Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

Risikominimierung Datenschutz Pflegedienst – TOMs richtig umsetzen

27.03.2026 von Dominic

Datenschutz in der Pflege ist mehr als das Ausfüllen von Formularen und das Abschließen von Verträgen. Die DSGVO verlangt konkrete Schutzmaßnahmen, die im Pflegealltag tatsächlich wirksam sind – technisch wie organisatorisch. Diese sogenannten technischen und organisatorischen Maßnahmen, kurz TOMs, sind keine optionale Ergänzung, sondern eine gesetzliche Pflicht mit direktem Zusammenhang zu Bußgeldern und Haftungsrisiken. Wer sie richtig umsetzt, minimiert das Risiko von Datenpannen, Bußgeldforderungen und Reputationsschäden gleichermaßen.

Was sind TOMs und warum sind sie im Pflegedienst besonders wichtig?

Technische und organisatorische Maßnahmen (TOMs) sind alle Vorkehrungen, die ein Pflegedienst ergreift, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Veränderung oder Zerstörung zu schützen. Die Pflicht zur Umsetzung ergibt sich aus Art. 32 DSGVO, der verlangt, dass der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ trifft, um „ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Das Schlüsselwort ist „angemessen“: Was angemessen ist, hängt vom Risiko der Verarbeitung ab. Und bei Pflegediensten ist dieses Risiko strukturell hoch – weil Gesundheitsdaten nach Art. 9 DSGVO die sensibelste Datenkategorie darstellen, weil viele Mitarbeiter mobil im Außendienst arbeiten, weil Daten täglich zwischen Pflegekräften, Software-Systemen, Ärzten und Krankenkassen fließen und weil die Betroffenen oft vulnerable Personen sind, für die ein Datenmissbrauch besonders gravierende Folgen hätte.

Das bedeutet: Der TOM-Standard für einen Pflegedienst ist höher als für ein Unternehmen, das nur Kontaktdaten verarbeitet. Wer seine TOMs am Mindeststandard ausrichtet, ohne das spezifische Risikoprofil eines Pflegedienstes zu berücksichtigen, bewegt sich auf dünnem Eis. Aufsichtsbehörden prüfen TOMs im Pflegebereich zunehmend streng.

Technische Maßnahmen: Was Pflegedienste konkret umsetzen müssen

  • Verschlüsselung: Alle Geräte, auf denen Patientendaten gespeichert oder verarbeitet werden, müssen verschlüsselt sein. Das gilt für Diensthandys und Tablets im Außendienst ebenso wie für Laptops in der Verwaltung und Server, auf denen Pflegedokumentation gespeichert ist. Die Übertragung von Patientendaten muss über verschlüsselte Kanäle (TLS/HTTPS) erfolgen. Fehlt die Verschlüsselung, ist jeder Geräteverlust automatisch eine meldepflichtige Datenpanne mit hohem Risiko für die Betroffenen.
  • Fernlöschung und Mobile Device Management: Mobile Endgeräte im Pflegealltag müssen über eine Fernlöschfunktion verfügen. So können Daten bei Verlust oder Diebstahl aus der Ferne gelöscht werden, bevor Unbefugte darauf zugreifen können. Ein Mobile Device Management (MDM)-System erlaubt darüber hinaus, Geräte zentral zu verwalten, Sicherheitsupdates aufzuspielen und den Zugriff auf dienstliche Anwendungen zu kontrollieren.
  • Zugriffsschutz und Authentifizierung: Sämtliche Systeme, die Patientendaten enthalten, müssen durch sichere Authentifizierungsverfahren geschützt sein. Einfache Passwörter wie „1234“ oder der Name der Einrichtung sind keine geeigneten Maßnahmen. Empfohlen wird die Zwei-Faktor-Authentifizierung für alle Systeme mit Zugang zu Gesundheitsdaten. Gemeinsam genutzte Passwörter – ein in der Pflege weit verbreitetes Problem – sind datenschutzrechtlich unzulässig.
  • Protokollierung und Auditierbarkeit: Zugriffe auf Patientendaten in digitalen Systemen müssen protokolliert werden. Nur so kann im Ernstfall nachgewiesen werden, wer wann auf welche Daten zugegriffen hat. Protokolle sind auch entscheidend, um unbefugte interne Zugriffe überhaupt zu erkennen. Die Protokolldaten selbst sind personenbezogene Daten und müssen ihrerseits geschützt werden.
  • Datensicherung und Wiederherstellbarkeit: Art. 32 Abs. 1 lit. c DSGVO verlangt ausdrücklich die Fähigkeit, „die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“. Für Pflegedienste bedeutet das: regelmäßige, getestete Backups – idealerweise nach der 3-2-1-Regel (drei Kopien, zwei unterschiedliche Medien, eine Kopie außerhalb des Gebäudes). Ein Backup, das nie getestet wurde, ist kein zuverlässiger Schutz.
  • Physische Zugangssicherung: Serverräume, Archivräume und Büros, in denen Patientenakten aufbewahrt werden, müssen gegen unbefugten Zugang gesichert sein. Abschließbare Räume, Besucher-Einlasskontrollen und klar geregelte Reinigungszeiten sind einfache, aber wirksame Maßnahmen. Papierakten, die öffentlich zugänglich abgelegt sind, werden von Aufsichtsbehörden regelmäßig beanstandet.

Organisatorische Maßnahmen: Der menschliche Faktor

Technische Maßnahmen schützen nur so weit, wie die Menschen, die mit den Systemen arbeiten, sie kennen und einhalten. Der größte Risikofaktor in Pflegediensten ist nicht die fehlende Technik, sondern das fehlende Bewusstsein. Organisatorische Maßnahmen adressieren genau das.

Zugriffsberechtigungskonzept: Nicht jeder Mitarbeiter darf auf alle Patientendaten zugreifen. Ein differenziertes Berechtigungskonzept legt fest, wer welche Daten für welche Aufgabe benötigt – und beschränkt den Zugriff entsprechend. Pflegekräfte sehen die Daten ihrer Patienten, nicht die aller anderen. Verwaltungsmitarbeiter sehen Abrechnungsdaten, aber keine medizinischen Details. Das Konzept muss schriftlich dokumentiert und regelmäßig aktualisiert werden.

Verpflichtung auf Vertraulichkeit: Alle Mitarbeiter, die mit Patientendaten in Berührung kommen, müssen auf die Vertraulichkeit dieser Daten verpflichtet werden – schriftlich und nachweisbar. Diese Verpflichtung sollte bei Einstellung und bei jeder relevanten Änderung erneuert werden. Sie gilt auch für externe Dienstleister wie Reinigungskräfte oder Wartungstechniker, die Zugang zu Räumen mit Patientendaten haben.

Regelmäßige Datenschutzschulungen: Art. 39 Abs. 1 lit. b DSGVO verpflichtet den Datenschutzbeauftragten zur Sensibilisierung der Mitarbeiter. In der Praxis bedeutet das: Datenschutzunterweisungen mindestens einmal jährlich, bei neuen Mitarbeitern unmittelbar nach der Einstellung, und anlassbezogen bei Änderungen in Prozessen oder Systemen. Inhalte: sicherer Umgang mit mobilen Endgeräten, korrekte Kommunikation von Patientendaten, Erkennen und Melden von Datenpannen.

Klare Richtlinien für die mobile Arbeit: Pflegekräfte im Außendienst sind besonders exponiert. Verbindliche Richtlinien müssen regeln: Welche Apps dürfen auf Dienstgeräten installiert werden? Darf das Diensthandy privat genutzt werden? Wie werden Patientendaten im Außendienst dokumentiert und übermittelt? Was ist bei Verlust eines Geräts sofort zu tun? Diese Richtlinien müssen schriftlich vorliegen, kommuniziert und nachweisbar bestätigt werden.

Datenschutzfreundliche Voreinstellungen (Privacy by Default): Art. 25 Abs. 2 DSGVO verlangt, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Für Pflegedienste bedeutet das: Neue Software sollte nicht mit maximalen Zugriffsrechten für alle starten. Formulare sollten nur die Felder enthalten, die tatsächlich benötigt werden. Der Datenschutz muss von Anfang an – „privacy by design“ – mitgedacht werden.

TOMs dokumentieren: Was viele Pflegedienste vergessen

Technische und organisatorische Maßnahmen müssen nicht nur umgesetzt, sondern auch schriftlich dokumentiert sein. Diese Dokumentation ist Teil des Rechenschaftsprinzips nach Art. 5 Abs. 2 DSGVO: Der Verantwortliche muss nicht nur die DSGVO einhalten, sondern ihre Einhaltung auch nachweisen können. Eine Aufsichtsbehörde, die eine TOM-Dokumentation anfordert und keine erhält, kann das als eigenständigen Verstoß werten.

Die TOM-Dokumentation ist kein einmaliges Projekt, sondern ein lebendes Dokument. Jede Änderung in der IT-Infrastruktur, jede neue Software, jeder neue Dienstleister – all das muss sich in der TOM-Dokumentation niederschlagen. In der Praxis empfiehlt sich eine jährliche strukturierte Überprüfung aller dokumentierten Maßnahmen, ergänzt durch anlassbezogene Aktualisierungen.

Die TOM-Dokumentation ist auch Bestandteil der Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO: Wenn ein Pflegesoftware-Anbieter als Auftragsverarbeiter eingebunden ist, muss er im AV-Vertrag nachweisen, welche TOMs er seinerseits einsetzt. Wer als Pflegedienst keine eigene TOM-Dokumentation hat, kann auch die Angemessenheit der Maßnahmen seiner Auftragsverarbeiter nicht sinnvoll beurteilen.

Auftragsverarbeitung und TOMs: Die Verantwortung gegenüber Dienstleistern

Ein Pflegedienst, der externe Dienstleister nutzt – Pflegesoftware-Anbieter, IT-Firmen, Cloud-Lösungen, Abrechnungsdienstleister – bleibt für den Datenschutz verantwortlich. Die Pflicht zur Auftragsverarbeitung nach Art. 28 DSGVO verlangt, dass der Auftragsverarbeiter „hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden“, dass die Verarbeitung DSGVO-konform ist.

Das bedeutet, ein Pflegedienst muss die TOMs seiner Dienstleister kennen und beurteilen können. Ein AV-Vertrag, der TOMs pauschal zusichert, ohne sie zu benennen, genügt den Anforderungen nicht. Der externe Datenschutzbeauftragte prüft AV-Verträge auf TOM-Vollständigkeit und fordert bei Bedarf Nachbesserung ein.

Besonders relevant: Wenn ein Pflegesoftware-Anbieter seine Server in einem Drittland außerhalb der EU betreibt, müssen zusätzliche Garantien nach Art. 46 DSGVO vorliegen – etwa Standardvertragsklauseln. Auch das ist Teil der TOM-Prüfung und wird von Aufsichtsbehörden zunehmend kontrolliert.

zweiplus prüft für Pflegedienste alle bestehenden AV-Verträge auf TOM-Konformität, identifiziert Lücken und unterstützt bei der Nachverhandlung.

Die Rolle des externen Datenschutzbeauftragten bei der TOM-Umsetzung

Der externe Datenschutzbeauftragte ist nach Art. 39 DSGVO nicht nur beratend tätig, sondern überwacht aktiv die Einhaltung der Datenschutzvorschriften – einschließlich der TOMs. Er bewertet, ob die umgesetzten Maßnahmen dem Risiko der Verarbeitung angemessen sind, identifiziert Lücken und empfiehlt konkrete Verbesserungen.

In der Praxis bedeutet das für Pflegedienste: Der Datenschutzbeauftragte erstellt oder aktualisiert die TOM-Dokumentation, begleitet die Einführung neuer Software oder Systeme aus datenschutzrechtlicher Perspektive, führt Datenschutzfolgenabschätzungen durch, wenn das Risiko hoch ist, und schult Mitarbeiter gezielt zu den relevanten Maßnahmen.

Darüber hinaus ist der Datenschutzbeauftragte Ansprechpartner für Mitarbeiter, die unsicher sind, ob eine bestimmte Handlung datenschutzrechtlich zulässig ist. Diese präventive Beratungsfunktion ist eine der wirksamsten Maßnahmen zur Risikominimierung überhaupt: Probleme werden erkannt, bevor sie zu Datenpannen werden. zweiplus übernimmt diese Funktion für Pflegedienste bundesweit – TÜV-zertifiziert und mit nachgewiesener Branchenerfahrung.

Fazit: TOMs sind keine Einmalaufgabe, sondern laufende Verantwortung

Technische und organisatorische Maßnahmen sind das operative Herzstück des Datenschutzes im Pflegedienst. Sie übersetzen rechtliche Anforderungen in konkrete Handlungen – von der Geräteverschlüsselung über das Berechtigungskonzept bis zur jährlichen Mitarbeiterschulung. Wer TOMs nur auf dem Papier hat, aber nicht im Alltag lebt, hat keinen echten Datenschutz – und kein belastbares Argument gegenüber einer Aufsichtsbehörde.

Die gute Nachricht: Mit dem richtigen Datenschutzbeauftragten an der Seite ist die Umsetzung keine überwältigende Aufgabe. TOMs werden strukturiert erhoben, dokumentiert, regelmäßig überprüft und bei Bedarf angepasst – eingebettet in ein Datenschutzmanagementsystem, das den laufenden Betrieb nicht bremst, sondern absichert.

zweiplus begleitet Pflegedienste bei der vollständigen Umsetzung technischer und organisatorischer Maßnahmen – von der Erstanalyse bis zur laufenden Pflege der Dokumentation. Nehmen Sie Kontakt auf und lassen Sie Ihre Datenschutzsituation unverbindlich prüfen.

FAQs – Häufig gestellte Fragen zu TOMs und Risikominimierung im Pflegedienst

TOMs sind alle Vorkehrungen, die ein Pflegedienst trifft, um personenbezogene Daten zu schützen. Die Pflicht ergibt sich aus Art. 32 DSGVO. Technische Maßnahmen umfassen z. B. Verschlüsselung, Zugriffsschutz und Datensicherung. Organisatorische Maßnahmen umfassen z. B. Berechtigungskonzepte, Vertraulichkeitsverpflichtungen und Schulungen.

Ja. Das Rechenschaftsprinzip nach Art. 5 Abs. 2 DSGVO verlangt, dass die Einhaltung der DSGVO nachgewiesen werden kann. Eine undokumentierte Maßnahme existiert aus behördlicher Sicht faktisch nicht. Die TOM-Dokumentation muss aktuell gehalten und auf Anfrage der Aufsichtsbehörde vorgelegt werden können.

Mindestens einmal jährlich sowie anlassbezogen bei Änderungen in der IT-Infrastruktur, bei Einführung neuer Software oder bei Änderungen in Verarbeitungsprozessen. TOMs sind kein einmaliges Projekt, sondern ein laufendes Managementinstrument.

Ein Zugriffsberechtigungskonzept legt fest, wer im Pflegedienst auf welche Daten zugreifen darf. Es ist Bestandteil der Pflicht zu geeigneten TOMs nach Art. 32 DSGVO und setzt das Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) um. Ja, es ist Pflicht – und muss schriftlich dokumentiert sein.

Nein, nicht für die Übermittlung von Patientendaten. WhatsApp überträgt Metadaten an Meta und bietet keinen AV-Vertrag nach Art. 28 DSGVO an. Die Nutzung privater Messenger für Patientendaten ist ein DSGVO-Verstoß. Pflegedienste müssen datenschutzkonforme, dienstlich verwaltete Kommunikationslösungen bereitstellen und deren Nutzung verbindlich vorgeben.

Privacy by Design (Art. 25 Abs. 1 DSGVO) bedeutet, Datenschutz von Anfang an in neue Prozesse und Systeme einzuplanen. Privacy by Default (Art. 25 Abs. 2 DSGVO) bedeutet, dass Systeme so voreingestellt sein müssen, dass standardmäßig nur die Daten verarbeitet werden, die für den jeweiligen Zweck benötigt werden. Beide Prinzipien sind gesetzlich verpflichtend und müssen bei jeder Neu- oder Änderungseinführung berücksichtigt werden.

Die Aufsichtsbehörde kann Auflagen erteilen, die Verarbeitung einschränken oder untersagen und ein Bußgeld verhängen. Der Bußgeldrahmen bei Verstößen gegen Art. 32 DSGVO liegt bei bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Gleichzeitig erhöht sich bei unzureichenden TOMs das Haftungsrisiko gegenüber betroffenen Patienten nach Art. 82 DSGVO.

Ja. Gemäß Art. 28 Abs. 1 DSGVO darf ein Pflegedienst nur Auftragsverarbeiter einsetzen, die „hinreichende Garantien“ für geeignete TOMs bieten. Im AV-Vertrag müssen die TOMs des Dienstleisters konkret benannt sein. Ein pauschaler Hinweis auf DSGVO-Konformität reicht nicht aus.

Eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO ist durchzuführen, wenn eine neue Verarbeitung ein hohes Risiko für die Betroffenen birgt. Im Rahmen der DSFA werden auch die geplanten TOMs bewertet – ob sie das Risiko auf ein akzeptables Niveau senken. Bei Pflegediensten ist eine DSFA insbesondere bei der Einführung neuer Pflegesoftware, KI-gestützter Systeme oder biometrischer Zugangssicherung erforderlich.

zweiplus erhebt im Rahmen der Schutzbedarfsfeststellung den vollständigen TOM-Ist-Zustand, identifiziert Lücken und entwickelt gemeinsam mit der Einrichtungsleitung einen praxistauglichen Maßnahmenplan. Die TOM-Dokumentation wird erstellt, in das Datenschutzmanagementsystem eingebettet und regelmäßig aktualisiert. Das alles ist Bestandteil des laufenden DSB-Mandats.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.