Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

Die Pflegesoftware ist das Gedächtnis des Pflegedienstes: Stammdaten, Pflegegrade, Diagnosen, Wunddokumentation, Medikation, Touren und Abrechnung, alles liegt in einem System, zunehmend in der Cloud und auf Tablets, die mit auf Tour gehen. Damit ist sie zugleich das datenschutzkritischste System des gesamten Betriebs: Ein falsch gewählter Anbieter, ein lückenhaftes Berechtigungskonzept oder ein verlorenes Tablet treffen sofort die sensibelsten Daten aller Klienten gleichzeitig. Dieser Beitrag liefert die Auswahlkriterien für eine DSGVO-konforme Pflegesoftware, erklärt die Unterschiede zwischen Cloud und eigener Installation, die Regeln für die mobile Dokumentation beim Hausbesuch und die Pflichten bei Einführung und laufendem Betrieb, bis hin zum jährlichen Software-Audit.

Warum die Pflegesoftware das datenschutzkritischste System Ihres Dienstes ist

Pflegesoftware verarbeitet ausschließlich besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, und zwar flächendeckend: jeder Klient, jede Diagnose, jeder Verlauf. Entsprechend hoch sind die Anforderungen an die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, die wir in unserem Beitrag zu den TOMs im Pflegedienst grundsätzlich beschrieben haben; die Software ist der Ort, an dem diese Maßnahmen konkret werden müssen. Ein verbreiteter Irrtum dabei: Mit dem Wechsel in die Cloud wandere die Verantwortung zum Anbieter. Das Gegenteil ist richtig, der Pflegedienst bleibt Verantwortlicher im Sinne der DSGVO; der Anbieter ist Auftragsverarbeiter, der sorgfältig ausgewählt, vertraglich gebunden und kontrolliert werden muss. Aufsichtsbehörden fragen im Prüffall nicht den Hersteller, sondern die Einrichtungsleitung.

Auswahlkriterien: Woran Sie eine DSGVO-konforme Pflegesoftware erkennen

  • AV-Vertrag mit Substanz: Der Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO ist Pflicht und sollte konkret dokumentierte TOMs, eine vollständige, aktuelle Liste der Unterauftragnehmer mit Informations- und Widerspruchsrecht sowie klare Regelungen zu Löschung und Rückgabe nach Vertragsende enthalten. Ein zweiseitiges Pauschaldokument ohne TOMs-Anhang ist ein Warnsignal.
  • Serverstandort und Drittlandfrage:Hosting in der EU mit klar benannten Rechenzentren ist der Standard, an dem sich Anbieter messen lassen müssen. Sitzen Unterauftragnehmer, etwa für Support oder KI-Funktionen, außerhalb der EU, müssen die Voraussetzungen der Art. 44 ff. DSGVO dokumentiert erfüllt sein. Zertifizierungen wie ISO 27001 oder ein BSI-C5-Testat sind keine Pflicht, aber ein belastbares Qualitätssignal.
  • Berechtigungskonzept und Protokollierung: Die Software muss differenzierte Rollen abbilden können: Die Pflegekraft sieht ihre Tour, nicht den Gesamtbestand; die Verwaltung sieht Abrechnung, nicht zwingend Wunddokumentation; Praktikanten erhalten Leserechte auf das Nötigste. Zugriffe und Änderungen werden revisionssicher protokolliert, ohne Protokollierung ist weder die Aufklärung von Vorfällen noch die Abwehr unberechtigter Vorwürfe möglich.
  • Verschlüsselung und Anmeldesicherheit: Transportverschlüsselung ist selbstverständlich, Verschlüsselung der gespeicherten Daten sollte es sein. Für den Zugang gilt: personenbezogene Konten statt Sammellogins, starke Passwörter und Zwei-Faktor-Authentifizierung mindestens für Verwaltungs- und Fernzugriffe.
  • Löschen, Sperren und Exportieren: Die Software muss das Löschkonzept technisch umsetzen können: differenzierte Lösch- und Sperrfunktionen je Datenart statt Alles-oder-nichts, und einen vollständigen, strukturierten Datenexport für den Anbieterwechsel. Wer seine Daten nur als PDF-Sammlung zurückbekommt, sitzt im Vendor-Lock-in, und das wird spätestens beim Wechsel zum Datenschutz- und Versorgungsproblem.

Cloud oder eigene Installation: Was sich datenschutzrechtlich wirklich unterscheidet

Cloud-Lösungen sind nicht per se unsicherer, oft ist das Gegenteil der Fall: Professionelle Rechenzentren patchen schneller und sichern besser als der Server im Abstellraum des Pflegedienstes. Datenschutzrechtlich verschiebt sich vor allem die Aufgabenverteilung. In der Cloud liegt der technische Betrieb beim Anbieter, dafür werden AV-Vertrag, Unterauftragnehmerkette und Drittlandfrage zur zentralen Prüfaufgabe. Bei der Installation im eigenen Haus trägt der Dienst Updates, Backups, Firewall und physische Sicherheit selbst, was kleine Träger regelmäßig überfordert, und sobald der Hersteller oder ein IT-Dienstleister per Fernwartung auf Echtdaten zugreifen kann, entsteht auch hier Auftragsverarbeitung samt Vertragspflicht. Die ehrliche Frage lautet daher nicht „Cloud oder nicht“, sondern: Wer kann die Schutzmaßnahmen verlässlicher betreiben, und ist der Vertragspartner sauber gebunden?

Mobile Dokumentation: Tablets, Offline-Daten und Tourenplanung

Beim Hausbesuch wird die Software mobil, und damit gelten die Regeln der mobilen Arbeit: verwaltete Dienstgeräte mit Verschlüsselung, Bildschirmsperre und Mobile-Device-Management samt Fernlöschung, keine privaten Geräte für die Dokumentation. Besondere Aufmerksamkeit verdient die Offline-Fähigkeit: Damit die Tour auch im Funkloch dokumentiert werden kann, hält die App Daten lokal vor; gute Systeme beschränken das auf die Klienten der aktuellen Tour, verschlüsseln den lokalen Speicher und synchronisieren rückstandsfrei. Ein Tablet mit dem Komplettbestand aller Klienten offline ist dagegen ein vermeidbares Klumpenrisiko.

Die Tourenplanung selbst erzeugt eine zweite Datenkategorie: Standort- und Zeitdaten der Mitarbeiter. Deren Verarbeitung ist auf Toursteuerung und Leistungsnachweise zu begrenzen, transparent zu machen und kurz zu speichern; für die Einzelheiten verweisen wir auf unseren Beitrag zum Beschäftigtendatenschutz im Pflegedienst. Und wenn die Software KI-Funktionen mitbringt, etwa Formulierungshilfen für Pflegeberichte oder selbstoptimierende Touren, kommen die Pflichten der KI-Verordnung hinzu, die wir in einem eigenen Beitrag zur KI-Verordnung in Pflege und Sanitätshaus erklären.

Einführung und Betrieb: Von der Schwellwertanalyse bis zum jährlichen Audit

Die Einführung neuer Pflegesoftware ist ein Datenschutzprojekt mit fester Reihenfolge: Vor dem Echtbetrieb stehen die Datenschutzfolgenabschätzung beziehungsweise mindestens eine dokumentierte Schwellwertanalyse nach Art. 35 DSGVO, der AV-Vertrag, der neue Eintrag im Verzeichnis der Verarbeitungstätigkeiten, die Anpassung der Klienteninformationen nach Art. 13 DSGVO, die geregelte Migration und anschließende Löschung der Altdaten sowie die Schulung des Teams. Besteht ein Betriebsrat oder eine Mitarbeitervertretung, ist er einzubeziehen, sobald die Software Leistungs- oder Verhaltenskontrollen ermöglicht, und das tun Touren- und Zeitdaten praktisch immer.

Mit dem Go-live beginnt die eigentliche Arbeit: Berechtigungen müssen gepflegt werden, insbesondere beim Ausscheiden von Mitarbeitern, deren Konten noch am selben Tag deaktiviert gehören; Protokolle werden stichprobenhaft kontrolliert, Updates zeitnah eingespielt, Unterauftragnehmer-Änderungen des Anbieters geprüft. Bewährt hat sich ein jährliches Software-Audit, das genau diese Punkte systematisch abklopft: Vertrags- und TOMs-Stand, Rollen und verwaiste Konten, Protokollierung, mobile Geräte, Löschfunktionen. So wird aus der einmaligen Auswahlentscheidung ein dauerhaft kontrollierter Betrieb.

Wann externe Unterstützung sinnvoll ist

Anbieterversprechen wie „100 % DSGVO-konform“ sind Marketing, keine Prüfung; ob Vertrag, Technik und Konfiguration tatsächlich passen, zeigt erst der strukturierte Blick in AVV, TOMs, Rollenkonzept und Geräteverwaltung. Genau das leistet das Software-Audit von zweiplus: eine systematische Prüfung Ihrer Pflegesoftware und mobilen Dokumentation anhand der hier beschriebenen Kriterien, mit priorisierter Maßnahmenliste, bei Bedarf als Entscheidungshilfe vor dem Anbieterwechsel oder als Vorbereitung auf die Behördenprüfung. zweiplus betreut bereits über 30 Pflegedienste bundesweit und kennt die gängigen Systeme aus der laufenden Beratung. Für KMU besteht zudem die Möglichkeit, Beratungsleistungen über das Förderprogramm der BAFA bezuschussen zu lassen. Ob eine Förderung in Frage kommt, klären wir im Erstgespräch.

DSGVO-konforme Pflegesoftware ist kein Produktmerkmal, das man kauft, sondern das Ergebnis von drei Schritten: einer Auswahl nach harten Kriterien (AV-Vertrag mit Substanz, EU-Hosting, Berechtigungskonzept, Protokollierung, Verschlüsselung, Lösch- und Exportfähigkeit), einer geordneten Einführung mit Schwellwertanalyse, Verzeichniseintrag und Schulung, und einem kontrollierten Betrieb mit gepflegten Berechtigungen, sicheren mobilen Geräten und jährlichem Audit. Wer diese drei Schritte geht, macht aus dem größten Einzelrisiko des Pflegedienstes sein bestgesichertes System. Wer dabei Unterstützung möchte, findet im Software-Audit von zweiplus den passenden Einstieg. Nehmen Sie Kontakt auf und lassen Sie Ihre Pflegesoftware unverbindlich prüfen.

FAQs – Häufig gestellte Fragen zu Pflegesoftware und Datenschutz

Im Kern fünf Dinge: einen AV-Vertrag nach Art. 28 DSGVO mit dokumentierten TOMs und Unterauftragnehmerliste, Hosting in der EU beziehungsweise eine tragfähige Drittlandlösung, ein differenziertes Rollen- und Berechtigungskonzept mit Protokollierung, Verschlüsselung und Zwei-Faktor-Authentifizierung sowie technische Lösch-, Sperr- und Exportfunktionen zur Umsetzung des Löschkonzepts.

Ja, zwingend, sobald der Anbieter die Daten hostet oder per Support und Fernwartung auf Echtdaten zugreifen kann. Ohne AV-Vertrag ist die Datenübermittlung rechtswidrig, unabhängig davon, wie sicher der Anbieter technisch arbeitet. Der Vertrag sollte TOMs-Anhang, Unterauftragnehmerliste und Regelungen zu Löschung und Rückgabe enthalten.

EU-Hosting ist der Standard, an dem sich Anbieter messen lassen müssen, und die mit Abstand robusteste Lösung. Drittlandtransfers, etwa über US-Unterauftragnehmer, sind nur unter den Voraussetzungen der Art. 44 ff. DSGVO zulässig und müssen dokumentiert geprüft werden; bei Gesundheitsdaten ist hier besondere Sorgfalt geboten.

Ja. Cloud-Lösungen sind zulässig und oft technisch sicherer als der eigene Server, wenn der Anbieter sauber als Auftragsverarbeiter gebunden ist und die TOMs stimmen. Die Verantwortung bleibt allerdings beim Pflegedienst; Auswahl, Vertrag und laufende Kontrolle des Anbieters sind seine Pflicht.

Verwaltete Dienstgeräte mit Verschlüsselung, Bildschirmsperre und Mobile-Device-Management samt Fernlöschung; private Geräte sind für die Dokumentation tabu. Offline-Daten sollten auf die Klienten der aktuellen Tour begrenzt und lokal verschlüsselt sein. Bei Geräteverlust gilt: sofort melden, fernlöschen, Meldepflicht nach Art. 33 DSGVO prüfen.

In der Regel ja, mindestens eine dokumentierte Schwellwertanalyse: Die umfangreiche Verarbeitung von Gesundheitsdaten mit neuer Technologie gehört zu den Fallgruppen des Art. 35 DSGVO. Die Bewertung erfolgt vor dem Echtbetrieb und wird nachvollziehbar dokumentiert.

Ja. Die Informationen nach Art. 13 DSGVO müssen die tatsächlichen Verarbeitungswege und Empfängerkategorien widerspiegeln, also auch den Softwareanbieter als Auftragsverarbeiter. Einer Einwilligung bedarf es für die Dokumentation selbst nicht; Rechtsgrundlage ist die Versorgung.

Vor dem Wechsel: vollständiger, strukturierter Datenexport und Prüfung, dass alle Aufbewahrungspflichten im neuen System oder Archiv abbildbar sind. Nach der Migration: nachweisbare Löschung der Daten beim Altanbieter gemäß AV-Vertrag, inklusive Backups nach deren Zyklus. Exportfähigkeit sollte deshalb schon bei der Auswahl Kriterium sein.

Vertrags- und TOMs-Stand des Anbieters, Unterauftragnehmerkette und Drittlandfragen, Rollen- und Berechtigungskonzept inklusive verwaister Konten, Protokollierung, Anmeldesicherheit, mobile Geräte und Offline-Daten, Lösch- und Exportfunktionen sowie die Dokumentation von Schwellwertanalyse und Verzeichniseintrag. Ergebnis ist eine priorisierte Maßnahmenliste.

Vor jeder Anbieterauswahl oder einem Wechsel, bei der Einführung mobiler Dokumentation und spätestens, wenn die letzte systematische Prüfung der laufenden Software länger als ein Jahr zurückliegt. Das Software-Audit von zweiplus liefert die strukturierte Bewertung samt Maßnahmenplan und kann über das BAFA-Förderprogramm bezuschusst werden.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.