Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

Datenpanne im Pflegedienst – Meldepflichten, Fristen und Prävention

27.03.2026 von Dominic

Ein Diensthandy verschwindet im Taxi. Eine Pflegekraft schickt die Pflegedokumentation versehentlich an die falsche E-Mail-Adresse. Die Pflegesoftware wird Opfer eines Ransomware-Angriffs. Im Pflegealltag können Datenschutzverletzungen schneller entstehen, als viele Einrichtungsleitungen annehmen – und die Konsequenzen sind erheblich. Die DSGVO definiert klare Meldepflichten, enge Fristen und weitreichende Sanktionen. Wer nicht vorbereitet ist, verliert wertvolle Zeit genau dann, wenn jede Stunde zählt.

Was gilt überhaupt als Datenpanne im Sinne der DSGVO?

Der Begriff „Datenpanne“ klingt nach Ausnahme – ist es im Pflegebereich aber nicht. Art. 4 Nr. 12 DSGVO definiert eine Datenschutzverletzung als jede Verletzung des Schutzes personenbezogener Daten, die zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, dem Verlust, der Veränderung oder der unbefugten Offenlegung – oder dem unbefugten Zugang zu personenbezogenen Daten – führt.

Das bedeutet in der Praxis: Nicht nur ein gezielter Hackerangriff ist eine Datenschutzverletzung. Auch das versehentliche Löschen einer Pflegedokumentation ohne Backup (Verlust), die irrtümliche Herausgabe einer Patientenakte an eine unbeteiligte Person (unbefugte Offenlegung) oder der Zugriff eines nicht autorisierten Mitarbeiters auf fremde Patientendaten (unbefugter Zugang) fallen unter diesen Begriff. Selbst ein temporärer Ausfall eines Systems, durch den Patientendaten nicht verfügbar sind, kann eine meldepflichtige Verletzung darstellen.

Besonders kritisch im Pflegekontext: Da es sich bei Patientendaten um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO handelt, ist das Risiko für die Betroffenen in der Regel als hoch einzustufen. Das beeinflusst direkt, ob und wie eine Datenpanne gemeldet wird und ob auch die betroffenen Patienten oder Angehörigen informiert werden müssen.

Die 72-Stunden-Frist: Was wann zu tun ist

Art. 33 DSGVO verpflichtet den Verantwortlichen, eine Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde zu melden – sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Die Frist beginnt nicht erst, wenn alle Informationen vorliegen, sondern ab dem Moment, in dem die Einrichtung von der Verletzung Kenntnis erlangt.

72 Stunden klingt nach ausreichend Zeit – ist es in der Praxis aber nicht, wenn kein Notfallprozess existiert. Wer zunächst verstehen muss, was genau passiert ist, wer intern zuständig ist, wie die Aufsichtsbehörde zu kontaktieren ist und welche Angaben in der Meldung gemacht werden müssen, verliert schnell den größten Teil dieser Frist mit organisatorischen Fragen statt mit inhaltlicher Aufarbeitung.

Die Meldung an die Aufsichtsbehörde muss gemäß Art. 33 Abs. 3 DSGVO folgende Angaben enthalten: eine Beschreibung der Art der Verletzung (welche Daten, wie viele Betroffene), Name und Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen sowie die ergriffenen oder geplanten Maßnahmen zur Behebung. Wenn nicht alle Informationen innerhalb von 72 Stunden vorliegen, darf die Meldung zunächst unvollständig erfolgen und später ergänzt werden – ein Zuwarten bis zur vollständigen Klärung ist jedoch kein zulässiger Grund, die Frist zu überschreiten.

Nicht jede Datenpanne muss gemeldet werden. Art. 33 Abs. 1 DSGVO sieht eine Ausnahme vor, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Bei Patientendaten ist diese Ausnahme jedoch eng auszulegen: Gesundheitsdaten sind hochsensibel, und die Schwelle zur Meldepflicht ist entsprechend niedrig. Im Zweifel sollte immer gemeldet werden – eine irrtümliche Meldung hat weit geringere Konsequenzen als eine unterlassene.

Wann müssen auch Patienten informiert werden?

Über die Meldung an die Aufsichtsbehörde hinaus kann eine zusätzliche Pflicht bestehen, die betroffenen Personen direkt zu informieren. Art. 34 DSGVO greift, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge hat. Bei Patientendaten – also Gesundheitsdaten nach Art. 9 DSGVO – ist dieses hohe Risiko in vielen Fällen anzunehmen.

Die Information an die Betroffenen muss „in klarer und einfacher Sprache“ erfolgen und Angaben über die Art der Verletzung, den Namen des Datenschutzbeauftragten, die wahrscheinlichen Folgen und die getroffenen Maßnahmen enthalten. Pflegebedarfürige sind häufig ältere oder vulnerable Personen – die Kommunikation muss dem Rechnung tragen und kann auch über gesetzliche Vertreter oder Angehoerige erfolgen, sofern diese bevollmächtigt sind.

Drei Ausnahmen von der Benachrichtigungspflicht sieht Art. 34 Abs. 3 DSGVO vor: wenn geeignete technische Schutzmaßnahmen ergriffen wurden, die die Daten für Unbefugte unlesbar machen (z. B. Verschlüsselung), wenn Folgemaßnahmen das hohe Risiko beseitigt haben, oder wenn die Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde. In letzterem Fall genügt eine öffentliche Bekanntmachung. Diese Ausnahmen sind eng auszulegen – im Zweifel sollte direkter Kontakt zu den Betroffenen gesucht werden.

Typische Datenpannen im Pflegedienst – und was sie auslösen

Die Theorie der DSGVO trifft im Pflegealltag auf sehr konkrete Situationen. Die folgenden Szenarien illustrieren, was in der Praxis häufig vorkommt – und welche rechtlichen Konsequenzen sie auslösen.

  • Verlust eines Diensthandys oder Tablets: Smartphones und Tablets im Außendienst enthalten häufig Pflegedokumentationen, Tourenpläne mit Patientenadressen und Kommunikation über Patientenzustände. Geht ein solches Gerät verloren oder wird es gestohlen, liegt eine Datenschutzverletzung vor. Ohne Geräteverschlüsselung und Fernlöschfunktion ist das Risiko für die Betroffenen als hoch einzustufen – Meldepflicht und Benachrichtigungspflicht greifen in der Regel.
  • Fehlgeleitete E-Mail mit Patientendaten: Eine Pflegekraft schickt einen Pflegebericht an die falsche Adresse – etwa weil Autovervollständigung im E-Mail-Client die falsche Person ausgewählt hat. Auch hier liegt eine Datenschutzverletzung vor. Die Schwere hängt davon ab, welche Daten enthalten waren und ob der Empfänger die Daten gelöscht oder zur Kenntnis genommen hat.
  • Ransomware-Angriff auf die Pflegesoftware: Cyberangriffe auf Pflegeeinrichtungen nehmen zu. Bei einem Ransomware-Angriff werden Daten verschlüsselt und sind nicht mehr verfügbar – das erfüllt den Tatbestand der Datenschutzverletzung durch Verlust der Verfügbarkeit. Zusätzlich ist oft unklar, ob Daten vor der Verschlüsselung exfiltriert wurden, was das Risiko für Betroffene erhöht. Die 72-Stunden-Frist läuft ab dem Moment, in dem der Angriff entdeckt wird.
  • Unbefugter interner Zugriff: Ein Mitarbeiter ruft Patientendaten ab, für die er keine Berechtigung hat – etwa aus Neugier oder um Informationen an Dritte weiterzugeben. Auch das ist eine Datenschutzverletzung, die zu dokumentieren und je nach Schwere zu melden ist. Fehlt ein Zugriffsberechtigungskonzept, lassen sich solche Vorfälle oft nicht einmal erkennen.
  • Papierakte im falschen Briefkasten: Im ambulanten Bereich werden gelegentlich noch Dokumente in Papierform transportiert. Eine Pflegeakte, die im falschen Briefkasten landet, ist eine klassische Datenpanne – mit allen Meldepflichten, die sich daraus ergeben.

Dokumentation: Was auch ohne Meldepflicht aufzuzeichnen ist

Art. 33 Abs. 5 DSGVO verpflichtet den Verantwortlichen, alle Datenschutzverletzungen zu dokumentieren – unabhängig davon, ob eine Meldung an die Aufsichtsbehörde erforderlich ist. Diese interne Dokumentation muss Angaben über die Umstände der Verletzung, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen enthalten.

Diese Dokumentationspflicht hat einen klaren Zweck: Sie ermöglicht der Aufsichtsbehörde, die Einhaltung der Meldepflicht zu überprüfen. Ein Pflegedienst, der eine Panne intern als „nicht meldepflichtig“ bewertet und diese Einschätzung nicht dokumentiert, kann dies gegenüber der Behörde später nicht nachweisen. Das interne Datenpannen-Register ist damit kein bloßes Behördendokument, sondern ein wichtiges Haftungsschutzinstrument für die Einrichtungsleitung.

In der Praxis empfiehlt sich ein standardisiertes Meldeformular, das Mitarbeiter ausfüllen können, sobald sie einen potenziellen Vorfall bemerken. Der Datenschutzbeauftragte bewertet dann, ob eine Meldepflicht besteht, und leitet die notwendigen Schritte ein.

Prävention: Wie Pflegedienste Datenpannen strukturiert verhindern

Die beste Reaktion auf eine Datenpanne ist, sie gar nicht erst entstehen zu lassen. Vollständige Prävention ist nicht möglich – aber das Risiko lässt sich durch gezielte Maßnahmen erheblich reduzieren.

  • Geräteverschlüsselung und Fernlöschung: Alle mobilen Endgeräte im Aussendienst müssen verschlüsselt sein und über eine Fernlöschfunktion verfügen. Geht ein Gerät verloren, kann der Inhalt aus der Ferne gelöscht werden – was die Schwere der Datenpanne erheblich mindert und unter Umständen die Benachrichtigungspflicht gegenüber Betroffenen entfallen lässt.
  • Zugriffsberechtigungskonzept: Jeder Mitarbeiter sollte nur auf die Patientendaten zugreifen können, die er für seine Aufgabe benötigt. Ein differenziertes Berechtigungskonzept begrenzt nicht nur den Schaden bei einem internen Missbrauch, sondern ermöglicht es auch, unbefugte Zugriffe überhaupt erst zu erkennen.
  • Sichere Kommunikationskanäle: Die Weitergabe von Patientendaten per privater WhatsApp-Gruppe oder unverschlüsselter E-Mail ist ein häufiger Auslöser von Datenpannen. Pflegedienste sollten ihren Mitarbeitern datenschutzkonforme, dienstliche Kommunikationslösungen bereitstellen – und deren Nutzung verbindlich vorgeben.
  • Regelmäßige Mitarbeiterschulungen: Die meisten Datenpannen in Pflegediensten entstehen nicht durch Angriffe von außen, sondern durch menschliches Versehen. Wer seine Mitarbeiter regelmäßig schult – über Risikosituationen, korrekte Kommunikation und den Umgang mit sensiblen Dokumenten – reduziert das Risiko erheblich. Schulungen sind nach Art. 39 Abs. 1 lit. b DSGVO ohnehin Pflicht.
  • Definierter Notfallprozess: Wer im Ernstfall weiß, was zu tun ist, handelt schneller und fehlerfreier. Ein schriftlich dokumentierter Notfallprozess legt fest: Wer ist zuständig? Wie wird der Datenschutzbeauftragte informiert? Wie wird die Aufsichtsbehörde kontaktiert? Wie wird der Vorfall dokumentiert? Diesen Prozess im Voraus zu definieren ist eine der wichtigsten präventiven Maßnahmen überhaupt.

zweiplus entwickelt für Pflegedienste maßgeschneiderte Notfallprotokolle, schult Mitarbeiter und übernimmt im Ernstfall die Kommunikation mit der Aufsichtsbehörde

Fazit: Datenpannen treffen jeden – entscheidend ist die Vorbereitung

Keine Einrichtung ist vollständig vor Datenpannen geschützt. Ein verlorenes Gerät, ein menschlicher Fehler, ein technischer Defekt – solche Ereignisse lassen sich nicht vollständig ausschließen. Was jedoch vollständig in der Hand des Pflegedienstes liegt, ist die Vorbereitung: ein definierter Notfallprozess, geschulte Mitarbeiter, verschlüsselte Geräte und ein Datenschutzbeauftragter, der im Ernstfall sofort handlungsfähig ist.

Wer eine Datenpanne unvorbereitet erlebt, verliert wertvolle Zeit innerhalb der 72-Stunden-Frist, riskiert eine Bußgeldforderung wegen unterlassener Meldung und schädigt das Vertrauen von Patienten und Angehörigen, das sich nur schwer zurückgewinnen lässt.

zweiplus betreut bereits über 30 Pflegedienste bundesweit und unterstützt Einrichtungen bei der Einführung strukturierter Notfallprotokolle, der Schulung von Mitarbeitern und der laufenden Datenschutzbegleitung als externer Datenschutzbeauftragter. Nehmen Sie Kontakt auf und lassen Sie Ihre Datenschutzsituation unverbindlich prüfen.

FAQs – Häufig gestellte Fragen zur Datenpanne im Pflegedienst

Eine Datenpanne ist jede Verletzung des Schutzes personenbezogener Daten nach Art. 4 Nr. 12 DSGVO – also Verlust, unbefugter Zugang, Veränderung oder Offenlegung von Daten. Das umfasst nicht nur Hackerangriffe, sondern auch verlorene Geräte, versehentlich weitergeleitete E-Mails oder nicht autorisierte interne Zugriffe auf Patientendaten.

Nein. Gemäß Art. 33 Abs. 1 DSGVO besteht eine Meldepflicht nur, wenn die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat. Bei Patientendaten ist diese Schwelle jedoch niedrig – Gesundheitsdaten sind hochsensibel. Im Zweifel sollte immer gemeldet werden. Alle Vorfälle, auch nicht meldepflichtige, müssen intern dokumentiert werden.

Eine verspätete Meldung ist ein eigenständiger DSGVO-Verstoß und kann von der Aufsichtsbehörde separat mit einem Bußgeld belegt werden. Darüber hinaus verliert eine verspätete Meldung die Möglichkeit, den Sachverhalt proaktiv darzustellen. Wer mit einem strukturierten Notfallprozess vorbereitet ist, kann die Frist auch bei komplexen Vorfällen einhalten.

Zuständig ist die Datenschutzaufsichtsbehörde des Bundeslandes, in dem der Pflegedienst seinen Sitz hat. Für Hessen ist das beispielsweise der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Die meisten Aufsichtsbehörden bieten Online-Meldeportale an, über die Datenpannen direkt übermittelt werden können.

Nur wenn die Panne voraussichtlich ein hohes Risiko für die Betroffenen zur Folge hat (Art. 34 DSGVO). Bei Verlust eines verschlüsselten Geräts ohne Zugriff Dritter entfällt die Benachrichtigungspflicht in der Regel. Bei unverschlüsselten Geräten oder exfiltrierten Gesundheitsdaten ist sie dagegen fast immer zu bejahen. Im Zweifelsfall sollte der Datenschutzbeauftragte die Risikobewertung vornehmen.

Gemäß Art. 33 Abs. 3 DSGVO sind anzugeben: Art der Verletzung, Kategorien und Anzahl der betroffenen Personen und Datensätze, Name und Kontakt des Datenschutzbeauftragten, wahrscheinliche Folgen sowie ergriffene oder geplante Maßnahmen. Die Meldung kann zunächst unvollständig erfolgen und nachträglich ergänzt werden.

Das Gesetz sieht keine explizite Aufbewahrungsfrist für die interne Datenpannendokumentation vor. In der Praxis empfiehlt sich eine Aufbewahrung von mindestens drei Jahren, da Aufsichtsbehörden im Rahmen von Prüfungen Rückschau halten können. Die Dokumentation sollte jederzeit vollständig und abrufbereit sein.

Ein Notfallprozess ist ein schriftlich dokumentierter Ablaufplan, der regelt, wer bei einer Datenpanne was in welcher Reihenfolge tut – intern und gegenüber der Aufsichtsbehörde. Ohne einen solchen Prozess gehen unter Zeitdruck Informationen verloren, wird die 72-Stunden-Frist versäumt oder werden falsche Entscheidungen getroffen. Ein erfahrener Datenschutzbeauftragter entwickelt und implementiert diesen Prozess.

Ja. Zusätzlich zu behördlichen Bußgeldern können betroffene Personen nach Art. 82 DSGVO Schadensersatz geltend machen – auch für immaterielle Schäden wie psychischen Stress oder Vertrauensverlust. Die Gerichte haben in den vergangenen Jahren zunehmend Schadensersatzklagen bei Datenschutzverletzungen stattgegeben, auch wenn kein konkreter wirtschaftlicher Schaden entstanden ist.

Immer dann, wenn intern weder die Fachkunde für die Risikobewertung noch die Kapazität für die Kommunikation mit Aufsichtsbehörden vorhanden ist. Ein externer Datenschutzbeauftragter definiert den Notfallprozess im Voraus, ist im Ernstfall sofort erreichbar, übernimmt die Meldung und dokumentiert den Vorfall rechtssicher. Das ist nicht nur eine Frage der Compliance, sondern des aktiven Reputationsschutzes.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.