Datenschutz in der Pflege

In einer zunehmend digitalisierten Welt erfolgt die Pflegedokumentation im Pflegeheim und in ambulanten Pflegediensten oft mittels elektronischer Datenverarbeitung. Diese Entwicklung bietet zahlreiche Vorteile, wie eine schnellere Datenverfügbarkeit und effizientere Arbeitsabläufe.

Gleichzeitig stellt sie die Pflege vor große Herausforderungen: Die DSGVO schützt sensible Patientendaten ganz besonders. Betreiber von Pflegeeinrichtungen müssen garantieren, dass unbefugter Zugriff und Missbrauch möglich ist. Hier soll regelmäßig ein fachkundiger Datenschutzbeauftragter unterstützen.

Warum Datenschutz in der Pflege so wichtig ist

Im Pflegeheim, im Pflegedienst und in der Tagespflege werden regelmäßig sensible Daten über Bewohner und Besucher verarbeitet. Dabei müssen alle Mitarbeiter in Pflegeeinrichtungen jederzeit auf die Einhaltung der Schweigepflicht achten, denn jeder Verstoß wird gemäß § 203 Strafgesetzbuch auch strafrechtlich relevant.

Zunehmend und spätestens nach Einführung der DSGVO ist auch der Datenschutz in Pflegeeinrichtungen ein überaus relevantes Thema. Ein erfahrener Datenschutzbeauftragter hilft dabei, Verstöße zu vermeiden und den Datenschutz als Qualitätsmerkmal zu etablieren.

Auch die fortschreitende Digitalisierung der Pflege zwingt uns, nicht nur Datenschutz sondern auch Datensicherheit sicherzustellen. So müssen wir darauf achten, unverzüglich Software-Updates einzuspielen und die schnelle Behebung technischer Probleme sicherstellen. Vor allem müssen Pflegeunternehmen darüber hinaus regelmäßige Backups erstellen (mindestens ein tagaktuelles Speicherabbild aller Patientenakten) und für den Notfall schnell reaktivierbar bereit halten.

Pflegeeinrichtungen stehen darüber hinaus in einem regelmäßigen Austausch mit externen Dienstleistern wie Abrechnungshäusern, Apotheken, Sanitätshäusern und Therapeuten. Auch diese werden personenbezogenen Daten speichern. Der Schutz der Gesundheitsdaten auch wenn sie durch Dritte verarbeitet werden ist in der Datenschutzgrundverordnung klar geregelt.

Was verlangt die DSGVO nun konkret von ambulanten Pflegediensten und stationären Pflegeinrichtungen?

Die DSGVO verpflichtet Pflegeunternehmen zur Benennung eines Datenschutzbeauftragten, sobald regelmäßig besondere Kategorien personenbezogener Daten – wie Gesundheitsdaten – verarbeitet werden (Art. 37 Abs. 1 lit. c) DSGVO und § 22 Abs. 2 Nr. 4 BDSG). Ein externer Datenschutzbeauftragter kann diese Rolle übernehmen und sicherstellen, dass alle gesetzlichen Anforderungen erfüllt werden.

Dieser sorgt dann gemeinsam mit der Leitung der Pflegeeinrichtung dafür, dass Datenschutzmaßnahmen wie Verschlüsselung, Zugriffskontrollen und regelmäßige Schulungen der Mitarbeitenden umgesetzt werden und dass die Aufsichtsbehörde bei Datenschutzvorfällen korrekt einbezogen wird.

Zudem haben Betroffene das Recht, jederzeit Auskunft über die zu ihrer Person gespeicherten Daten zu verlangen. Ein Datenschutzbeauftragter berät die Leitung und die Pflegekräfte, um sicher mit den datenschutzrechtlichen Vorgaben und den hohen Erwartungen der Patienten und Angehörigen umzugehen.

Risiko: Datenschutzverstöße in Pflegeeinrichtungen

Ein Verstoß gegen die DSGVO kann schwerwiegende Folgen haben, darunter Schadenersatzansprüche von Betroffenen, hohe Bußgelder und ein Verlust des Vertrauens von Patienten und Angehörigen. Die Zusammenarbeit mit einem Datenschutzbeauftragten minimiert diese Risiken und stärkt das Vertrauen in Ihre Einrichtung.

Doch die DSGVO bietet nicht nur Pflichten, sondern auch Chancen: Durch die Einhaltung der Vorgaben stärken Pflegeunternehmen ihre Reputation und schaffen Vertrauen bei den Betroffenen.

Es ist in der Pflege nicht nur gesetzliche Pflicht, einen Datenschutzbeauftragten zu bestellen, sondern auch ein Zeichen von Professionalität und Respekt vor der Privatsphäre der Menschen, die auf Pflege angewiesen sind.

Datenschutz und Pflege - Datenschutzbeauftragter Lars Werner

„Für Patienten ist es wichtig zu wissen, dass ihre Daten nicht in falsche Hände geraten. Für Pflegeunternehmer kommt hinzu, keine Haftungsrisiken einzugehen.“

Lars WernerDatenschutz-Experte

Wie wir Sie als Datenschutzbeauftragter unterstützen

Als Ihr externer Datenschutzbeauftragter stehen wir Ihnen mit fundiertem Fachwissen, praxisnahen Lösungen und persönlichem Engagement zur Seite. Gemeinsam sorgen wir dafür, dass Ihr Unternehmen nicht nur die gesetzlichen Anforderungen erfüllt, sondern auch das Vertrauen Ihrer Klienten und Mitarbeitenden stärkt.

Externer Datenschutzberater

Pflegeeinrichtungen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, dessen Kontaktdaten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.

Datenschutzberatung

Beratung zu technisch-organisatorischen Maßnahmen und Aufbau einer unternehmensweiten Datenschutzorganistation. Im Falle einer Datenpanne wirkt ein eingerichtetes Datenschutzmanagement bußgeldmindernd.

Rettung im Notfall

Beantwortung von Auskunftsersuchen von Betroffenen und Führen des Schriftverkehrs mit der Aufsichtsbehörde mit dem Ziel, die Verhängung eines Bußgeldes zu vermeiden.

Ausgelagerte Interne Meldestelle

Die Einrichtung einer Meldestelle ist seit 2023 verpflichtend und soll Mitarbeitern ermöglichen, Bedenken oder Verstöße vertraulich zu melden, um eine wirksame Aufklärung und Maßnahmenergreifung zu gewährleisten.

Datenschutz beim Pflegedienst und in Stationären Einrichtungen: Herausforderungen

1. Allgemeine Fragen zur Umsetzung der DSGVO

Wie erfolgt die Umsetzung der DSGVO?
Wann ist die automatisierte Datenverarbeitung erlaubt?
Stationäre oder ambulante Pflege – Gibt es in Bezug auf den Datenschutz Unterschiede?

2. Erhebung und Verarbeitung personenbezogener Daten

Auf welcher Rechtsgrundlage werden die konkreten personenbezogenen Daten erhoben?
Gibt es besondere Vorgaben, wenn die personenbezogenen Daten des Betroffenen aus externen Quellen gewonnen wurden?
In welchen Fällen müssen Betroffene eine entsprechende Einwilligungserklärung abgeben?
Wann besteht die Pflicht, einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen?

3. Schutz personenbezogener Daten und Schweigepflicht

Wie werden personenbezogene Daten vor dem Zugriff Unberechtigter geschützt?
Wie können Patientenakten vor dem Zugriff Unberechtigter geschützt werden?
Können Pflegende von der Schweigepflicht entbunden werden?
Was ist zu unternehmen, wenn die Schweigepflicht nicht eingehalten wurde?

4. Betroffenenrechte und Auskunftsfragen

Wie werden Betroffenenrechte, z. B. das Auskunftsrecht nach Art. 15 DSGVO, gewahrt?
Welche Auskünfte dürfen gegeben werden?
Dürfen enge Angehörige Einsicht in die personenbezogenen Daten des Patienten nehmen?

Das sollten Sie beim Datenschutz in der Pflege beachten

Beispiele für Maßnahmen (Auswahl; bei Weitem nicht abschließend)

Teamübergaben in geschützter Umgebung

Teamübergaben sollten in einem abgeschlossenen Raum erfolgen, damit Unbefugte keine sensiblen Patientendaten mithören können.

Dokumentationseinsicht nur für berechtigte Personen

Patientenakten dürfen nur von autorisierten Pflegekräften eingesehen werden. Angehörige erhalten nur dann Informationen, wenn eine ausdrückliche Einwilligung des Patienten vorliegt.

Sichere Schlüsselverwaltung für Patientenzimmer und Medikamentenschränke

Schlüssel dürfen nicht offen zugänglich aufbewahrt oder an unbefugte Personen weitergegeben werden. Eine schriftliche Dokumentation der Schlüsselvergabe ist sinnvoll.

Datenweitergabe an externe Dienstleister (z. B. Apotheke, Sanitätshaus, Physiotherapie, Logopädie, IT-Betreuer)

Vor der Übermittlung personenbezogener Daten an Dritte sollte geprüft werden, ob ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich ist.

Anfragen von Angehörigen zu Gesundheitszustand und Pflegeverlauf

Ohne eine schriftliche Einwilligung des Bewohners dürfen keine Auskünfte über Gesundheitsdaten an Angehörige weitergegeben werden.

Aufbewahrung von Diensthandys und digitalen Arbeitsgeräten

Diensthandys oder Tablets mit Patientendaten sollten nie unbeaufsichtigt liegen bleiben. Bildschirmsperren mit Passwortschutz sind Pflicht.

Fotos von Bewohnern nur mit Einwilligung

Fotos von Bewohnern dürfen nur mit vorheriger schriftlicher Einwilligung gemacht und veröffentlicht werden – auch bei Gruppenfotos.

Nutzung von Social Media durch Mitarbeitende

Mitarbeitende sollten keine dienstlichen Informationen oder Fotos von Bewohnern auf Social-Media-Plattformen (z. B. WhatsApp, Facebook, Instagram) teilen.

Aktenvernichtung und Entsorgung sensibler Dokumente

Ausgedruckte Pflegeberichte oder Medikamentenpläne gehören nicht in den normalen Papiermüll, sondern müssen fachgerecht geschreddert oder in Datenschutz-Behältern entsorgt werden.

Sicherer Umgang mit E-Mails und digitalen Patienteninformationen

Gesundheitsdaten sollten nur verschlüsselt per E-Mail versendet werden. Unverschlüsselte E-Mails sind unsicher und können abgefangen werden.

Was sind die Aufgaben eines Datenschutzbeauftragten?

Zurück Weiter

1. Erhebung und Analyse des Datenschutzlevels

Audit Website, Aufbau eines Datenschutzmanagements im Unternehmen, IT-Sicherheit

2. Unterrichtung und Beratung

des Verantwortlichen und der Pflegekräfte hinsichtlich ihrer Pflichten nach Datenschutzrecht

3. Überwachung

der Einhaltung der gesetzlichen Datenschutzvorschriften

4. Erarbeitung und Kontrolle

von erforderlichen Dokumenten (Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungsverträge, ggf. Datenschutzfolgenabschätzungen, Einwilligungserklärungen von Pflegekräften oder Bewohnern bzw. Klienten)

5. Beratung zu Technischen und organisatorischen Maßnahmen (TOM)

z.B. Zugänglichkeit von Akten, öffentliche Drucker, offene Türen, EDV für Jedermann etc.

6. Unterstützung

bei der Beantwortung von Betroffenenanfragen, Auskunftsersuchen, Berichtigung, Löschung, Schadenersatz etc.

7. Kommunikation mit der Aufsichtsbehörde

z.B. Erfüllung der Meldepflicht bei Pannen, Anlaufstelle für Behördenanfragen; Vorsicht: Hier lauern Bußgeldgefahren!

8. Zusammenarbeit

mit dem Provider, Webdesigner zur Herstellung der DSGVO-Konformität

9. Schulung des Pflegepersonals

bzw. Ausarbeitung und Zuverfügungsstellen von Schulungsmaterialien

zusätzlich bei Pflegeunternehmen:

Prüfung des Pflegevertrages auf Vorhandensein und Wirksamkeit der Einwilligung in die Erhebung und Verarbeitung von personenbezogenen Daten
datenschutzrechtliche Beurteilung von Warteliste, Belegungslisten, Namensschildern oder Fotos an Bewohnertür, Umgang mit Kundenschlüsseln, Mitarbeiterfotos im Internet, Datenschutz bei Zusammenarbeit mit Externen (Apotheken, Ärzte, Sanitätshäuser etc.)

Warum ist ein Externer Datenschutzbeauftragter die bessere Wahl?

Unternehmensübergreifender Erfahrungsschatz des Externen

Ein Externer Datenschutzbeauftragter ist für verschiedene Pflegedienste tätig und hat folglich viel Erfahrung und damit Lösungsansätze zu bieten. Er hat den sprichwörtlichen „Blick über den Tellerrand“.

Planbare und refinanzierbare Kosten

Die Kosten des Externen Datenschutzbeauftragten sind immer gleich niedrig und damit kalkulierbar. Sie werden bei der Pflegesatz- bzw. Punktwertverhandlung als „Zentrale Verwaltungskosten“ anerkannt und somit refinanziert.

Keine Zusatzkosten wie beim betrieblichen Datenschutzbeauftragten

Zur Aufrechterhaltung der erforderlichen und gesetzlich vorgeschriebenen Fachkunde entstehen erhebliche Kosten für Aus- und Weiterbildung sowie für Fachbücher und Zeitschriften. Diese übernimmt der Externe DSB in Eigenverantwortung. Der eigene Mitarbeiter lässt sich für die Übernahme der zusätzlichen Aufgabe in der Regel auch zusätzlich vergüten.

Haftung des Externen bei Fehlern

Im Gegensatz zum betrieblichen Datenschutzbeauftragten haftet der Externe Datenschutzbeauftragte für eine fehlerhafte Beratung. Für den Fall der Fälle haben wir hierfür eine Versicherung (bei der Allianz) abgeschlossen.

Der betriebliche Datenschutzbeauftragte genießt Kündigungsschutz

Ein betrieblicher Datenschutzbeauftragter genießt während seiner Tätigkeit und ein Jahr darüber hinaus Kündigungsschutz. Die Personalflexibilität wird dadurch erheblich eingeschränkt.

Gefahr der Eigenkündigung des betrieblichen Datenschutzbeauftragten

Wenn der betriebliche Datenschutzbeauftragte selbst kündigt, benötigt man schnell fachkundigen Ersatz, um den gesetzlichen Vorgaben gerecht zu werden. Hier lauert ein Bußgeldrisiko.

Geschäftsführer, PDL und Heimleiter dürfen nicht Datenschutzbeauftragte sein

Der Datenschutzbeauftragte soll die verantwortlichen Personen kontrollieren und beraten. Daher würde ein Interessenkonflikt entstehen, wenn weisungsberechtigte Leitungspersonen selbst Datenschutzbeauftragte wären. Die DSGVO verbietet diese Konstellation.

Die Agentur für Datenschutz in der Pflege

Datenschutz ist ein Prozess, kein Projekt.

Unsere Beratungstätigkeiten sind so konzipiert, als dass die Leistungen möglichst im Rahmen einer dauerhaften Betreuung als Externer Datenschutzbeauftragter erbracht werden. Nur mittels dieser Ausgestaltung ist schnelles Reagieren auf sich stellende Herausforderungen sichergestellt. Vor allem im Krisenmanagement bei Datenschutzvorfällen (z.B. Hacking-Angriff, verloren gegangenen Mobilgeräten oder Datenträger usw.) ist es von entscheidender Wichtigkeit, sich nicht erst lähmend einarbeiten zu müssen und dass erforderliche Dokumente bereits zur Verfügung stehen.

Über mich - Ihr Datenschutzbeauftragter

02 - 2018
Gründung der Agentur für Datenschutz
2019
Spezialisierung auf die Pflegebranche
02 - 2023
5 Jahre professioneller Datenschutz für stationäre und ambulante Pflege
07 - 2023
Erweiterung des Leistungsspektrums um eine Meldestelle nach dem Hinweisgebergesetz.

meldezentrum.de

Datenschutz- und Pflege-Experte Lars Werner

Datenschutz ist wichtig. Vor allem in der Pflege. Sie sollen und dürfen aber Pflegeprofi bleiben. Um den Datenschutz kümmer‘ ich mich. Versprochen.

Den Pflegeprofis den Rücken freihalten.

Die Pflegebranche steht momentan vor wahnsinnig großen Herausforderungen. So bilden die demografische Entwicklung, die zu massiver Nachfrage an Pflegeplätzen führt und der gleichzeitige Mangel an Pflegefachkräften eine explosive Mischung, die es unter Beibehaltung der Qualität zu beherrschen gilt.

Diese Aufgabe bindet die Kapazitäten der allermeisten kleinen bis mittleren Pflegeeinrichtungen derartig, so dass keine Kapazitäten zur Konzeption und Dokumentation aller Datenschutzanstrengungen verfügbar sind.

Vernünftiger Datenschutz für Pflegeunternehmen

Ich habe mir mit meiner Agentur zum Ziel gesetzt, für meine Mandanten den Datenschutz sinnvoll zu organisieren und sie damit vor einem ‚Zuviel des Guten‘ zu bewahren.

Gleichzeitig sollen sie aber so vorbereitet sein, dass jeder Betroffenenanfrage oder Kontrolle der Aufsichtsbehörde mit Gelassenheit entgegen gesehen werden kann.