Datenschutz für Pflegeheime und Pflegedienste
Datenschutz Audit

Datenschutzprüfung in der Pflegeeinrichtung

Leitfaden für GF und PDL

Einleitung

In der Pflege arbeiten Sie jeden Tag mit Daten, die in der DSGVO als Hochrisiko gelten. Gesundheitsdaten, Sozialdaten, Pflegedokumentation, also das volle Programm. Dazu kommen SGB-Vorgaben und die strafrechtliche Schweigepflicht. Genau deshalb schaut die Aufsicht bei Pflegeeinrichtungen genauer hin als bei normalen Unternehmen.

Dieser Leitfaden zeigt, wie eine Datenschutzprüfung in der Praxis abläuft, worauf Prüfer sofort achten und wie sich Geschäftsführung und Pflegedienstleitung gezielt vorbereiten können.

Warum Datenschutzprüfungen in der Pflege besonders kritisch sind

Pflegeeinrichtungen sind aus Sicht der Aufsicht keine normalen Unternehmen. Und wer Pflege kennt, weiß: Die Risiken kommen nicht aus der Theorie, sondern aus dem Alltag. Schichtdienst, viele externe Partner, Angehörige, mobile Pflege, Papierakten, Dienstzimmerverkehr – hier entstehen Fehler, wenn Strukturen fehlen.

Typische Risikofaktoren:

  • Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO
  • Bewohnerinnen und Bewohner mit erhöhter Schutzbedürftigkeit
  • Hohe Anzahl an Mitarbeitenden in wechselnden Schichten
  • Mobile Pflege, Hausbesuche, Dokumentation außerhalb der Einrichtung
  • Viele externe Empfänger: Ärzte, Kliniken, MD, Kassen, Therapeuten, Hausnotruf, IT-Dienstleister

Wer hier keine klaren Strukturen und Nachweise vorweisen kann, riskiert Bußgelder, Auflagen, negative Prüfberichte und im Ernstfall auch persönliche Haftung der Leitung.

Wie eine Datenschutzprüfung in der Pflege tatsächlich abläuft

Prüfer arbeiten nicht nach deiner Ordnerstruktur, sondern nach Logik. Die wollen sofort sehen, ob Sie Ihren Laden wirklich im Griff haben oder ob alles nur auf dem Papier gut aussieht. In der Praxis sehen sie sich zuerst diese Punkte an.

Schritt 1 – Benennung und Stellung des Datenschutzbeauftragten

Prüfer wollen sofort wissen:

  • Ist ein Datenschutzbeauftragter bestellt und passt die Qualifikation zur Pflegebranche
  • Liegt die schriftliche Bestellung vor
  • Wurde der DSB der Aufsichtsbehörde gemeldet
  • Wie ist der DSB organisatorisch eingebunden (Organigramm, Weisungsfreiheit, direkte Berichtslinie an die Geschäftsführung)

Fehlt hier etwas oder ist der DSB nur eine Formalie, wissen Prüfer sofort: Die Einrichtung lebt den Datenschutz nicht, sie verwaltet ihn nur. Das ist der erste rote Punkt.

Schritt 2 – Verzeichnis der Verarbeitungstätigkeiten (VVT)

Das VVT ist der Fahrplan der gesamten Prüfung. Prüfer achten auf:

  • Vollständigkeit: Pflegedokumentation, Bewohnerverwaltung, Personal, Dienstplanung, Hausnotruf, Abrechnung, IT-Verwaltung, Videoüberwachung, Schulungsverwaltung
  • Aktualität: Stand und letzte Überarbeitung erkennbar
  • Pflegespezifische Rechtsgrundlagen: DSGVO, BDSG, SGB V, SGB IX, SGB XI, SGB XII und § 203 StGB
  • Dokumentierte Zwecke, Empfänger, Löschfristen, Drittlandübermittlungen
  • Klare Verantwortlichkeiten für jede Verarbeitungstätigkeit

Wenn das VVT veraltet oder unvollständig ist, brauchen Sie gar nicht weitermachen. Dann ist klar, dass die Basis fehlt. Jede Prüfung kippt hier, bevor sie richtig begonnen hat

Schritt 3 – Technische und organisatorische Maßnahmen (TOMs)

Hier geht es um den praktischen Schutz der Daten. Wichtig sind zum Beispiel:

  • Zugriffs- und Berechtigungskonzepte in Pflegesoftware und Verwaltungssystemen
  • Rollen und Rechte für Pflegekräfte, PDL, Verwaltung, Geschäftsführung, externe Dienstleister
  • Passwort- und Authentifizierungskonzept
  • Regelungen für Diensthandys, Tablets und mobile Geräte
  • Schutz von Papierakten, Dienstzimmern und Stationszimmern
  • Notfall- und Backupkonzept

Prüfer wollen nicht nur PDF-Dateien sehen. Sie wollen wissen: Funktioniert das im Alltag? Oder ist es nur ein schönes Dokument für die Schublade?

Schritt 4 – Auftragsverarbeitung und externe Dienstleister

Ohne externe Dienstleister läuft keine moderne Pflegeeinrichtung. Genau deshalb ist dieser Punkt prüfungsrelevant:

  • Liste aller Dienstleister mit Zugriff auf personenbezogene Daten
  • Schriftliche Auftragsverarbeitungsverträge für Pflegesoftware, Rechenzentrum, IT-Betreuer, Telefonanlage, Cloud-Dienste, Lohnbuchhaltung, Hausnotruf, E-Mail-Provider
  • Nachweise zu den TOMs der Dienstleister
  • Regelungen und Protokollierung von Fernwartungszugriffen

Fehlende oder inhaltlich schlechte AV-Verträge sind ein klassischer Prüfungsbefund.

Pflege-spezifische Prüfschwerpunkte

Neben den Standardthemen schauen Prüfer in Pflegeeinrichtungen sehr genau auf typische Risiken im Pflegealltag.

Übergaben und Dokumentationspraxis

Kritische Punkte:

  • Offene Monitore in Dienst- oder Stationszimmern
  • Pflegeberichte oder Medikamentenpläne liegen für Besucher sichtbar offen
  • Übergaben im Flur oder Speiseraum mit namentlicher Nennung von Diagnosen
  • Aktenwagen unverschlossen und unbeaufsichtigt

Hier geht es um Vertraulichkeit im Alltag, nicht nur um schöne Konzepte auf Papier.

Wundfotos und medizinische Befunde

Wundfotos sind die häufigste Datenschutzpanne in der Pflege. Wenn Bilder auf privaten Handys landen, ist das keine Kleinigkeit; das ist eine meldepflichtige Datenpanne. Prüfer wissen das ganz genau.

Ein Dauerbrenner in der Praxis:

  • Fotografieren von Wunden mit privaten Handys der Mitarbeitenden
  • Speicherung der Bilder in der privaten Galerie oder Cloud
  • Versand über Messenger oder unverschlüsselte E-Mail
  • keine dokumentierten Einwilligungen der Betroffenen oder ihrer Vertreter
  • keine Löschkonzepte für Bildmaterial

Prüfer erwarten klare Regeln: wer darf mit welchen Geräten wie fotografieren, wohin werden Fotos gespeichert und wann werden sie gelöscht.

Kommunikation mit Angehörigen

Angehörige meinen es gut, Mitarbeitende auch. Aber genau hier passieren jeden Tag Fehler. Prüfer fragen gezielt nach dem Telefonprozess, weil fast jede Einrichtung hier Schwachstellen hat. Hier passieren viele rechtswidrige Auskünfte:

  • Telefonische Informationen ohne sichere Identifizierung des Anrufers
  • Weitergabe von Arztbefunden an Familienangehörige ohne Einwilligung oder Vollmacht
  • Nutzung von privaten E-Mail-Adressen der Mitarbeitenden für Bewohnerangelegenheiten

Prüfer erwarten eine dokumentierte Regelung, wie telefonische und schriftliche Auskünfte korrekt erteilt werden.

Mobile Arbeit und Außendienst

Ambulante Pflege ist ein Datenschutz-Minenfeld, wenn Geräte nicht sauber geregelt sind. Im ambulanten Bereich und bei Hausbesuchen sind diese Themen kritisch:

  • Nutzung privater Smartphones und Tablets (Bring your own device)
  • Diensthandys ohne Verschlüsselung, PIN oder Mobile Device Management
  • Speicherung von Tourenplänen, Adressen und Diagnosen in privaten Apps
  • Papierunterlagen im Auto ohne Sicherung

Hier entscheidet sich, ob Datenschutz real gelebt wird oder nur auf dem Papier existiert. Ein verlorenes Handy mit Tourenplan reicht für eine Meldung an die Aufsicht.

Zusammenarbeit mit Ärzten, Kliniken, MD und weiteren Partnern

Typische Prüffragen:

  • Auf welcher Rechtsgrundlage übermitteln Sie welche Daten an wen
  • Wie ist die Zusammenarbeit mit Hausärzten, Fachärzten, Kliniken, Therapeuten und MD geregelt
  • Wie werden Befunde, Entlassberichte und Verordnungen dokumentiert und archiviert
  • Wie gehen Sie mit Faxen und E-Mail-Kommunikation um

Unklare Zuständigkeiten und fehlende Verschlüsselung fallen Prüfern schnell auf.

Organisatorische Kernbereiche: Bewohner, Personal, Verwaltung

Bewohner- und Patientenverwaltung

Prüfer achten hier auf:

  • Verständliche und vollständige Datenschutzhinweise für Bewohner und deren Vertreter
  • Dokumentierte Einwilligungen, zum Beispiel für Fotos, Veröffentlichungen, besondere Therapieformen
  • Prozesse für Auskunftsrechte, Berichtigung, Einschränkung und Löschung
  • Löschkonzept mit Bezug auf SGB XI, SGB XII und steuerliche Aufbewahrungsfristen

Personalverwaltung

Hier geht es um die Daten der Mitarbeitenden:

  • Umgang mit Gesundheitsdaten und arbeitsmedizinischen Unterlagen
  • Dokumentation von Impfstatus, Arbeitsunfähigkeiten und betrieblichen Eingliederungsmaßnahmen
  • Einsichtsrechte in Personalakten
  • Aufbewahrungs- und Löschfristen
  • Zugriffsrechte der Führungskräfte

Schulung und Sensibilisierung

Ohne Schulung gibt es keinen wirksamen Datenschutz:

  • Regelmäßige Schulungen für alle Mitarbeitenden, auch Teilzeitkräfte und Springer
  • Dokumentation der Inhalte und Teilnehmer
  • Einweisung neuer Mitarbeitender bereits beim Einstieg
  • Verständliche Richtlinien zu Passwörtern, Geräten, Fotoaufnahmen, Messenger-Nutzung und Auskünften

Prüfer fragen sehr häufig nach konkreten Schulungsnachweisen der letzten Jahre.

IT und technische Infrastruktur in der Pflegeeinrichtung

Pflegesoftware und Fachanwendungen

Prüfer sehen sich folgende Punkte an:

  • Rollen- und Rechtekonzepte in der Pflegesoftware
  • Protokollierung von Zugriffen und Änderungen
  • Exportfunktionen und Datenübermittlungen an Dritte
  • Fernzugriffe für externe IT-Dienstleister
  • Datensicherung und Wiederherstellungstests

Mobile Geräte

  • Einsatz von Diensthandys, Tablets und Laptops
  • Konfiguration von Bildschirmsperren, Verschlüsselung und Remote-Löschung
  • Installierte Apps und deren Berechtigungen
  • Trennung von privaten und dienstlichen Daten

Netzwerk und Server

  • Dokumentation der Netzwerkstruktur
  • Absicherung von WLAN und Gastzugängen
  • Nutzung von Firewalls, Virenschutz und Updates
  • Zugriffsrechte auf Netzlaufwerke und Serverfreigaben
  • Protokollierung sicherheitsrelevanter Ereignisse

Die 12 häufigsten Mängel in Pflegeeinrichtungen aus Sicht des Prüfers

  1. Nutzung von WhatsApp oder anderen Messengern für Bewohner- und Mitarbeiterdaten
  2. Wundfotos auf privaten Smartphones ohne Einwilligung und Löschkonzept
  3. Offene Bildschirme in Dienst- und Stationszimmern
  4. Kein aktuelles Verzeichnis der Verarbeitungstätigkeiten
  5. Fehlende oder unvollständige Auftragsverarbeitungsverträge
  6. Passwortlisten in Papierform oder ungesicherten Dateien
  7. Keine dokumentierten Datenschutzschulungen
  8. Unkontrollierte Fernwartung durch IT-Dienstleister
  9. Kein geregelter Umgang mit Fax und unverschlüsselter E-Mail
  10. Unklare Regeln zur Kommunikation mit Angehörigen
  11. BYOD ohne Richtlinie und ohne technische Absicherung
  12. Fehlende oder unvollständige Datenschutzfolgenabschätzungen bei Hochrisikoprozessen

Wenn zwei oder mehr dieser Punkte zutreffen, können Sie davon ausgehen, dass die Prüfung schwierig wird. Diese Fehler sind jedem Prüfer bekannt.

So bereiten sich Geschäftsführung und PDL konkret vor

Vorbereitung in 30 Minuten

Viele Risiken lassen sich in 30 Minuten entschärfen, wenn man weiß, wo man ansetzt. Genau hier scheitern die meisten Einrichtungen, weil niemand strukturiert vorbereitet. Für eine erste Vorbereitung sollten Sie:

  • Die aktuelle Version des VVT bereitlegen und sichtbar datieren
  • Das Dokument mit den technischen und organisatorischen Maßnahmen griffbereit halten
  • Eine Liste aller Dienstleister mit AV-Verträgen zusammenstellen
  • Schulungsnachweise der letzten zwei bis drei Jahre bündeln
  • Eine Rechtematrix für Pflegesoftware und zentrale IT-Systeme erstellen oder aktualisieren
  • Regelungen zu Wundfotos, Messenger-Nutzung und mobilem Arbeiten schriftlich dokumentieren

Checkliste zur internen Vorbereitung

Nutzen Sie zusätzlich eine strukturierte Checkliste, die alle Kernpunkte einer Prüfung abfragt. Damit erkennen Sie auf einen Blick, wo noch Handlungsbedarf besteht und wo Sie bereits gut aufgestellt sind.

Download: Checkliste „Datenschutzprüfung in der Pflegeeinrichtung“

Download Download Jetzt Checkliste herunterladen und in 20 Minuten prüfen, ob ihr bereit seid.

Professionelle Ersteinschätzung Ihres Datenschutzstatus

Eine Prüfung durch die Aufsicht oder den MDK trifft Pflegeeinrichtungen häufig unvorbereitet. Viele Risiken lassen sich jedoch früh erkennen, wenn jemand mit Pflegeexpertise darauf schaut. Ich prüfe kostenfrei und unverbindlich, wie gut Ihre Einrichtung datenschutzrechtlich aufgestellt ist.

Sie erhalten:

  • Analyse der wichtigsten Dokumente
  • Bewertung zentraler Risikobereiche im Pflegealltag
  • Einschätzung Ihrer Prüfreife
  • Priorisierte Handlungsempfehlungen
  • Kurzes Abschlussgespräch (falls gewünscht)

Ein Service exklusiv für Pflegeeinrichtungen.

Chat Chat Kostenlosen DSGVO-Check starten

Häufige Fragen zur Datenschutzprüfung in der Pflegeeinrichtung

Bei einer Datenschutzprüfung in der Pflegeeinrichtung kontrolliert die Aufsichtsbehörde oder ein externer Datenschutzbeauftragter, ob der Umgang mit Bewohner-, Patienten- und Mitarbeiterdaten den Vorgaben der DSGVO, des BDSG, der sozialrechtlichen Spezialgesetze und der Schweigepflicht entspricht. Geprüft werden vor allem Verantwortlichkeiten, Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen sowie die Umsetzung im Pflegealltag.

Zu Beginn einer Datenschutzprüfung in der Pflegeeinrichtung werden in der Regel die Benennung und Meldung des Datenschutzbeauftragten, das Verzeichnis der Verarbeitungstätigkeiten, die Dokumentation der technischen und organisatorischen Maßnahmen sowie die Auftragsverarbeitungsverträge mit externen Dienstleistern geprüft. Diese Unterlagen zeigen, ob die Einrichtung den Datenschutz strukturiert organisiert hat.

Wichtige Unterlagen für eine Datenschutzprüfung in der Pflegeeinrichtung sind unter anderem die Bestellung und Meldung des Datenschutzbeauftragten, das aktuelle Verzeichnis der Verarbeitungstätigkeiten, die Dokumentation der technischen und organisatorischen Maßnahmen, eine Liste der Dienstleister mit Auftragsverarbeitungsverträgen, Datenschutzrichtlinien und Verfahrensanweisungen, Schulungsnachweise sowie ein Lösch- und Archivierungskonzept.

Typische Mängel bei Datenschutzprüfungen in Pflegeeinrichtungen sind etwa die Nutzung von Messengern wie WhatsApp für Bewohner- oder Mitarbeiterdaten, Wundfotos auf privaten Smartphones, ein veraltetes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten, fehlende Auftragsverarbeitungsverträge, offene Bildschirme in Dienstzimmern, fehlende oder undokumentierte Datenschutzschulungen sowie kein geregelter Umgang mit Fax und unverschlüsselter E-Mail.

Geschäftsführung und Pflegedienstleitung sollten frühzeitig die Kernunterlagen sichten und aktualisieren, darunter Verzeichnis der Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen, Dienstleisterliste mit Auftragsverarbeitungsverträgen, Schulungsnachweise und interne Richtlinien zu Wundfotos, Messenger-Nutzung und mobiler Arbeit. Eine strukturierte Checkliste hilft, Lücken zu erkennen und die benötigten Nachweise für den Prüfer gebündelt bereitzuhalten. Viele Einrichtungen lassen sich hier von einem spezialisierten Datenschutzbeauftragten begleiten, der Pflegeprozesse und Prüferlogik kennt.

Datenschutzprüfungen in Pflegeeinrichtungen gelten als besonders streng, weil dort in großem Umfang Gesundheitsdaten und andere besonders schutzwürdige Informationen nach Art. 9 DSGVO verarbeitet werden und die Bewohnerinnen und Bewohner häufig eine erhöhte Schutzbedürftigkeit haben. Zusätzlich greifen sozialrechtliche Spezialnormen und die strafrechtliche Schweigepflicht. Fehler im Datenschutz können daher nicht nur Bußgelder, sondern auch gravierende Reputationsschäden und Haftungsrisiken nach sich ziehen. Deshalb setzen immer mehr Pflegebetriebe auf Experten, die ihre Strukturen prüffest aufbauen.