Datenschutz in der Pflege: Rechtsgrundlagen, Pflichten & Praxis

Gesundheits- und Sozialdaten gehören zu den sensibelsten Informationen, die es gibt. In der Pflege treffen sie täglich aufeinander: Stammdaten, Pflegeanamnese, Medikation, Wundfotos, Leistungsnachweise, Abrechnungsdaten, Kontaktpersonen und Kommunikation mit Kassen oder dem Medizinischen Dienst. Für all diese Daten gelten strenge Regeln, die sich aus der DSGVO, dem BDSG, dem Sozialdatenschutz des SGB sowie zivilrechtlichen Vorschriften zur Behandlungsdokumentation ergeben. Dieser Leitfaden ordnet die Rechtsgrundlagen ein, benennt Verantwortlichkeiten und zeigt, wie Sie die Vorgaben pragmatisch und prüfsicher umsetzen.

Adressiert sind stationäre und ambulante Pflegedienste, Kurzzeit- und Tagespflege, Wohngemeinschaften, Pflegekräfte, aber auch pflegende Angehörige und Pflegebedürftige. Sie erfahren, wofür eine Einwilligung wirklich nötig ist, was ohne Einwilligung zulässig bleibt, wie Sie mobile Dokumentation datenschutzkonform gestalten und wann Sie Daten an Kassen, Ärztinnen/Ärzte oder den Medizinischen Dienst übermitteln dürfen. Mit konkreten Mindeststandards, Musterprozessen und Kontrollen schaffen Sie verlässliche Compliance – mit so wenig Daten wie möglich, so viel Schutz wie nötig.

Rechtsgrundlagen & Rollen

Die Pflege verarbeitet gleichzeitig Gesundheits- und Sozialdaten. Welche Regel gilt, hängt vom Zweck, der Stelle und dem Verfahren ab. Dieses Kapitel ordnet die Rollen nach DSGVO/BDSG, grenzt den Sozialdatenschutz nach SGB X ab und erklärt die besondere Bedeutung der Behandlungsdokumentation nach dem BGB. So erkennen Sie, wer wofür verantwortlich ist, welche Rechtsgrundlagen einschlägig sind und welche Pflichten sich daraus für Information, Sicherheit, Aufbewahrung und Auskunft ergeben.

DSGVO/BDSG: Verantwortliche, Auftragsverarbeiter, Rechtsgrundlagen

Pflegeeinrichtungen und Pflegedienste sind in der Regel „Verantwortliche“ im Sinne der DSGVO. Sie entscheiden über Zwecke und Mittel der Verarbeitung – etwa bei Aufnahme, Pflegeplanung, Wunddokumentation, Medikation, Dienstplanung und Abrechnung. Softwareanbieter, Rechenzentren oder Cloud-Dienstleister agieren häufig als Auftragsverarbeiter und benötigen mit Ihnen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit klaren technischen und organisatorischen Maßnahmen (TOMs).

Rechtsgrundlagen nach DSGVO:

• Art. 6 DSGVO (allgemeine Rechtsgrundlagen), typischerweise:
  
  • Art. 6 Abs. 1 lit. b: Erfüllung eines Pflege- oder Betreuungsvertrags.
    
  • Art. 6 Abs. 1 lit. c: Erfüllung rechtlicher Pflichten (z. B. Nachweise, Aufbewahrung).
    
  • Art. 6 Abs. 1 lit. f: Berechtigte Interessen (z. B. IT-Sicherheit, Missbrauchsvermeidung), soweit nicht überlagert.
    
• Art. 9 DSGVO (besondere Kategorien, u. a. Gesundheitsdaten):
  
  • Art. 9 Abs. 2 lit. h: Gesundheits- und Sozialfürsorge, Pflege, Versorgung; Verarbeitung durch fachlich zur Verschwiegenheit verpflichtete Personen.
    
  • Art. 9 Abs. 2 lit. c: Schutz lebenswichtiger Interessen (Notfälle).
    
  • Art. 9 Abs. 2 lit. a: Einwilligung für Fälle, die nicht durch h oder c gedeckt sind (z. B. nicht zwingende Fotoaufnahmen).
    

Das BDSG konkretisiert die DSGVO, insbesondere § 22 BDSG für besondere Kategorien personenbezogener Daten. Für Pflegepraxis wichtig: Dokumentieren Sie pro Verfahren die konkrete Rechtsgrundlage (Art. 6 + ggf. Art. 9) und prüfen Sie, ob eine Einwilligung wirklich erforderlich ist oder eine spezialgesetzliche Erlaubnis greift. Einwilligungen sind widerruflich und sollten niemals überflüssig „auf Halde“ gesammelt werden.

Sozialdatenschutz (SGB X) und Sozialgeheimnis

Sobald Daten für Zwecke der Sozialleistungserbringung verarbeitet oder an Sozialleistungsträger übermittelt werden, gelten die besonderen Regeln des SGB X (§§ 67–85a). „Sozialdaten“ sind personenbezogene Daten, die von einer in § 35 SGB I genannten Stelle (z. B. Krankenkassen, Pflegekassen, Medizinischer Dienst) im Rahmen ihrer Aufgaben verarbeitet werden. Das „Sozialgeheimnis“ (§ 35 SGB I) verpflichtet zur Verschwiegenheit und zur strengen Zweckbindung.

Für Pflegedienste bedeutet das: Bei Kommunikation mit Pflegekassen, dem Medizinischen Dienst (MD) oder anderen Sozialleistungsträgern sind die Zulässigkeitstatbestände des SGB X maßgeblich, insbesondere Übermittlungsgrundsätze, Erforderlichkeit und Zweckbindung. Das SGB X geht als bereichsspezifisches Gesetz in seinem Anwendungsbereich der DSGVO vor, diese gilt ergänzend. In der Praxis führen Sie daher zwei Denklinien zusammen: intern nach DSGVO/BDSG, gegenüber Kassen/MD nach SGB X. Immer gilt: Nur erforderliche Daten, nur für den konkreten Zweck, mit Protokollierung.

Behandlungsdokumentation nach BGB (§ 630f) – Abgrenzung

Das BGB verpflichtet Leistungserbringer im Gesundheitswesen, eine ordnungsgemäße Behandlungsdokumentation zu führen (§ 630f BGB). In der Pflege überschneiden sich Pflege- und Behandlungsdokumentation häufig – etwa bei der Wundversorgung, der Verabreichung von Medikamenten oder ärztlich verordneten Leistungen. Die Dokumentation muss vollständig, zeitnah und manipulationssicher geführt werden; spätere Änderungen sind nachvollziehbar zu kennzeichnen. Das Einsichtsrecht der Patientin/des Patienten ergibt sich aus § 630g BGB und besteht neben den Betroffenenrechten der DSGVO.

Abzugrenzen sind:

• Pflegeinterne Organisationsunterlagen (z. B. Dienstpläne) – keine Behandlungsdokumentation, aber personenbezogen.
  
• Sozialleistungsunterlagen (z. B. Leistungsnachweise für die Kasse) – sozialdatenschutzrechtlich geprägt.
  
• Medizinische Befunde/Anordnungen – regelmäßig Teil der Behandlungsdokumentation.
  

Für Aufbewahrung und Zugang gilt: Behandlungsdokumentation wird in der Praxis regelmäßig 10 Jahre aufbewahrt; spezial- oder landesrechtliche Vorgaben können längere Fristen begründen. Reglementieren Sie die Einsicht organisatorisch – mit Identitätsprüfung, Fristen und dokumentierter Herausgabe.

Praxisanforderungen

Rechtssicherheit entsteht im Alltag: klare Informationen an Betroffene, zielgenaue Einwilligungen nur dort, wo sie sein müssen, und konsistente Dokumentation. Ebenso wichtig sind Zugriffskontrollen, sichere Übermittlungen und schlanke Löschkonzepte, die Behandlungs- und Sozialleistungsfristen berücksichtigen. Dieses Kapitel fasst praxistaugliche Mindeststandards in drei Blöcken zusammen, damit Prozesse, Technik und Nachweise zusammenpassen.

Einwilligung, Information, Dokumentation

Informieren Sie Betroffene verständlich nach Art. 13/14 DSGVO: Verantwortlicher, Zwecke, Rechtsgrundlagen (inkl. Art. 9), Empfänger, Speicherdauer, Rechte, DSB-Kontakt. Setzen Sie auf modulare Informationsblätter, die stationäre/ambulante Besonderheiten, mobile Dokumentation und Foto-/Videoeinsatz adressieren.

Einwilligungen benötigen Sie vor allem für:

• Nicht zwingende Foto-/Videoaufnahmen (z. B. Öffentlichkeitsarbeit, Portraits für Pinnwände).
  
• Weitergabe an Angehörige/Kontaktpersonen, wenn keine gesetzliche Vertretung besteht und die Information nicht für Pflege/Sozialleistung zwingend nötig ist.
  
• Bestimmte zusätzliche Dienstleister (z. B. externe Seelsorge-Angebote), soweit keine andere Rechtsgrundlage greift.
  

Achten Sie auf Freiwilligkeit, Informiertheit und Widerrufsmöglichkeit. Vermeiden Sie Koppelungen. Dokumentieren Sie den Einwilligungstext, Datum, Unterzeichnende sowie den konkreten Geltungsbereich. Hinterlegen Sie im Klientenprofil, wofür Einwilligungen bestehen, und richten Sie Sperrvermerke ein. Widerrufe sind technisch/prozedural sofort umzusetzen.

Zugriffssteuerung, Vertraulichkeit, Transport/Übermittlung

Zugriffe folgen dem Need-to-know-Prinzip. Rollen- und berechtigungsgesteuerte Systeme sorgen dafür, dass Pflegefachkräfte nur die Klienten sehen, die sie betreuen. Administrative Zugriffe werden gesondert vergeben und protokolliert. Nutzen Sie starke Passwörter, wo möglich Mehrfaktor-Authentifizierung, automatische Sperrzeiten und regelmäßige Rezertifizierung von Rechten.

Für Vertraulichkeit und Transport:

• Mobile Endgeräte nur dienstlich verwenden, MDM-Lösungen einsetzen, lokale Speicherung minimieren. Geräte verschlüsseln, Bildschirmsperre, Remote-Wipe.
  
• E-Mail nur mit durchgängiger Transportverschlüsselung; für sensible Inhalte vorzugsweise Ende-zu-Ende-Verfahren oder sichere Portale. Unverschlüsselte Messenger im Privatgebrauch sind tabu.
  
• Physische Mitnahmen (Papierakten) dokumentieren, sicher transportieren, nie unbeaufsichtigt im Auto lassen. Für Hausbesuche Map-Folder verwenden, Adresslisten minimieren.
  

Bei Übermittlungen an Kassen/MD prüfen Sie: Ist die Stelle berechtigt? Ist der Zweck klar? Genügen Pseudonyme/Aktenzeichen? Beschränken Sie den Datensatz auf das absolut Erforderliche. Protokollieren Sie Datum, Inhalt, Empfänger, Rechtsgrundlage und die handelnde Person.

Aufbewahrung, Löschkonzepte und Einsichtsrechte

Trennen Sie Aufbewahrungsbereiche:

• Behandlungs-/Pflegedokumentation: in der Praxis regelmäßig 10 Jahre; bei besonderen Fällen länger (z. B. bei Haftungsrisiken).
  
• Sozialleistungs-/Abrechnungsunterlagen: nach sozialrechtlichen, vertraglichen und kaufmännischen Fristen.
  
• Personal- und Bewerberdaten: eigenständige Fristen.
  
• IT-Logs/Backups: abgestimmte, transparente Laufzeiten; Backups dürfen Löschungen nicht dauerhaft konterkarieren.
  

Erstellen Sie ein Löschkonzept, das Verfahren, Fristen, Zuständigkeiten und technische Umsetzung definiert. Implementieren Sie Sperrphasen („Einschränkung der Verarbeitung“), wenn rechtliche Pflichten einer sofortigen Löschung entgegenstehen.

Einsichtsrechte:

• DSGVO: Auskunft, Kopie, Berichtigung, Einschränkung, Löschung unter den gesetzlichen Voraussetzungen.
  
• BGB § 630g: Einsicht in die Patientenakte, mit zügiger, strukturiert dokumentierter Herausgabe und Identitätsprüfung. Dritte erhalten Einsicht nur mit Vollmacht/gesetzlicher Vertretung oder klarer gesetzlicher Ermächtigung.
  

Protokollieren Sie jede Einsicht/Kopie und übergeben Sie Kopien sicher (Portal, verschlüsselte Datei, gesicherter Versand).

Besondere Szenarien in der Pflege

Pflegealltag bedeutet Außeneinsätze, Kooperation, Prüfungen und Notfälle. Jedes dieser Szenarien hat eigene Datenschutzkniffe: Was darf der MD anfordern? Wie fotografieren Sie Wunden korrekt? Was tun, wenn im Notfall keine Einwilligung vorliegt? Mit schlanken Regeln und standardisierten Checklisten vermeiden Sie Fehler im entscheidenden Moment.

MD-Prüfungen, Kassenkommunikation, Leistungsabrechnung

Die Übermittlung an Pflege- und Krankenkassen sowie den Medizinischen Dienst erfolgt auf sozialrechtlicher Grundlage und zweckgebunden. Senden Sie nur prüf- und abrechnungsrelevante Unterlagen. Dazu gehören typischerweise Leistungsnachweise, genehmigungsrelevante Befunde/Anordnungen und Dokumentationsauszüge. Vermeiden Sie Beifang: Persönliche Notizen, interne E-Mails oder für den Zweck irrelevante Fotos gehören nicht in die Prüfsendung.

Praxisregeln:

• MD-/Kassenanforderung prüfen, dokumentieren, bei Unklarheit Rückfrage stellen.
  
• Datentransfer über gesicherte Kanäle; Dateinamen ohne volle Klarnamen, lieber Aktenzeichen/Initialen verwenden, wenn zulässig.
  
• Übergabe protokollieren: Wer, was, wann, an wen, auf welcher Rechtsgrundlage.
  
• Nach Abschluss: Aufbewahrung der Prüfdokumente gemäß Fristen; Rückläufer/Protokolle ablegen.
  

Für die Leistungsabrechnung gelten Minimierung und technische Sicherheit gleichermaßen: Stammdaten, Leistungsziffern, Zeitnachweise – ja; detaillierte pflegerische Befundtexte nur, sofern zwingend erforderlich. Prüfen Sie bei Dienstleistern für Abrechnung, ob ein AV-Vertrag vorliegt und ob Unterauftragsverarbeiter transparent benannt sind.

Hausbesuche, mobile Dokumentation, Fotos

Bei Hausbesuchen begegnen Sie zwangsläufig Daten der Klientin/des Klienten und häufig auch Daten Mitbewohnender. Tragen Sie nur die Informationen mit, die für den Besuch nötig sind. Nutzen Sie mobile Dokumentation mit Offline-Funktion, die Daten sofort serverseitig synchronisiert und lokal verschlüsselt. Private Geräte sind tabu; BYOD nur mit strengen, dokumentierten Sicherheitsvorgaben.

Fotos dienen in der Pflege oft der Wunddokumentation oder der Verlaufsbeobachtung. Dafür können Art. 6 Abs. 1 lit. b/c und Art. 9 Abs. 2 lit. h DSGVO genügen, wenn die Aufnahme fachlich erforderlich ist. Alles, was nicht zwingend ist (z. B. Portraits für Namensschilder, Fotos für Social Media, Bilder für die Hausmappe), braucht eine ausdrückliche, dokumentierte Einwilligung. Achten Sie auf:

• Neutrale Hintergründe, keine weiteren Personen/Privatsachen im Bild.
  
• Speicherung direkt in der Fachanwendung, nicht in der allgemeinen Fotogalerie.
  
• Löschfristen und klare Zweckbindung je Foto.
  
• Kennzeichnung von Vergleichsserien (Datum, Körperstelle, Perspektive).
  

Notfälle und Vitalinteressen

Im Notfall haben Schutz von Leben und Gesundheit Vorrang. Wenn eine betroffene Person nicht einwilligen kann, dürfen und müssen Sie die notwendigen Gesundheitsdaten verarbeiten und an Rettungsdienst, Notaufnahme oder Ärztinnen/Ärzte weitergeben, soweit dies zur Akutversorgung erforderlich ist. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. d und Art. 9 Abs. 2 lit. c DSGVO.

Praxischeckliste:

• Notfalllage dokumentieren: Zeitpunkt, Situation, welche Daten an wen übermittelt wurden.
  
• Nur das Nötigste mitteilen (Medikation, Allergien, relevante Diagnosen, Pflegehinweise).
  
• Nach dem Ereignis: interne Meldung, Nachverfolgung, Information der Betroffenen/Vertretung, sobald möglich.
  
• Prüfen, ob Folgemaßnahmen (z. B. Anpassung von Notfallkarten, Kontaktdaten) erforderlich sind.
  

Organisation & Compliance

Datenschutz ist eine Daueraufgabe. Er steht und fällt mit klaren Zuständigkeiten, einem gepflegten Verarbeitungsverzeichnis, belastbaren TOMs und gelebten Schulungen. Ergänzend braucht es schnelle Reaktionsfähigkeit bei Vorfällen und eine datenschutzfreundliche Technikgestaltung von Anfang an. So schaffen Sie robuste Strukturen, die auch Prüfungen durchstehen.

Verarbeitungsverzeichnis, TOMs, AV-Verträge

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) bildet Ihre Datenwelt ab. Typische Einträge in der Pflege:

• Klientenaufnahme und Pflegeplanung (inkl. Anamnese, Assessments).
  
• Behandlungs-/Pflegedokumentation, Wundmanagement, Medikation.
  
• Dienst-/Einsatzplanung, Zeiterfassung.
  
• Abrechnung mit Kassen/Privatzahlern, MD-Kommunikation.
  
• Qualitätsmanagement, Beschwerdebearbeitung, Audit/MD-Prüfungen.
  
• IT-Betrieb/Support, Log-Management, Backup.
  
• Mitarbeitendenverwaltung (nur getrennt vom Klienten-VVT).
  

Für jede Tätigkeit hinterlegen Sie: Zweck, Datenkategorien, Betroffenengruppen, Rechtsgrundlagen (Art. 6/9 DSGVO bzw. SGB X), Empfänger, Drittlandübermittlungen, Speicherdauer, TOMs. Die TOMs (Art. 32 DSGVO) müssen risikoorientiert sein: Zutritts-/Zugangskontrolle, Zugriffstrennung, Verschlüsselung, Protokollierung, Wiederherstellbarkeit, regelmäßige Wirksamkeitsprüfung.

Schließen Sie mit sämtlichen Auftragsverarbeitern AV-Verträge. Dazu zählen insbesondere:

• Pflege- und Abrechnungssoftware, Cloud-Betrieb, Hosting.
  
• Externe IT-Admins/Support, Fernwartung.
  
• Aktenvernichtung, Archivdienstleister, Scandienstleister.
  
• Kommunikationsportale/Transportdienste (sofern Auftragsverarbeitung).
  Prüfen Sie Unterauftragsverhältnisse, Speicherorte (EU/EWR), Standardvertragsklauseln bei Drittlandbezug, technische Maßnahmen, Audit- und Informationsrechte.
  

Schulungen, Mindeststandards, Vorfälle/DSB-Meldung

Menschen machen Datenschutz. Schulen Sie neue Mitarbeitende beim Eintritt und alle anschließend mindestens jährlich. Inhalte:

• Grundlagen DSGVO/BDSG/SGB X, Verschwiegenheit, Sozialgeheimnis.
  
• Minimalprinzip, sichere Kommunikation, mobile Dokumentation.
  
• Erkennen und Melden von Vorfällen (Fehlversand, Geräteverlust, unbefugter Zugriff).
  
• Fotoregeln, Angehörigenkommunikation, Notfallabläufe.
  

Legen Sie Mindeststandards in einer kompakten Richtlinie fest:

• Kein Versand sensibler Daten an private E-Mail-Adressen.
  
• Keine Nutzung privater Messenger für Kliententhemen.
  
• Saubere Schreibtische, verschlossene Schränke, Akten nie unbeaufsichtigt.
  
• „Ich bin mir unsicher“ = Rückfragepflicht.
  

Vorfälle behandeln Sie nach einem festen Prozess: Sofortmaßnahme (Schaden begrenzen), Bewertung des Risikos für Betroffene, Dokumentation im Vorfallsregister. Bei meldepflichtigen Verletzungen informieren Sie die zuständige Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden, und – falls erforderlich – die betroffenen Personen in klarer, verständlicher Form. Ihr/e Datenschutzbeauftragte/r begleitet Bewertung und Meldungen.

Datenschutzfreundliche Technikgestaltung

Privacy by Design/Default (Art. 25 DSGVO) gehört in jede Beschaffung und jede Softwarekonfiguration. Fragen Sie Lieferanten:

• Welche Daten sind zwingend? Können Felder ausgeblendet/minimiert werden?
  
• Welche Lösch- und Sperrmechanismen gibt es? Sind Fristen konfigurierbar?
  
• Werden Protokolle manipulationssicher geführt und revisionssicher aufbewahrt?
  
• Wie erfolgt Verschlüsselung im Ruhezustand/in Übertragung? Wo liegen die Daten?
  
• Gibt es rollenbasierten Zugriff, Mandantentrennung, MDM-Integration und Notfallzugänge?
  

Prüfen Sie, ob für bestimmte Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist (Art. 35 DSGVO), z. B. bei systematischer, umfangreicher Verarbeitung von Gesundheitsdaten mit innovativen Technologien. Dokumentieren Sie die Bewertung, Risiken, Abhilfemaßnahmen und die Entscheidung. Führen Sie Test-Daten mit Pseudonymisierung oder synthetische Datensätze ein; vermeiden Sie Live-Daten in Schulungs- oder Testumgebungen.

FAQ – Datenschutz in der Pflege

Eine kompakte Frageliste beantwortet die häufigsten Praxisfragen – prägnant und ohne juristische Umschweife, aber mit klarer Linie zwischen DSGVO, Sozialdatenschutz (SGB X) und Behandlungsdokumentation nach BGB.

Brauchen wir für jede Wundfotografie eine Einwilligung?

Nicht zwingend. Ist die Aufnahme zur Behandlung/Pflege erforderlich, kann sie auf Art. 6 Abs. 1 lit. b/c i. V. m. Art. 9 Abs. 2 lit. h DSGVO beruhen. Für nicht zwingende Zwecke (z. B. Öffentlichkeitsarbeit) ist eine Einwilligung erforderlich. Kennzeichnen und löschen Sie Fotos nach Zweck und Frist.

Dürfen wir Angehörige über den Pflegezustand informieren?

Nur mit Einwilligung der betroffenen Person oder wenn eine gesetzliche Vertretung/Vollmacht besteht. Ohne Einwilligung sind Informationen nur zulässig, wenn sie zwingend für Pflege/Sozialleistung erforderlich und rechtlich gedeckt sind. Halten Sie Kontaktpersonen und Berechtigungen im Profil aktuell.

Was gilt bei MD-Prüfungen?

Übermitteln Sie nur erforderliche, zweckgebundene Daten und protokollieren Sie jede Weitergabe. Grundlage ist das Sozialrecht (SGB X). Interne Notizen und irrelevante Details bleiben inhouse. Nutzen Sie gesicherte Übermittlungswege.

Welche Aufbewahrungsfrist gilt für die Pflegedokumentation?

In der Praxis werden 10 Jahre als Regelwert zugrunde gelegt; spezielle Vorgaben, vertragliche Pflichten oder Haftungsgründe können längere Fristen erfordern. Hinterlegen Sie diese Fristen im Löschkonzept und setzen Sie sie technisch um. Dokumentieren Sie Sperrphasen, wenn Löschung vorläufig rechtlich ausgeschlossen ist.

Dürfen Pflegekräfte private Smartphones für die Dokumentation nutzen?

Nein, außer es existiert eine strenge, dokumentierte BYOD-Regelung mit MDM, Verschlüsselung, Zugriffstrennung und zentraler Verwaltung. Empfehlenswert sind ausschließlich dienstliche, verwaltete Geräte. Fotos und Notizen gehören direkt in die Fachanwendung, nicht in private Apps.

Wie weisen wir die Rechtsgrundlage nach?

Im Verarbeitungsverzeichnis steht die Rechtsgrundlage pro Tätigkeit (Art. 6/9 DSGVO bzw. SGB X). In Formularen und Infoblättern nennen Sie diese Grundlagen kurz und verständlich. Einwilligungen dokumentieren Sie vollständig (Text, Datum, Umfang, Widerruf).

Müssen wir eine/n Datenschutzbeauftragte/n benennen?

Ja, wenn die gesetzlichen Voraussetzungen greifen, etwa bei umfangreicher Verarbeitung besonderer Kategorien oder wenn regelmäßig und systematisch überwacht wird. In Deutschland ist zudem eine oder einer zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind. Dokumentieren Sie die Prüfung und die Benennung.

Dürfen wir WhatsApp für die Dienstplanung verwenden?

Für Klientendaten und sensible Inhalte: nein. Für reine organisatorische Mitarbeitendenabsprachen ohne personenbezogene Klientendaten bleibt das Risiko dennoch hoch. Nutzen Sie stattdessen datenschutzkonforme, vertraglich geregelte Tools mit AV-Vertrag, Rollen- und Rechtekonzept.

Wie gehen wir mit einem Fehlversand per E-Mail um?

Sofortmaßnahme: Empfänger kontaktieren, Löschung anfordern, weitere Verbreitung verhindern. Vorfall intern melden, Risiko für Betroffene bewerten und dokumentieren. Gegebenenfalls Aufsichtsbehörde binnen 72 Stunden informieren und Betroffene benachrichtigen.

Welche Rechte haben Betroffene auf Einsicht?

Nach DSGVO: Auskunft, Kopie, Berichtigung, Löschung, Einschränkung – jeweils gesetzlichen Grenzen folgend. Nach § 630g BGB: Einsicht in die Patientenakte. Identität prüfen, Fristen einhalten, Übergabe dokumentieren. Dritte nur mit Vollmacht oder gesetzlicher Ermächtigung.

Darf die Hausärztin ohne Einwilligung Informationen erhalten?

Wenn die Information für die Behandlung zwingend erforderlich ist und eine entsprechende rechtliche Grundlage besteht, kann die Übermittlung zulässig sein. Im Zweifel Einwilligung einholen oder eine klare, dokumentierte gesetzliche Ermächtigung heranziehen. Minimieren Sie den Umfang der Daten.

Müssen wir jede mobile Datenerfassung protokollieren?

Zugriffe auf Gesundheitsdaten sollten protokolliert werden, insbesondere bei mobilen Geräten. Protokolle dienen Nachvollziehbarkeit und Detektion von Missbrauch. Legen Sie Aufbewahrungsdauer und Auswertungsprozesse fest und beschränken Sie Zugriffe auf Logs.

Wie sichern wir Papierakten?

Papierakten werden gegen Einsicht durch Unbefugte geschützt: verschlossene Schränke, klare Ausleihprozesse, Mitnahmeprotokolle, Transport in geschlossenen Behältnissen. Keine Aufbewahrung im Privat-PKW und keine Ablage in allgemein zugänglichen Bereichen. Entsorgung ausschließlich über vertraglich gebundene Vernichtungsdienste.

Ist ein Foto von der Wohnumgebung zulässig?

Nur, wenn der Zweck es erfordert (z. B. zur Gefährdungsbeurteilung) und keine milderen Mittel bestehen. Vermeiden Sie die Abbildung Dritter und Privatgegenstände. Eine Einwilligung ist erforderlich, wenn der Zweck nicht unmittelbar pflegerisch/sozialleistungsbezogen ist.

Was tun bei Geräteverlust?

Sofort IT informieren, Remote-Wipe veranlassen, Passwörter ändern, Vorfall bewerten und dokumentieren. Prüfen Sie, ob meldepflichtige Datenschutzverletzungen vorliegen. Sensibilisieren Sie das Team für schnelle Reaktion und klare Meldewege.

Dürfen Auszubildende vollständige Akten einsehen?

Nur im Rahmen ihrer Ausbildung und unter Aufsicht, soweit es für Lernziele erforderlich ist. Rollenbasierte Zugriffe, Pseudonymisierung oder Teilmaskierung sind vorzuziehen. Eine Vertraulichkeitsverpflichtung ist zwingend.

Wie gestalten wir sichere E-Mail-Kommunikation mit Angehörigen?

Vermeiden Sie unverschlüsselte Übermittlung sensibler Inhalte. Nutzen Sie Portale, verschlüsselte Anhänge mit getrennt übermitteltem Passwort oder sichere Kommunikationsdienste. Prüfen Sie die Berechtigung der anfragenden Person und dokumentieren Sie die Ausgabe.

Brauchen wir eine Datenschutz-Folgenabschätzung (DSFA)?

Wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten birgt – z. B. umfangreiche, systematische Verarbeitung von Gesundheitsdaten oder Einsatz neuer Technologien. Prüfen und dokumentieren Sie die Kriterien, bewerten Sie Risiken und definieren Sie Abhilfemaßnahmen. Halten Sie die Entscheidung im DSFA-Dokument fest.

Welche Daten dürfen in die Abrechnung?

Nur abrechnungsrelevante Stammdaten, Leistungsnachweise und notwendige medizinische Angaben. Ausführliche Pflegeberichte oder interne Bewertungen nur, wenn sozialrechtlich zwingend. Beschränken Sie Inhalte und prüfen Sie, ob Anonymisierung/Pseudonymisierung möglich ist.

Wie vermeiden wir Oversharing bei MD-Anfragen?

Fordern Sie präzise Anforderungslisten an, grenzen Sie den Zeitraum ein, schwärzen Sie irrelevante Passagen. Nutzen Sie Checklisten pro Anfrage und lassen Sie die Zusammenstellung gegenlesen. Dokumentieren Sie den Abwägungsprozess.

Dürfen wir Kameras in Gemeinschaftsräumen einsetzen?

Videoüberwachung ist nur in engen Grenzen zulässig und im Pflegekontext besonders heikel. Privaträume sind tabu. Eine detaillierte Interessenabwägung, klare Beschilderung, kurze Speicherfristen und technische Zugriffsbeschränkungen sind Mindestanforderungen. Prüfen Sie, ob mildere Mittel existieren.

Wie gehen wir mit Betreuungs- und Vorsorgedokumenten um?

Bewahren Sie Vollmachten, Betreuerausweise und Patientenverfügungen strukturiert und zugriffsbeschränkt auf. Erfassen Sie Berechtigungen im System, damit Mitarbeitende rechtssicher handeln können. Prüfen Sie die Aktualität regelmäßig. [Hinweis intern verlinken: Patientenverfügung.]

Welche Anforderungen gelten für externe Dienstleister?

AV-Vertrag, TOMs, Unterauftragskontrolle, Speicherorte, Audit- und Informationsrechte. Testen Sie vorab mit Pseudodaten, definieren Sie Exit-Strategien und Datenrückgabe/Löschung bei Vertragsende. Dokumentieren Sie die Lieferantenbewertung.

Wie oft müssen wir schulen?

Mindestens jährlich sowie anlassbezogen (z. B. Systemwechsel, Vorfälle). Neue Mitarbeitende unverzüglich unterweisen. Schulungen dokumentieren (Inhalte, Datum, Teilnehmende) und Wissenschecks einplanen.

Dürfen wir Gesundheitsdaten zu Ausbildungszwecken anonymisiert nutzen?

Ja, vorzugsweise mit Anonymisierung oder belastbarer Pseudonymisierung. Entfernen Sie Bezüge, die eine Re-Identifikation ermöglichen könnten, und definieren Sie klare Freigabeprozesse. Für externe Schulungen gilt besondere Zurückhaltung.

Fazit

Datenschutz in der Pflege gelingt, wenn Sie drei Dinge konsequent verankern: klare Verantwortlichkeiten, dokumentierte Prozesse und minimale Datenverarbeitung. Ordnen Sie Ihre Verfahren sauber zwischen DSGVO/BDSG, Sozialdatenschutz (SGB X) und Behandlungsdokumentation (BGB) ein. Bezeichnen Sie für jedes Verfahren die konkrete Rechtsgrundlage, begrenzen Sie Datenflüsse auf das Erforderliche und sichern Sie Technik wie Organisation mit belastbaren TOMs ab. Ein schlankes Verarbeitungsverzeichnis, lebendige Schulungen und ein schneller, geübter Incident-Prozess schützen Betroffene und Ihr Haus gleichermaßen. Mobile Dokumentation, MD-Prüfungen, Fotos und Notfälle werden so beherrschbar – durch klare Entscheidungen, kurze Checklisten und konsequente Protokollierung. Wer Datenschutz als Qualitätsmerkmal versteht, schafft Vertrauen, reduziert Haftungsrisiken und hält die Versorgung im Fokus. Dabei gilt: so wenig Daten wie möglich, so viel Schutz wie nötig.