Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

Sensible Patientendaten im Pflegedienst – Was die DSGVO fordert und wie Schutz gelingt

27.03.2026 von Dominic

Im Pflegealltag vertrauen Menschen einer Einrichtung Informationen an, die persönlicher kaum sein könnten: Diagnosen, Pflegegrade, Medikationspläne, psychische Erkrankungen, familiäre Verhältnisse. Diese Daten stehen unter dem besonderen Schutz der Datenschutz-Grundverordnung – und ihre Verarbeitung unterliegt strengeren Anforderungen als für gewöhnliche, personenbezogene Daten. Was die DSGVO im Einzelnen verlangt, welche Maßnahmen Pflegedienste konkret umsetzen müssen und wo die typischen Schwachstellen liegen, erklärt dieser Beitrag.

Warum Patientendaten eine besondere Datenkategorie sind

Die DSGVO unterscheidet zwischen gewöhnlichen personenbezogenen Daten und sogenannten besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Zu Letzteren zählen ausdrücklich Gesundheitsdaten, Daten über das körperliche und geistige Wohlbefinden sowie genetische und biometrische Daten. Für Pflegedienste bedeutet das: Fast alle patientenbezogenen Informationen, die im Rahmen der Versorgung anfallen, sind dieser höchsten Schutzstufe zuzuordnen.

Dazu gehören nicht nur die offensichtlichen Daten wie Diagnosen oder Medikationspläne. Auch der Pflegegrad, Angaben zur Mobilität, Informationen über Demenzerkrankungen, Wundversorgungsberichte oder Notizen über den psychischen Zustand eines Pflegebedürftigen fallen unter den besonderen Schutz. Selbst scheinbar harmlose Angaben – etwa dass eine Person bestimmte pflegerische Leistungen in Anspruch nimmt – können Rückschlüsse auf den Gesundheitszustand zulassen und sind damit als Gesundheitsdaten einzustufen.

Zusätzlich zur DSGVO greifen im Pflegebereich die sozialrechtlichen Geheimnisschutzpflichten nach § 35 SGB I und § 78 SGB X. Die Daten zur Pflegeeinstufung und Leistungsabrechnung mit der Pflegekasse nach SGB XI unterliegen damit einem doppelten Rechtsrahmen, den viele Einrichtungen nicht vollständig im Blick haben.

Auf welcher Rechtsgrundlage dürfen Pflegedienste Patientendaten verarbeiten?

Das Verbot mit Erlaubnisvorbehalt ist das Grundprinzip der DSGVO: Die Verarbeitung besonderer Datenkategorien ist grundsätzlich untersagt – es sei denn, eine der abschließend genannten Ausnahmen nach Art. 9 Abs. 2 DSGVO greift. Für Pflegedienste sind dabei vor allem zwei Grundlagen relevant.

Die wichtigste ist Art. 9 Abs. 2 lit. h DSGVO: Die Verarbeitung ist zulässig, wenn sie für Zwecke der Gesundheitsversorgung, der Arbeitsmedizin oder der Verwaltung von Systemen und Diensten im Gesundheitsbereich erforderlich ist. Diese Grundlage deckt die Kerntätigkeit ambulanter und stationärer Pflegedienste ab – von der Pflegeplanung über die Dokumentation bis zur Abrechnung mit der Pflegekasse.

Daneben kommt Art. 9 Abs. 2 lit. a DSGVO in Betracht: die ausdrückliche Einwilligung der betroffenen Person. Diese Grundlage ist jedoch im Pflegekontext mit Vorsicht zu verwenden. Eine Einwilligung muss freiwillig, informiert und ohne Druck erteilt werden. Bei Pflegebedarfürtigen, die sich in einem Abhängigkeitsverhältnis befinden, ist die Freiwilligkeit nicht immer unproblematisch. Der externe Datenschutzbeauftragte prüft, welche Verarbeitungsgrundlage für welchen Vorgang rechtlich tragfähig ist.

Ein häufiger Fehler in der Praxis: Pflegedienste stützen Verarbeitungsvorgänge pauschal auf die Einwilligung – ohne zu prüfen, ob nicht Art. 9 Abs. 2 lit. h DSGVO die gesetzlich vorgesehene und robustere Grundlage wäre. Das hat Konsequenzen: Eine widerrufene Einwilligung kann den gesamten Verarbeitungsvorgang rechtswidrig machen, obwohl eine gesetzliche Grundlage bestanden hätte.

Technische und organisatorische Maßnahmen: Was Pflegedienste konkret umsetzen müssen

Art. 32 DSGVO verpflichtet alle Verantwortlichen, technische und organisatorische Maßnahmen (TOMs) zu ergreifen, die dem Risiko der Verarbeitung angemessen sind. Bei Gesundheitsdaten ist das Risiko per se als hoch einzustufen – die Anforderungen an die TOMs sind entsprechend streng. In der Praxis bedeutet das für Pflegedienste konkret:

  • Zugriffsberechtigungskonzept: Nicht jeder Mitarbeiter darf auf alle Patientendaten zugreifen. Pflegekräfte benötigen Zugang zu den Daten ihrer Patienten – nicht zu denen anderer Einrichtungsbereiche. Verwaltungsmitarbeiter brauchen Abrechnungsdaten, aber keine medizinischen Details. Ein differenziertes Berechtigungskonzept ist keine Kur, sondern gesetzliche Pflicht.
  • Verschlüsselung und sichere Übertragung: Patientendaten dürfen nur über verschlüsselte Kanäle übertragen werden. Die Kommunikation per unverschlüsselter E-Mail oder über private WhatsApp-Gruppen ist ein DSGVO-Verstoß – unabhängig davon, ob tatsächlich ein Schaden entsteht. Für den Aussendienst gilt: Diensthandys und Tablets müssen verschlüsselt und mit Fernlöschfunktion ausgestattet sein.
  • Pseudonymisierung und Datensparsamkeit: Wo immer möglich, sollte die Verarbeitung von Patientendaten auf das notwendige Minimum beschränkt werden (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO). Pseudonymisierung – also die Trennung von Identifikationsdaten und Gesundheitsdaten – kann das Risiko bei internen Analysen oder Qualitätssicherungsmaßnahmen deutlich reduzieren.
  • Physische Sicherheit: Pflegeakten in Papierform müssen verschlossen aufbewahrt werden. Ablagen im Eingangsbereich, offene Patientenordner in Gemeinschaftsräumen oder sichtbare Bildschirme an Rezeptionen sind typische Schwachstellen, die bei Prüfungen durch Aufsichtsbehörden regelmäßig beanstandet werden.
  • Protokollierung und Nachvollziehbarkeit: Zugriffe auf Patientendaten in digitalen Systemen müssen protokolliert werden. Nur so kann im Ernstfall nachgewiesen werden, wer wann auf welche Daten zugegriffen hat – eine Anforderung, die bei Datenpannen und behördlichen Prüfungen entscheidend ist.

Auftragsverarbeitung: Wenn Dritte Patientendaten verarbeiten

Ein Pflegedienst arbeitet selten vollständig ohne externe Dienstleister. Pflegesoftware-Anbieter, Abrechnungsdienstleister, IT-Firmen, Cloud-Lösungen – sie alle verarbeiten in irgendeiner Form Patientendaten. Sobald das der Fall ist, liegt rechtlich eine Auftragsverarbeitung vor.

Das bedeutet, mit jedem dieser Dienstleister muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden. Dieser Vertrag regelt, welche Daten zu welchem Zweck verarbeitet werden dürfen, welche technischen und organisatorischen Maßnahmen der Auftragsverarbeiter einhält und wie mit Datenpannen umzugehen ist. Fehlt dieser Vertrag, ist die Datenweitergabe rechtswidrig – unabhängig davon, ob der Dienstleister selbst datenschutzkonform arbeitet.

In der Praxis fehlen diese Verträge bei vielen Pflegediensten vollständig oder sind veraltet.

Besonders kritisch: Wenn der Anbieter einer Pflegedokumentationssoftware seine Server in den USA betreibt, sind zusätzlich die Anforderungen der Art. 44 ff. DSGVO für Drittlandtransfers zu prüfen. Ein externer Datenschutzbeauftragter inventarisiert alle Auftragsverarbeiter, prüft bestehende Verträge und schließt identifizierte Lücken.

Betroffenenrechte: Wenn Patienten Auskunft verlangen

Die DSGVO räumt betroffenen Personen weitreichende Rechte ein – auch gegenüber Pflegediensten. Das Auskunftsrecht nach Art. 15 DSGVO gibt Patienten oder ihren gesetzlichen Vertretern das Recht zu erfahren, welche Daten über sie verarbeitet werden, zu welchem Zweck und wie lange. Dieses Recht muss der Pflegedienst innerhalb von einem Monat erfüllen.

Daneben bestehen das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO) und das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Das Recht auf Löschung steht dabei in einem Spannungsverhältnis zu gesetzlichen Aufbewahrungsfristen – etwa der Pflicht zur Aufbewahrung von Pflegedokumentationen, die sich aus dem SGB XI und landesrechtlichen Regelungen ergibt. Ein Datenschutzbeauftragter klärt, wie dieser Konflikt rechtskonform aufgelöst wird.

In der Praxis fehlt in vielen Pflegediensten ein strukturierter Prozess für den Umgang mit Betroffenenanfragen. Wer zuständig ist, wo die Daten liegen, wie die Antwort dokumentiert werden muss – all das sollte im Voraus geregelt sein. Der externe Datenschutzbeauftragte erstellt entsprechende Verfahrensanweisungen und ist bei konkreten Anfragen Ansprechpartner.

Typische Fehler beim Umgang mit Patientendaten

Die Aufsichtsbehörden für den Datenschutz haben in den vergangenen Jahren verstärkt Pflegeeinrichtungen geprüft. Dabei zeigen sich immer wieder dieselben Schwachstellen.

  • Kommunikation über unsichere Kanäle: Die Weitergabe von Patientendaten per privater WhatsApp-Nachricht oder unverschlüsselter E-Mail ist weit verbreitet und eindeutig rechtswidrig. Selbst gut gemeinte Absprachen zwischen Pflegekräften können zur Bußgeldforderung führen.
  • Fehlende oder unvollständige AV-Verträge: Viele Pflegedienste haben keinen Überblick über alle Dienstleister, die Zugang zu Patientendaten haben. Besonders Softwareanbieter und Cloud-Dienste werden häufig ohne AV-Vertrag eingesetzt.
  • Keine Schulung der Mitarbeiter: Datenschutzunterweisungen sind gesetzlich vorgeschrieben (Art. 39 Abs. 1 lit. b DSGVO) – und werden dennoch in vielen Einrichtungen nicht oder nicht regelmäßig durchgeführt. Mitarbeiter, die Risikosituationen nicht erkennen, sind das größte Einfallstor für Datenpannen.
  • Kein Verzeichnis der Verarbeitungstätigkeiten: Art. 30 DSGVO verpflichtet zur Dokumentation aller Verarbeitungsvorgänge. Fehlt dieses Verzeichnis, können Aufsichtsbehörden es anfordern – und das Fehlen selbst ist bereits ein Verstoß.
  • Zu lange Speicherfristen: Patientendaten werden häufig länger aufbewahrt als rechtlich erforderlich oder zulässig. Ein Löschkonzept, das gesetzliche Mindestfristen und datenschutzrechtliche Höchstgrenzen miteinander abgleicht, fehlt in vielen Einrichtungen.

Fazit: Patientendatenschutz ist Vertrauensschutz – und gesetzliche Pflicht

Pflegedienste tragen eine besondere Verantwortung. Die Menschen, die ihre Leistungen in Anspruch nehmen, befinden sich oft in einer vulnerablen Situation und müssen darauf vertrauen können, dass ihre sensibelsten Informationen sicher sind. Die DSGVO schafft dafür den rechtlichen Rahmen – von der Verarbeitungsgrundlage über die technischen Schutzmaßnahmen bis zum Umgang mit Betroffenenrechten und Datenpannen.

Die Umsetzung dieser Anforderungen ist komplex und erfordert Fachkenntnis – im Datenschutzrecht ebenso wie in der IT. Wer versucht, das intern ohne ausreichend qualifizierte Ressourcen abzudecken, riskiert Lücken, die im Ernstfall teuer werden.

zweiplus unterstützt Pflegedienste dabei, Patientendaten rechtskonform und sicher zu verwalten – von der Analyse bestehender Prozesse über die Einführung eines Datenschutzmanagementsystems bis zur laufenden Begleitung als externer Datenschutzbeauftragter. Nehmen Sie Kontakt auf und lassen Sie Ihre Datenschutzsituation unverbindlich prüfen.

FAQs – Häufig gestellte Fragen zu sensiblen Patientendaten im Pflegedienst

Sensible Patientendaten sind Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO – also alle Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen. Dazu zählen Diagnosen, Pflegegrade, Medikationspläne, Angaben zu Behinderungen oder psychischen Erkrankungen sowie Pflegeberichte und Wundversorgungsdokumentation.

Die wichtigste Rechtsgrundlage ist Art. 9 Abs. 2 lit. h DSGVO: Die Verarbeitung ist zulässig, wenn sie zur Gesundheitsversorgung oder Verwaltung entsprechender Dienste erforderlich ist. Eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO ist möglich, aber im Pflegekontext aufgrund möglicher Freiwilligkeitsprobleme mit Vorsicht einzusetzen.

Nein. Die Übertragung von Patientendaten über private Messenger-Dienste wie WhatsApp ist ein klarer DSGVO-Verstoß. WhatsApp überträgt Metadaten an den Mutterkonzern Meta, und es besteht kein AV-Vertrag nach Art. 28 DSGVO. Für die Kommunikation im Pflegeteam sind verschlüsselte, datenschutzkonforme Dienstlösungen zu verwenden.

Die Speicherdauer richtet sich nach dem jeweiligen Verarbeitungszweck und geltenden Aufbewahrungsfristen. Pflegedokumentationen unterliegen in der Regel einer Aufbewahrungsfrist von mindestens zehn Jahren, die sich aus dem SGB XI und landesrechtlichen Regelungen ergibt. Nach Ablauf dieser Fristen sind die Daten zu löschen. Ein Löschkonzept, das alle Datenarten und Fristen systematisch erfasst, ist Pflicht.

Ein Zugriffsberechtigungskonzept legt fest, wer im Pflegedienst auf welche Daten zugreifen darf. Es setzt das datenschutzrechtliche Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) und den „Need-to-know“-Grundsatz um: Jede Person erhält nur Zugang zu den Daten, die sie für ihre Aufgabe tatsächlich benötigt. Ohne ein solches Konzept ist unkontrollierter interner Zugriff auf Patientendaten möglich – ein erhebliches Risiko.

Ja. Art. 13 DSGVO verpflichtet den Pflegedienst, Patienten bei der Datenerhebung über Zweck, Rechtsgrundlage, Speicherdauer und ihre Rechte zu informieren. Diese Informationspflicht wird in der Praxis häufig über ein Datenschutzinformationsblatt erfüllt, das bei Vertragsabschluss ausgehändigt wird. Fehlt dieses Dokument oder ist es veraltet, liegt ein Verstoß gegen die Informationspflicht vor.

Die Konsequenzen reichen von Verwarnungen und Auflagen durch die Aufsichtsbehörde bis zu empfindlichen Bußgeldern. Bei Verstößen gegen Art. 9 DSGVO – also beim Umgang mit Gesundheitsdaten – kann der Bußgeldrahmen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Hinzu kommen Reputationsschäden und möglicherweise zivilrechtliche Ansprüche der Betroffenen.

Ja. Art. 30 DSGVO verpflichtet jeden Verantwortlichen zur Führung eines Verzeichnisses aller Verarbeitungsvorgänge. Für Pflegedienste, die regelmäßig Gesundheitsdaten verarbeiten, ist dieses Verzeichnis zwingend – unabhängig von der Unternehmensgröße. Es muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können.

Eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO ist durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Bei der Verarbeitung von Gesundheitsdaten im großen Umfang ist das grundsätzlich anzunehmen. Konkrete Anlässe: Einführung neuer Pflegesoftware, Einsatz von Überwachungstechnologie oder biometrischer Systeme.

Immer dann, wenn der Pflegedienst nicht über interne Ressourcen verfügt, die das erforderliche Datenschutz-Fachwissen und die nötige Unabhängigkeit mitbringen. Ein externer Datenschutzbeauftragter mit Branchenerfahrung kennt die typischen Verarbeitungsprozesse in der Pflege, bewertet Risiken zuverlässig und stellt sicher, dass alle gesetzlichen Anforderungen – von der Verarbeitungsgrundlage bis zum Löschkonzept – erfüllt sind.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.