sind.
  • Schulung der Mitarbeiter: Mitarbeiter, die täglich mit Verordnungen, Krankenkassendaten und Kundendateien arbeiten, müssen gemäß Art. 39 Abs. 1 lit. b DSGVO regelmäßig über ihre Datenschutzpflichten unterwiesen werden. Der Datenschutzbeauftragte organisiert und dokumentiert diese Schulungen.

Fazit: Für Sanitätshäuser ist der externe Datenschutzbeauftragte fast immer Pflicht – und immer sinnvoll

Die Frage, ob ein externer Datenschutzbeauftragter für das Sanitätshaus Pflicht oder Kür ist, lässt sich für die meisten Einrichtungen klar beantworten: Pflicht. Wer regelmäßig ärztliche Verordnungen, Krankenkassendaten und Maßdaten verarbeitet, erfüllt das Kriterium der umfangreichen Verarbeitung von Gesundheitsdaten nach Art. 37 Abs. 1 lit. c DSGVO.

Doch auch dort, wo die Bestellpflicht rechtlich noch diskutiert werden könnte, überwiegen die Argumente für eine externe Lösung: Ein Datenschutzbeauftragter mit Branchenerfahrung im Gesundheits- und Hilfsmittelbereich identifiziert Risiken, schließt Lücken in der AV-Vertragslandschaft, schützt vor Büßgeldforderungen und stellt sicher, dass das Sanitätshaus bei behördlichen Prüfungen und in der Zusammenarbeit mit Krankenkassen und Kooperationspartnern professionell aufgestellt ist.

zweiplus betreut Sanitätshäuser und Unternehmen im Gesundheitswesen als externer Datenschutzbeauftragter – TÜV-zertifiziert, mit nachgewiesener Erfahrung in der Branche und einem strukturierten Onboarding, das alle Pflichtdokumente von Beginn an vollständig abdeckt. Nehmen Sie Kontakt auf und lassen Sie Ihre Datenschutzsituation unverbindlich prüfen.

FAQs – Häufig gestellte Fragen zum Datenschutzbeauftragten im Sanitätshaus

In den meisten Fällen ja. Da Sanitätshäuser im normalen Geschäftsbetrieb regelmäßig Gesundheitsdaten verarbeiten – ärztliche Verordnungen, Abrechnungsdaten, Maßdaten – greift Art. 37 Abs. 1 lit. c DSGVO. Zusätzlich besteht ab 20 Personen in der automatisierten Datenverarbeitung eine Pflicht nach § 38 BDSG-n. Im Zweifel klärt eine Schutzbedarfsfeststellung den konkreten Bedarf.

Im Sanitätshaus fallen regelmäßig Gesundheitsdaten nach Art. 9 DSGVO an: ärztliche Verordnungen mit Diagnosen, Krankenkassendaten mit Bezug zur Erkrankung oder Einschränkung, körperliche Maßdaten für individuelle Hilfsmittelversorgungen sowie Kundendateien mit Versorgungshistorie. All diese Daten unterliegen dem erhöhten Schutzniveau der DSGVO.

Das hängt von der konkreten Ausgestaltung des Datenflusses ab. Handeln die Krankenkassen als eigenständig Verantwortliche – was bei der Abrechnung oft der Fall ist – ist kein AV-Vertrag, sondern ein Datenübermittlungsvertrag erforderlich. Mit Softwareanbietern und Abrechnungsdienstleistern, die im Auftrag des Sanitätshauses Daten verarbeiten, ist hingegen ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zwingend.

Die Datenschutzerklärung muss gemäß Art. 13 DSGVO über Zweck und Rechtsgrundlage der Datenverarbeitung, Speicherdauer, Auftragsverarbeiter, Betroffenenrechte und Kontaktdaten des Datenschutzbeauftragten informieren. Für die Website gelten seit Mai 2024 zusätzlich die Anforderungen des TDDDG hinsichtlich Cookie-Management und Einwilligungsgestaltung.

Wer trotz bestehender Pflicht keinen Datenschutzbeauftragten bestellt, begeht einen eigenständigen DSGVO-Verstoß. Die Aufsichtsbehörde kann Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes verhängen, Verwarnungen aussprechen und bestimmte Verarbeitungsvorgänge untersagen.

Durch eine Kombination aus technischen und organisatorischen Maßnahmen: Bildschirme an der Verkaufstheke sollten nicht von Dritten einsehbar sein (Blickschutzfolien), Papierverordnungen müssen sicher aufbewahrt und zeitnah digitalisiert oder vernichtet werden, Kundendateien müssen in abgeschlossenen Bereichen gelagert werden, und alle Mitarbeiter müssen auf Vertraulichkeit verpflichtet sein.

Ja. Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) gilt seit Mai 2024 für alle Websites, die in Deutschland betrieben werden. Auch die Website eines Sanitätshauses muss ein rechtsgemäßes Cookie-Management vorweisen, wenn sie Analysetools, eingebettete Karten oder ähnliche nicht technisch notwendige Elemente einsetzt.

Ja, wenn das Sanitätshaus als KMU eingestuft ist. Über das BAFA-Förderprogramm für Unternehmensberatungen können Beratungsleistungen im Bereich Datenschutz teilweise bezuschusst werden. zweiplus ist bei der BAFA als förderfähige Unternehmensberatung gelistet und unterstützt bei der Antragstellung.

Ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) wird mit Dienstleistern geschlossen, die Daten im Auftrag des Sanitätshauses verarbeiten – also weisungsgebunden handeln. Ein Datenübermittlungsvertrag wird benötigt, wenn Daten an einen eigenständig Verantwortlichen weitergegeben werden, der die Daten für eigene Zwecke nutzt. Die richtige Einordnung ist entscheidend für die korrekte Vertragsgestaltung und muss für jeden Dienstleister individuell geprüft werden.

Je nach Ausgangszustand und Größe der Einrichtung sind für die initiale Aufstellung – Schutzbedarfsfeststellung, Erstellung aller Pflichtdokumente, AV-Verträge, erste Mitarbeiterschulung – in der Regel mehrere Wochen einzuplanen. Der laufende Betrieb ist anschließend deutlich weniger aufwendig und wird vom externen Datenschutzbeauftragten im Rahmen des laufenden Mandats begleitet.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.