Datenschutz für Pflegeheime und Pflegedienste

Der spezialisierte Datenschutzbeauftragte in der Altenpflege: Warum Pflegeeinrichtungen einen Experten brauchen, nicht nur einen Datenschützer

Einleitung: Ein unterschätztes Risiko in der Pflegepraxis

In vielen ambulanten und stationären Pflegeeinrichtungen herrsche eine gefährliche Illusion vor: Die Bestellung eines Datenschutzbeauftragten (DSB) sei eine Formalität, die man mit einer generischen Datenschutzlösung „abhaken“ könne. Doch die Realität ist komplexer. Pflegeeinrichtungen verarbeiten täglich eine besonders schützenswerte Kategorie von Daten, nämlich Gesundheitsinformationen, unter Bedingungen, die spezialisierte Expertise erfordern. Der Grund: nicht alle Datenschutzbeauftragten sind gleich. Eine blanke Datenschutzkompetenz reicht in diesem Sektor nicht aus.

Dieser Artikel zeigt auf, warum Pflegeeinrichtungen nicht nur früher als andere Branchen zur Bestellung eines DSB verpflichtet sind, sondern auch einen pflegeerfahrenen und idealerweise auf Pflege spezialisierten Datenschutzbeauftragten benötigen – und welche rechtlichen sowie praktischen Gründe dafür sprechen.

Teil 1: Die rechtliche Benennungspflicht in der Pflege – Sie greift früher als in anderen Branchen

Das Kerntätigkeitsprinzip nach Art. 37 Abs. 1 c) DSGVO

Die Datenschutz-Grundverordnung (DSGVO) regelt in Artikel 37 Absatz 1 Buchstabe c die Benennungspflicht für Datenschutzbeauftragte. Sie bestimmt:

„Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Diese Regelung ist für Pflegeeinrichtungen entscheidend. Denn nach Artikel 9 Abs. 1 DSGVO gelten Gesundheitsdaten als „besondere Kategorien personenbezogener Daten“ mit erhöhtem Schutzbedarf. Dies ist nicht mit allgemeinen personenbezogenen Daten wie Namen oder Adressen zu verwechseln – hier geht es um höchst sensible Informationen.

Warum die Benennungspflicht in der Pflege früher greift

Hier liegt der entscheidende Unterschied gegenüber anderen Branchen:

Für einzelne Arztpraxen gilt eine wichtige Einschränkung: Erwägungsgrund 91 DSGVO stellt klar, dass eine Verarbeitung nicht als umfangreich gilt, wenn sie personenbezogene Daten von Patienten durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs betrifft. Beispiele sind typische Einzelpraxen von Allgemeinmedizinern oder Zahnärzten.

Wörtlich heißt es:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn sie sich auf Patientendaten bezieht und durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs erfolgt.“

Diese Ausnahme betrifft ausschließlich Einzelbehandler.

Pflegeeinrichtungen dagegen unterliegen dieser Ausnahme nicht, weil:

  1. Sie nicht von einer einzelnen Person betrieben werden, sondern von einem Unternehmen oder einer Institution mit üblicherweise mehreren Mitarbeitenden

  2. Die Verarbeitung systematisch und in großem Umfang stattfindet – Pflegedokumentation ist täglich, kontinuierlich und strukturiert

  3. Die Vernetzung mit anderen Leistungserbringern (Ärzte, Krankenhäuser, Apotheken, Sanitätshäuser) die Komplexität erheblich steigert

Deshalb haben sich verschiedene Aufsichtsbehörden dazu geäußert. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) vermerkt: Private Pflegeeinrichtungen müssen einen DSB benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung sensibler personenbezogener Daten besteht – und das ist bei Pflegeeinrichtungen strukturell der Fall.

Besonders klar ist die Situation bei Pflegeeinrichtungen in öffentlich-rechtlicher Trägerschaft (städtische, kommunale oder von Landkreisen betriebene Heime): Hier ist die Benennungspflicht nach Art. 37 Abs. 1 a) DSGVO automatisch erfüllt – unabhängig von der Größe, da jede öffentliche Stelle einen DSB benennen muss.

Die Praxis: Kein Spielraum für „Noch nicht nötig“

Viele kleinere Pflegedienste oder neue Pflegeheime beruhigen sich mit dem Gedanken: „Erst wenn wir größer werden…“ Doch rechtlich ist das problematisch. Die Pflicht ergibt sich nicht aus der Mitarbeitendenzahl, sondern aus der Natur der Datenverarbeitung selbst.

Ein beispielhafter Alltag in einer Pflegeeinrichtung:

  • Täglich werden Pflegedokumentationen erfasst (Vitalzeichen, Medikation, Inkontinenz, Mobilität, psychische Verfassung)

  • Diese werden elektronisch gespeichert und verarbeitet

  • Sie werden an Hausärzte, Fachärzte und Sanitätshäuser übermittelt

  • Angehörige fordern regelmäßig Einsicht an

  • Daten werden über längere Zeiträume aufbewahrt

Dies ist eindeutig eine umfangreiche, systematische Verarbeitung im Sinne der DSGVO. Die Benennungspflicht besteht ab Tag Eins – unabhängig davon, ob das Heim 5 oder 50 Mitarbeitende hat.

Zusätzlich zur europäischen Benennungspflicht gilt in Deutschland § 38 Abs. 1 BDSG. Danach muss ein Datenschutzbeauftragter benannt werden, wenn in der Einrichtung in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Pflicht greift unabhängig davon, ob die Verarbeitung besondere Kategorien personenbezogener Daten die Kerntätigkeit darstellt.

Das bedeutet: Pflegeeinrichtungen rutschen regelmäßig gleich über zwei Schwellen in die Benennungspflicht – einmal wegen Art. 37 DSGVO (Kerntätigkeit) und zusätzlich wegen § 38 BDSG (Mitarbeitendenzahl). Ein „Wir sind noch zu klein“ ist daher in der Praxis kaum haltbar.

Teil 2: Warum generische Datenschutzkompetenz nicht ausreicht – Die spezifischen Anforderungen der Pflegeverarbeitung

Komplexität der Pflegedokumentation und Datenflüsse

Um zu verstehen, warum ein spezialisierter DSB nötig ist, muss man die praktischen Datenflüsse und deren rechtliche Implikationen verstehen:

Szenario aus einer stationären Pflegeeinrichtung:

Herr Schmidt, 82 Jahre, mit Demenz und Diabetes, wird in einem Pflegeheim betreut. Die Pflegekraft dokumentiert:

  • Inkontinenzbefunde (besondere Kategorie nach Art. 9 DSGVO)

  • Medikationsgaben (Insulin, Blutdrucksenker – Gesundheitsdaten)

  • Verhaltenswechsel und psychische Veränderungen (gesundheitsrelevant)

  • Stürze, Wunden, Schmerzen (medizinische Informationen)

  • Essen und Trinken, Ausscheidungen (gesundheitliche Indikatoren)

Diese Daten werden eingegeben in eine elektronische Pflegedokumentation (ePD). Sie werden täglich aktualisiert, meist im Schichtsystem mehrfach täglich. Sie werden:

  • Dem Hausarzt übermittelt (via Post, E-Mail, oder zunehmend elektronische Patientenakte)

  • Mit dem Krankenhausfachbereich kommuniziert, wenn ambulante Fachbehandlung stattfindet

  • Der Krankenkasse für Abrechnungszwecke mitgeteilt

  • Angehörigen teilweise auf Nachfrage offengelegt

  • Im Todesfall müssen Fragen zum Dokumentationszugang beantwortet werden

Ein generischer Datenschützer fragt: „Wie schützt ihr die Daten? Wen habt ihr Zugriff gegeben?“

Ein pflegeerfahrener DSB versteht sofort: „Das ist nicht einfach nur ‚Daten schützen‘. Hier geht es um Dokumentation, die rechtlich relevant ist, um Kommunikation im multiprofessionellen Team, um Haftungsrisiken, um Geheimhaltung über den Tod hinaus – das ist ein völlig anderes Spielfeld.“

Anforderung 1: Tiefes Verständnis von Pflegeprozessen und Dokumentationszwecken

Nach § 630g BGB (Einsichtsrecht in die Patientenakte) analog und nach Artikel 9 Abs. 2 h) DSGVO ist die Pflegedokumentation rechtlich erforderlich – nicht optional:

„Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich“ (Art. 9 Abs. 2 h DSGVO)

Wer den Pflegealltag nicht kennt, weiß möglicherweise nicht:

  • Dass die Dokumentation nicht nur für den aktuellen Pflegeprozess notwendig ist, sondern auch für Qualitätssicherung, Haftungsabsicherung und interprofessionelle Kommunikation

  • Dass bestimmte Daten (z.B. Einstufungen nach Pflegegraden, Beobachtungen zu Demenz) mehrschichtig sensibel sind

  • Dass die Unterscheidung zwischen notwendigen Daten und „nice-to-have“ Informationen in der Pflege eine fachliche, nicht nur eine datenschutzrechtliche Entscheidung ist

Ein DSB mit Pflegeerfahrung kann mit der Pflegeleitung darüber sprechen, was tatsächlich dokumentiert werden muss und was redundant ist. Das ist nicht nur eine Datenschutzoptimierung, sondern auch eine Entlastung für das Personal.

Anforderung 2: Verständnis der voranschreitenden Digitalisierung

Die Pflegeindustrie durchlebt derzeit eine digitale Transformation von historischem Ausmaß:

Elektronische Pflegedokumentation (eWD): Viele Einrichtungen sind gerade dabei oder haben bereits migriert von papiergestützt auf digitale Systeme. Das Digitale Versorgung und Pflege-Modernisierungsgesetz (DVPMG) und § 355 SGB V sehen vor, dass ambulante und stationäre Pflegeeinrichtungen schrittweise an die Telematikinfrastruktur angebunden werden sollen. Ein flächendeckender Anschluss ist ab Mitte 2025 vorgesehen, eine gesetzlich fixierte Pflicht für alle Einrichtungen besteht jedoch noch nicht.

Elektronische Patientenakte (ePA): Die elektronische Patientenakte (ePA) wird ab 2025 zur Regelversorgung im Opt-out-Verfahren bereitgestellt. Pflegeeinrichtungen können darauf zugreifen, sobald ihre TI-Anbindung technisch umgesetzt und freigeschaltet ist. Das erzeugt neue Datenflüsse, neue Zugriffsprotokolle, neue Risiken.

Schnittstellen und APIs: Pflegedokumentation muss mit Abrechnungssystemen, elektronischen Rezeptsystemen (e-Rezept) und ärztlichen Praxismanagementsystemen kommunizieren können.

Was bedeutet das datenschutzrechtlich?

Ein Datenschutzbeauftragter ohne Verständnis für diese Digitalisierung könnte beispielsweise sagen: „Ihr müsst die ePA-Zugriffe loggen und archivieren.“ Ein spezialisierter Pflege-DSB weiß:

  • Wie viele Zugriffe täglich anfallen (in einem größeren Heim hunderte pro Tag)

  • Dass die technische Infrastruktur diese Lasten tragen muss

  • Welche Verträge mit dem Telematikinfrastruktur-Betreiber datenschutzkonform ausgestaltet sein müssen

  • Dass es Besonderheiten bei den Authentifizierungsmechanismen gibt, wenn Pflegekräfte (unterschiedlich digitalkompetent) Zugriffe haben

Nach Artikel 32 DSGVO ist jede Einrichtung verpflichtet, „technische und organisatorische Maßnahmen“ umzusetzen, um Sicherheit zu gewährleisten. Ein spezialisierter DSB kann die Einrichtung konkret beraten, welche Maßnahmen zu diesem wachsenden Datenfluss passen.

Anforderung 3: Vernetzung mit Ärzten, Fachspezialisten und Sanitätshäusern

Pflegeinrichtungen sind nicht isolierte Datensilos – sie sind Knoten in komplexen Versorgungsnetzwerken:

Ambulante Pflegedienste kooperieren mit:

  • Hausärzte (2-3 pro Tag können zu Besuch kommen)

  • Fachärzte (Kardiologen, Neurologen, Urologen bei speziellen Patienten)

  • Krankenhäuser (bei Übergängen zur stationären Behandlung)

  • Sanitätshäuser (für Hilfsmittel wie Rollstühle, Katheter, Wundversorgungsmaterial)

  • Apotheken (für Medikationsvorbereitung)

  • Psychologische oder therapeutische Dienste

Stationäre Einrichtungen haben zusätzlich:

  • Hausärzte (meist ein festes ärztliches Team vor Ort)

  • Spezialisierte Pflegeberatungen (z.B. Wundmanagement, Demenzspezialisten)

  • Diätberatungen

  • Physiotherapie

  • Seelsorge

Jeder dieser Kontakte ist eine Datenweitergabe und damit eine Datenverarbeitung, die datenschutzrechtlich geregelt sein muss. Nach Artikel 6 DSGVO braucht es eine rechtliche Grundlage (Vertrag, Einwilligung, Erforderlichkeit). Nach Artikel 13 DSGVO müssen Betroffene informiert werden.

Rechtlich kritische Fragen:

  • Wenn der Arzt zur Besuchszeit mit dem Pflegedienst das Tablet mit der Pflegedokumentation anschaut – ist das eine zulässige „Weitergabe“ oder eine „Verarbeitung durch einen Auftragsverarbeiter“?

  • Was passiert, wenn das Sanitätshaus ein Angebot für adaptive Kleidung macht und dafür die Mobilitätsdaten des Patienten braucht – ist das eine Auftragsverarbeitung oder ein gemeinsamer Verantwortlicher?

  • Wie wird kommuniziert, wenn der Patient in kein Krankenhaus will, aber die hausärztliche Dokumentation die Einlieferung vorbereitet hätte?

Ein generischer DSB könnte theoretisch eine Musterliste der „zulässigen Empfänger“ erstellen. Ein spezialisierter Pflege-DSB versteht:

  • Die praktischen Abläufe

  • Die berufliche Notwendigkeit dieser Weitergaben

  • Wo es datenschutzliche Spielräume gibt und wo es Grenzen gibt

  • Welche Fallstricke es bei der Kommunikation mit verschiedenen Fachbereichen gibt

Anforderung 4: Betroffenenrechte – Das Auskunftsinteresse von Angehörigen und die spezifische Situation pflegebedürftiger Menschen

Die DSGVO gewährt betroffenen Personen extensive Rechte – unter anderem das Auskunftsrecht nach Artikel 15 DSGVO. Doch in der Pflegepraxis entstehen praktische und ethische Komplexitäten:

Szenario 1: Die Tochter fragt nach der Dokumentation ihrer demenzkranken Mutter

Frage: „Darf ich die Pflegedokumentation meiner Mutter einsehen?“

Die Antwort ist nuanciert:

  • Rechtlich ja, wenn die Mutter ihr Auskunftsrecht selbst ausübt oder die Tochter entsprechend bevollmächtigt ist (Art. 15 DSGVO)

  • Aber: Was, wenn die Mutter aufgrund ihrer Demenz nicht einsichtsfähig ist?

  • Was, wenn die Einrichtung darin einen therapeutischen Nachteil für die Mutter sieht (z.B. bei depressiven Tendenzen)?

  • Was, wenn die Dokumentation auch Daten über die Tochter selbst enthält (z.B. „Tochter aggressive, ungeduldig“)?

Szenario 2: Der Patient ist verstorben. Der Sohn möchte Einsicht in die Dokumentation, um einen Behandlungsfehler zu überprüfen

Rechtlich greift hier die DSGVO nicht mehr (sie gilt nur für Lebende). Aber es greifen andere Regelungen:

  • Die Schweigepflicht nach § 203 StGB wirkt über den Tod hinaus fort. Die Rechtsgrundlage hierfür ergibt sich aus § 203 Abs. 4 Satz 2 StGB in Verbindung mit der ständigen Rechtsprechung.

  • Für Einsichten von Angehörigen kommt § 630g BGB grundsätzlich nur im ärztlichen Behandlungsverhältnis direkt zur Anwendung. In der Pflege wird die Vorschrift jedoch regelmäßig analog herangezogen. Angehörige können ein Einsichtsrecht geltend machen, wenn sie ein eigenes rechtliches Interesse nachweisen (beispielsweise zur Prüfung von Schadensersatzansprüchen). Die Einrichtung muss in jedem Fall eine Interessenabwägung vornehmen.

Ein Datenschutzbeauftragter ohne Pflege-Background könnte hier nur sagen: „Das ist ein Zivilrecht-Problem, dafür bin ich nicht zuständig.“ Ein spezialisierter DSB versteht die Schnittstellen zwischen Datenschutz, Medizinrecht, Erbrecht und Pflichtverantwortung.

Nach BfDI-Aussagen (Bundesbeauftragte für Datenschutz und Informationsfreiheit) wird Datenschutz im Gesundheitsbereich viel zu oft isoliert betrachtet. Ein spezialisierter DSB muss diese rechtlichen und praktischen Schnittstellen beherrschen.

Teil 3: Die Empfehlung der Datenschutz-Aufsichtsbehörden und Wissenschaft

Was die Datenschutzkonferenz (DSK) empfiehlt

Die Datenschutzkonferenz (DSK) – das Zusammengremium aller deutschen Bundesdatenschutzbehörden und des BfDI – hat sich mehrfach zum Datenschutz im Gesundheitsbereich geäußert.

Eine zentrale Erkenntnis aus DSK-Stellungnahmen: Gesundheitsdaten haben einen besonderen Vertrauensschutz, der über allgemeine Datenschutznormen hinausgeht. Die DSK betont:

„Da die Epa [elektronische Patientenakte] sehr sensible Gesundheitsdaten beinhaltet, sei es elementar wichtig, dass wir hier auch hohe datenschutzrechtliche Standards setzen.“ (Prof. Louisa Specht-Riemenschneider – Mitglied des Datenschutzbeirats beim BfDI, 2024)

Pflegeeinrichtungen, die diese Daten täglich verarbeiten, benötigen entsprechend hohe Standards bei ihrer Datenschutzaufsicht. Das ist nicht möglich mit einem DSB, der nur Datenschutzrecht kennt – sondern erfordert jemanden, der auch versteht, wie diese Daten entstehen, warum sie notwendig sind, und wie sie korrekt genutzt werden.

Anforderungen der BfDI zur Qualifikation von Datenschutzbeauftragten

Die BfDI und verschiedene Orientierungshilfen nennen explizit, dass die Qualifikation eines DSB sich nach der Art und dem Risiko der Datenverarbeitung richtet.

Nach Artikel 37 Abs. 5 DSGVO sind folgende Faktoren wesentlich:

  • Berufliche Qualifikation im Hinblick auf Fachwissen auf dem Gebiet des Datenschutzrechts

  • Fachwissen auf dem Gebiet der Datenschutzpraxis

  • Fähigkeit, die Aufgaben nach Art. 39 DSGVO zu erfüllen

Nicht vergessen: Die erforderliche Spezialisierung richtet sich nach der Branche.

Nach verschiedenen Datenschutzbehörden und Fachkriminologen (z.B. Johner Institut):

„Sofern besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) in größerem Umfang verarbeitet werden, muss der DSB sich mit den einschlägigen Regelungen in besonderer Tiefe vertraut machen.“

Genau das ist die Situation in Pflegeeinrichtungen.

Wissenschaftliche Fachliteratur zur Spezialisierung

Die wissenschaftliche Literatur zum Datenschutz im Gesundheitswesen (z.B. Leuchtner, „Datenschutz in der Pflege – Ein Praxishandbuch“) betont wiederholt: Ein Datenschutzbeauftragter in Pflegeeinrichtungen muss nicht nur das Gesetz kennen, sondern auch die Praxis verstehen.

Die Gründe sind:

  1. Regelwerk ist komplex: Pflegeeinrichtungen unterliegen nicht nur der DSGVO und dem BDSG, sondern auch:

    • SGB V und XI (Sozialversicherung)

    • § 113 SGB XI (Maßstäbe und Grundsätze zur Sicherung und Weiterentwicklung der Pflegequalität); Richtlinien des Medizinischen Dienstes Bund zur Qualitätssicherung der Qualitätsprüfungen (QS-RL QP)

    • Landesheimgesetze bzw. Wohn- und Teilhabegesetze der Länder; ggf. Landeskrankenhausgesetze (für Krankenhäuser, nicht für Pflegeheime)

    • Infektionsschutzgesetz (relevant für Pflegedokumentation bei Infektionen)

    • Eventuell spezifische kirchliche Regelungen (für kirchliche Einrichtungen)

    Ein Datenschützer, der diese Schnittmengen nicht kennt, kann nicht richtig beraten.

  2. Praxis ist risikoreich: Datenschutzverletzungen in der Pflege haben unmittelbare Folgen. Ein ausgelaufenes Tablet mit Patientendaten ist nicht nur ein Datenschutzvorfall, sondern kann zu:

    • Diskriminierung (wenn die Diagnose bekannt wird)

    • Erpressung (wie im Fall des finnischen Therapiezentrums, wo Erpresser Psychotherapie-Daten nutzten)

    • Psychischer Belastung betroffener Personen führen

    Ein spezialisierter DSB versteht dieses Risiko, nicht nur abstrakt, sondern konkret.

Teil 4: Praktische Szenarien – Wo Spezialisierung Unterschied macht

Beispiel 1: Pflege-Tablet und ärztliche Visite

Das Szenario:
Ein ambulanter Pflegedienst kümmert sich um Frau Weber, 76, mit Herzinsuffizienz. Der Hausarzt kommt zur wöchentlichen Visite. Die Pflegekraft zeigt dem Arzt auf ihrem Tablet die neuesten Vitalwerte und Beobachtungen. Der Arzt liest mit, schreibt danach eine Notiz hinzu.

Generischer DSB würde fragen:

  • „Habt ihr eine Nutzungsrichtlinie für das Tablet?“

  • „Habt ihr den Arzt in eure Datenschutzerklärung erwähnt?“

  • „Wisst ihr, wer auf das Tablet Zugriff hat?“

Spezialisierter Pflege-DSB würde zusätzlich klären:

  • „Ist das Tablet unter Beobachtung des Arztes oder verlässt er es mal?“

  • „Können Sie technisch sicherstellen, dass der Arzt später nicht eigenständig auf die Daten zugreift, wenn er nicht mehr im Termin ist?“

  • „Wenn der Arzt die Notiz eingegeben hat – ist das eine Datenverarbeitung durch ihn als Auftragsverarbeiter oder arbeitet ihr gemeinsam verantwortlich?“

  • „Hat der Arzt technisch Mittel, um nur relevante Daten zu sehen (z.B. nicht die Toilettengänge)?“

  • „Wie dokumentiert ihr diese Visite datenschutzkonform?“

Diese praxisgerechte Beratung ist nur möglich, wenn der DSB versteht, wie eine ärztliche Visite in der Pflegepraxis abläuft.

Beispiel 2: Einsicht der Tochter in die Pflegedokumentation

Das Szenario:
Herr Müller, 85, mit Demenz, liegt in einem Pflegeheim. Die Tochter ruft an: „Mein Vater sagt, die Pflegekräfte seien unhöflich zu ihm. Ich möchte die Dokumentation einsehen, um zu überprüfen, ob das stimmt.“

Generischer DSB würde sagen:

  • „Das ist ein Auskunftsrecht nach Art. 15 DSGVO. Sie müssen es dem Vater stellen, nicht der Tochter.“

Spezialisierter Pflege-DSB würde darüber hinaus beraten:

  • „Der Vater hat eine Demenz. Können wir davon ausgehen, dass er die Aussagekraft seiner Einsicht beurteilen kann?“

  • „Es gibt Anhaltspunkte, dass die Tochter einen Interessenskonflikt hat (vielleicht wird sie Betreuerin). Wie gehen wir damit um?“

  • „In der Pflegedokumentation sind auch Angaben über die Tochter: ‚Tochter ungeduldig, sagt dem Vater, er hätte das ohnehin vergessen.‘ Diese Bewertungen können auch für die Tochter datenschutzsensibel sein – können wir sie schwärzen?“

  • „Gibt es ein berechtigtes Interesse der Pflegeeinrichtung, das gegen die Auskunft spricht? (Z.B.: Wir haben eine Beschwerde von Mitarbeitenden, dass die Tochter Aufnahmen von ihr im Heim macht – könnten wir diese Balance dokumentieren?)“

Diese Differenzierung ist datenschutzlich völlig legitim, wird aber von generischen DSB häufig übersehen.

Beispiel 3: Digitalisierung und die Telematikinfrastruktur

Das Szenario:
Ein Pflegeheim führt gerade ein neues elektronisches Pflegedokumentationssystem ein und plant, sich an die Telematikinfrastruktur (TI) anzubinden, um perspektivisch ePA-Zugriffe zu ermöglichen.

Generischer DSB würde checken:

  • „Habt ihr einen Datenverarbeitungsvertrag mit dem Softwareanbieter?“

  • „Sind die Daten verschlüsselt?“

  • „Habt ihr eine Datenschutzfolgeabschätzung gemacht?“

Spezialisierter Pflege-DSB würde zusätzlich beraten:

  • „Wie viele Zugriffe pro Tag fallen an? (In einem 200-Betten-Heim können das 500+ Zugriffe sein, davon viele aus der Nachtschicht oder bei Notfällen.)“

  • „Sind eure IT-Mitarbeitenden geschult, dass ePA-Zugriffe Audit-Logs erzeugen, die archiviert werden müssen?“

  • „Habt ihr überlegt, dass Pflegekräfte unterschiedliche digitale Kompetenzen haben? Manche verstehen Single-Sign-On nicht, manche scheitern an der ePA-Aktivierung des Patienten – das sind auch Datenschutzrisiken.“

  • „Die Telematikinfrastruktur ist staatlich betrieben – habt ihr verstanden, wer dort als Datenverarbeiter fungiert und welche Aufsicht es gibt?“

  • „Wenn euer System down ist und eine alte Papierliste genutzt wird – wie dokumentiert ihr diese Medienbrüche datenschutzkonform?“

Dies erfordert Verständnis sowohl für die technische als auch für die organisatorische Seite der Pflegeverarbeitung.

Teil 5: Die Qualifikation des idealen Pflege-DSB

Basierend auf den oben genannten Anforderungen sollte ein spezialisierter Datenschutzbeauftragter für Pflegeeinrichtungen folgende Qualifikationen aufweisen:

Obligatorische Grundqualifikationen (Art. 37 Abs. 5 DSGVO)

  • Juristisches Fachwissen: Umfassende Kenntnisse der DSGVO, des BDSG, relevanter Landesdatenschutzgesetze

  • Technische Kenntnisse: Verständnis von Verschlüsselung, Netzwerksicherheit, Cloud-Systemen, Telematikinfrastruktur

  • Praktische Erfahrung: Fähigkeit, Datenschutz nicht nur theoretisch, sondern operativ umzusetzen

Spezielle Pflegekompetenz

  • Fachkenntnisse in der Pflege: Im Idealfall eine Ausbildung oder mehrjährige Berufserfahrung als Pflegekraft, Pflegeleitung oder in der Pflegedokumentation

  • Alternativ: Umfangreiche spezialisierte Schulung durch anerkannte Datenschutz-Akademien mit Pflegefokus

  • Verständnis von Pflegeprozessen: Kenntnis von Dokumentationsstandards, Pflegediagnosen, Qualitätssicherung

  • Vernetzungsverständnis: Erfahrung mit multiprofessionellen Teams, ärztlicher-pflegerischer Kommunikation, Schnittstellen zu Krankenkassen und Behörden

Praktische Fähigkeiten

  • Fähigkeit, komplexe Datenschutzthemen in einfache, handlungsorientierte Maßnahmen für Pflegekräfte zu übersetzen

  • Schulungskompetenz: Mitarbeitende im Pflegealltag schulen, ohne sie zu überfordern

  • Risikobewertung: Die speziellen Risiken von Pflegedaten verstehen und konkret bewerten

  • Kommunikation: Mit Pflegeleitung, IT, Ärzten, Aufsichtsbehörden sprechen können

Fazit: Der spezialisierte DSB als Gewinn, nicht als Mehrkosten

Die Bestellung eines Datenschutzbeauftragten ist in Pflegeeinrichtungen nicht optional – sie ist eine rechtliche Pflicht, die früher greift als in vielen anderen Branchen. Aber das reicht nicht: Die Qualität dieser Bestellung entscheidet darüber, ob Datenschutz als lästiges Compliance-Thema oder als Qualitätsmerkmal wahrgenommen wird.

Ein spezialisierter Datenschutzbeauftragter mit Pflegeerfahrung ist nicht „teuer“ – er ist ein Investitionsschutz. Er verhindert:

  • Teure Bußgelder (bis zu 20 Millionen Euro nach DSGVO)

  • Reputationsschaden durch Datenpannen

  • Mitarbeitendenfluktuation durch schlechtes Datenschutz-Management

  • Schadensersatzforderungen von betroffenen Personen

Gleichzeitig trägt er positiv bei zu:

  • Besserer Datenschutzkultur im Team

  • Vertrauen von Patienten und Angehörigen

  • Qualitätsoptimierung der Dokumentation

  • Leichterer Erfüllung von behördlichen Anforderungen

Pflegeeinrichtungen sollten sich Zeit nehmen, einen DSB zu finden oder zu benennen, der nicht nur die Gesetze kennt, sondern auch versteht, wie der Pflegealltag funktioniert. Der Schritt lohnt sich.

Literatur und Quellen