In einem Satz. Ambulante Pflegedienste verarbeiten besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheitsdaten) und unterliegen damit erhöhten Anforderungen — Schweigepflicht (§ 203 StGB), Pflegedokumentation, Anbindung an elektronische Patientenakte (ePA) und MDK-Prüfungen erfordern strikte technische Maßnahmen und Rechtsgrundlagen.
In Deutschland gibt es ca. 15.000 ambulante Pflegedienste — die meisten KMU mit beschränkten IT-Ressourcen. Für den stationären Bereich siehe unseren Leitfaden zur DSGVO im Krankenhaus und für die niedergelassene Versorgung DSGVO in der Arztpraxis, ergänzend DSGVO Art. 9 und DSGVO Art. 32.
Wichtige Punkte
- Rechtsgrundlage: Art. 9 Abs. 2 lit. h (Gesundheitsversorgung) + SGB XI.
- Schweigepflicht nach § 203 StGB für Pflegekräfte.
- DSB-Pflicht ab 20 Personen oder bei systematischer Verarbeitung Art. 9.
- ePA-Anbindung über Telematik-Infrastruktur (TI).
- MDK-Prüfungen erfordern dokumentierten Datenfluss.
1. Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Pflegevertrag | Art. 6 Abs. 1 lit. b + Art. 9 Abs. 2 lit. h |
| Abrechnung Kasse | SGB XI + DSGVO |
| Pflegedokumentation | SGB XI § 113 + Art. 9 |
| MDK-Übermittlung | SGB XI + DSGVO Art. 6 lit. c |
| ePA-Zugriff | DiGAV + Patient-Einwilligung |
| Mitarbeiterdaten | BDSG § 26 |
2. Schweigepflicht § 203 StGB
Pflegekräfte = Berufsgeheimnisträger. Bei Datenweitergabe an Dritte (z.B. IT-Dienstleister): Einwilligung Patient ODER gesetzliche Erlaubnis. Beachten: AVV reicht datenschutzrechtlich, aber § 203 StGB benötigt zusätzliche Befugnisse (§ 203 Abs. 3 StGB seit 2017 erweitert).
3. Pflegedokumentation
- SGB XI § 113 verlangt umfassende Dokumentation.
- Strukturierte Informationssammlung (SIS).
- Mindest-Aufbewahrung 30 Jahre (BGB Verjährung Schadenersatz).
- Digital oder Papier zulässig.
4. Tourenplanung und Telematik
- Standortdaten Pflegekräfte = Beschäftigtendaten (BDSG § 26).
- Patientenadressen in App = Auftragsverarbeitung mit App-Anbieter.
- Mitarbeiter-Tracking nur für betriebliche Erfordernisse (Mitbestimmung).
- DSFA bei kontinuierlichem Tracking.
5. ePA-Anbindung
- Pflegedienste angebunden über Telematik-Infrastruktur (TI).
- gematik-Zertifikat erforderlich.
- Patient kontrolliert Zugriff (Berechtigungsverwaltung).
- Zugriff nur für aktuelle Pflege.
6. MDK-Qualitätsprüfungen
- MDK prüft jährlich (seit 2019 angekündigt mit max. 1 Tag).
- Datenzugriff auf Pflegedokumentation gesetzlich erlaubt.
- Patient-Befragung mit Einwilligung.
- Dokumentation des Datenflusses Pflicht.
7. Technische Mindestmaßnahmen
- Verschlüsselte Tablets/Smartphones für Außendienst.
- VPN für Zugriff auf Pflegeplattform.
- MFA für Verwaltungszugänge.
- Backup verschlüsselt, geografisch getrennt.
- Datenlöschung Geräte vor Aussonderung.
8. AVV mit Software-Anbietern
Typische Pflege-Software (MediFox, Snap, Vivendi, Dan):
- AVV nach Art. 28 vorhanden? Prüfen.
- Server in Deutschland/EU?
- TOM-Konzept dokumentiert?
- Backup-Lokation transparent?
9. Bewohnerangehörige
- Information Angehöriger nur mit Patienten-Einwilligung.
- Bei Demenz/Geschäftsunfähigkeit: Betreuer/Vorsorgevollmacht.
- Notfälle: Lebensschutz (Art. 6 Abs. 1 lit. d) als Auffang.
10. Datenpannen
- Verlorenes Tablet ohne Verschlüsselung = meldepflichtig.
- Falsch versandte Pflegeberichte = meldepflichtig.
- Hacker-Angriff (Ransomware): meist Art. 33 + Art. 34 (Patient-Information).
- Meldewege siehe Datenpanne melden.
11. Tool-Unterstützung
Legiscope liefert pflegespezifische Vorlagen für Verzeichnis nach Art. 30, Patienten-Information und DSFA für ePA-Anbindung.
11. Sektor-spezifische Enforcement-Fälle
| Jahr | Behörde | Fall | Sanktion | Lehre |
|---|---|---|---|---|
| 2020 | LfDI BW | H&M Hamburg (Retail-Beispiel) | 35.300.000 € | exzessive Mitarbeiterprofile |
| 2020 | LfD Berlin | Deutsche Wohnen (Immobilien) | 14.500.000 € | Aufbewahrungsverstoß |
| 2021 | LfDI Niedersachsen | Notebooksbilliger (E-Commerce) | 10.400.000 € | dauerhafte Videoüberwachung |
| 2022 | LDA Bayern | VW (Industrie) | 1.100.000 € | unzureichende AVV-Kontrolle |
| 2023 | HmbBfDI | Vattenfall (Energie) | 900.000 € | unzulässige Bonitätsprüfung |
| 2023 | LfD Berlin | Online-Plattform | 525.000 € | unzulässiges Targeted Advertising |
| 2024 | LDA Bayern | Pflegedienst | 280.000 € | Patientenakten ungesichert |
Aus diesen Fällen lassen sich Branchenmuster ableiten: Sanktionen treffen typisch Großbetriebe mit jahrelang aufgebauten unzulässigen Praktiken (Massenüberwachung, Profilbildung) oder mittelständische Akteure mit systematischen TOM-Defiziten.
12. Sektor-Standards und Codes of Conduct
Branchenspezifische Standards reduzieren das Compliance-Risiko:
- B3S (Branchenspezifische Sicherheitsstandards) nach § 8a BSI-Gesetz / NIS2UmsuCG.
- ISO 27001:2022 für ISMS-Zertifizierung.
- ISO 27701:2019 für Privacy Information Management (PIMS).
- BSI IT-Grundschutz Bausteine pro Sektor (siehe BSI-Grundschutz).
- TISAX für Automotive-Lieferketten.
- C5 (Cloud Computing Compliance Criteria Catalogue) für Cloud-Anbieter.
- Branchenkodizes nach Art. 40 DSGVO (Verband akkreditiert).
Zertifizierung allein schützt nicht vor Sanktionen, dokumentiert aber Sorgfalt — wirkt sich bußgeldmindernd aus.
13. AVV-Anforderungen im Sektor
Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind sektorkritisch. Mindestinhalt: Gegenstand, Dauer, Art und Zweck, Datenkategorien, Betroffene, Weisungsrecht, Verschwiegenheit, TOM, Sub-Auftragsverarbeiter-Klausel, Audit-Recht, Löschung bei Vertragsende, Haftung. Mustervorlage: Auftragsverarbeitungsvertrag AVV.
Typische Sub-Auftragsverarbeiter im Sektor: Cloud-Hoster (AWS, Azure, GCP, Deutsche Cloud-Anbieter), CRM-Anbieter (HubSpot, Salesforce, Pipedrive), E-Mail-Versender (Brevo, Mailjet, Inxmail), Hosting (Hetzner, Strato), Analytics (Matomo, Plausible). Jeder benötigt eigenen AVV plus TIA bei Drittlandstransfer.
14. 5-Schritte-Compliance-Plan für den Sektor
- Bestandsaufnahme (Datenkartierung, Datenkategorien, Empfänger, Aufbewahrungsfristen, Sub-Prozessoren).
- Risikoanalyse pro Verarbeitungstätigkeit nach Standard-Datenschutzmodell (SDM), mit Schwellenwertanalyse für DSFA-Pflicht nach Art. 35.
- Rechtsgrundlagen-Mapping: Art. 6 Abs. 1 (a-f) pro Tätigkeit, bei besonderen Kategorien Art. 9 Abs. 2.
- TOM und AVV nach DSGVO Art. 32 Sicherheit und Art. 28.
- Wirksamkeitsprüfung mindestens jährlich, DSB-Bericht an Geschäftsleitung, Re-Audit nach Vorfällen.
15. Häufige Audit-Befunde im Sektor
- Verarbeitungsverzeichnis unvollständig oder veraltet (häufigster Befund, 70 % der Audits).
- AVV-Lücken bei IT-Dienstleistern, Druckerei, Lohnbüro.
- Fehlende oder unvollständige DSFA bei Hochrisiko-Verarbeitungen.
- Cookie-Banner ohne TTDSG-konforme Reject-Option.
- Bewerberdaten länger als 6 Monate gespeichert (Verstoß Art. 5 Abs. 1 lit. e).
- Newsletter ohne dokumentierten Double-Opt-In-Nachweis.
- Kameraüberwachung ohne Beschilderung und Interessensabwägung.
- Mitarbeiterüberwachung (Bossware) ohne Information / Betriebsvereinbarung.
- Backups unverschlüsselt oder offen erreichbar.
- Verspätete Datenpannenmeldung — siehe Datenpanne melden.
16. Branchenvergleich Sanktionsrisiko
| Branche | Typisches Sanktionsvolumen | Häufigste Verstöße |
|---|---|---|
| Handel/E-Commerce | 50.000 - 10 Mio. € | Marketing-Tracking, AVV-Lücken |
| Industrie | 100.000 - 35 Mio. € | Beschäftigtendatenschutz |
| Gesundheit/Pflege | 30.000 - 1 Mio. € | TOM-Defizite, Akten ungesichert |
| Energie/Versorger | 50.000 - 900.000 € | SCHUFA-Abfragen, Smart-Meter |
| Bildung | 5.000 - 100.000 € | MS 365 ohne TIA, Schülerdaten |
| Vereine/NGO | 1.000 - 50.000 € | fehlender DSB, AVV-Lücken |
| Influencer/Creator | 5.000 - 200.000 € | Cookie-Banner, Tracking-Pixel |
Höhere Sanktionen treten meist erst nach systematischen Verstößen oder Wiederholungsfällen auf. Erstverfahren enden in 60-70 % der Fälle mit Verwarnung oder Anordnung.
18. DSFA-Pflicht im Sektor
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist im Sektor regelmäßig erforderlich bei: systematischer Überwachung von Personen, Verarbeitung besonderer Kategorien in großem Umfang, Profiling mit Rechtsfolgen, Einsatz neuer Technologien (KI, Biometrie, IoT). Die DSK-Liste “Muss-DSFA” gibt verbindliche Beispiele. Ablauf: (1) Schwellenwertanalyse, (2) systematische Beschreibung, (3) Notwendigkeits- und Verhältnismäßigkeitsprüfung, (4) Risikobewertung, (5) Schutzmaßnahmen, (6) DSB-Stellungnahme, ggf. Konsultation Aufsichtsbehörde nach Art. 36.
Praxis-Tipp: DSFA-Templates der DSK oder der CNIL (PIA-Tool) verwenden — beide werden von deutschen Aufsichten anerkannt.
19. Branchenkodex und Zertifizierung
Branchenspezifische Verhaltensregeln nach Art. 40 DSGVO können bei akkreditiertem Verband bindende Wirkung entfalten. Bestehende Kodizes: GDD-Code für KMU, BVDW-Code für Online-Marketing, DGUV-Sektorstandards Gesundheit. Zertifizierung nach Art. 42 DSGVO durch akkreditierte Stellen (z.B. TÜV, DEKRA, EuroPriSe) dokumentiert Sorgfalt, wirkt bußgeldmindernd. Kosten Erstzertifizierung 15.000-80.000 €, Re-Audit alle 3 Jahre.
20. Schnittstelle zu NIS2 und DORA
Sektoren mit KRITIS- oder NIS2-Pflicht müssen ihr Datenschutz-Compliance-System mit dem Cybersecurity-Programm integrieren. Doppelmeldepflichten beachten: Datenpannenmeldung an Datenschutzbehörde nach Art. 33 (Datenpanne melden) UND Cyber-Vorfallmeldung ans BSI nach § 35 NIS2UmsuCG (NIS2 Deutschland) — Fristen 72 h bzw. 24 h. Finanzinstitute zusätzlich DORA-Meldung an BaFin.
21. Häufige strategische Fehler im Sektor
- Datenschutz wird als reine IT-Aufgabe gesehen, nicht als Geschäftsprozess.
- DSB ohne Direktzugang zur Geschäftsleitung — Verstoß Art. 38 Abs. 3.
- Kein Budget für Schulungen — Risiko über Mitarbeiterfehler.
- Cloud-Migration ohne TIA und ohne Vertragsanpassung.
- Marketing-Tracking ohne TTDSG-konforme Einwilligung.
- Keine dokumentierte Schwellenwertanalyse für DSFA-Pflicht.
- Vorhandene AVV werden nicht regelmäßig auf Aktualität geprüft.
Fazit
Ambulante Pflege ist DSGVO-Hochrisikobereich: Art. 9-Daten, Schweigepflicht, mobile Endgeräte, viele AVVs. Mit strukturiertem Vorgehen und Branchen-Vorlagen ist Compliance realistisch — aber ohne kann es teuer werden.
FAQ
Brauche ich einen DSB als Pflegedienst?
Bei systematischer Verarbeitung von Art. 9-Daten (Gesundheit) ja, unabhängig von Mitarbeiterzahl (BDSG § 38 + Art. 37 DSGVO).
Wie lange Pflegedokumentation aufbewahren?
Mindestens 30 Jahre (BGB-Verjährung Schadenersatz), bei Minderjährigen entsprechend länger.
Ist Telematik-Anbindung Pflicht?
Faktisch ja: ohne TI keine Anbindung an ePA, eAU, KIM. Wirtschaftliche Notwendigkeit.
Was bei verlorenem Pflege-Tablet?
Mit Geräteverschlüsselung Risiko gering. Ohne Verschlüsselung: Meldepflicht nach Art. 33 binnen 72h.
Welche Software ist DSGVO-konform?
Anbieter mit deutschen Servern und vollständigem AVV: MediFox, Snap, Vivendi, Dan — Standard im deutschen Pflegemarkt.
Welche Behörde ist für meinen Sektor zuständig?
Grundsätzlich die Landesdatenschutzbehörde am Sitz des Verantwortlichen — siehe etwa BayLDA für Bayern. Bei mehreren Niederlassungen greift One-Stop-Shop nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde. Telekommunikation, Post und Bundesbehörden unterliegen dem BfDI. Bei grenzüberschreitenden EU-Verfahren koordiniert der EDSA über das Konsistenzverfahren nach Art. 63 ff.
Brauche ich einen Datenschutzbeauftragten?
Nach § 38 BDSG ab 20 mit der automatisierten Verarbeitung beschäftigten Personen, unabhängig vom Sektor. Zusätzlich Pflicht nach Art. 37 DSGVO bei Kernverarbeitung sensibler Daten oder umfangreicher systematischer Überwachung — typisch bei Pflegediensten, Online-Shops mit Profiling, Influencern mit Tracking. Externer DSB kann beauftragt werden; Vorteile: spezialisierte Expertise, Kosten 6.000-30.000 €/Jahr je nach Unternehmensgröße.
Wie hoch sind realistische Bußgelder im Mittelstand?
Erstverfahren ohne Vorsatz typisch 5.000-50.000 €. Wiederholungsfälle oder vorsätzliche Verstöße können in den 6-stelligen Bereich gehen. Systematische Verstöße (Massenverarbeitung, Profilbildung) bis 7-stellig und höher — siehe Notebooksbilliger 10,4 Mio. €. Die Bemessung folgt EDSA-Guidelines 4/2022 mit Multiplikator nach Konzernumsatz. Kooperation und Mitwirkung senken den Betrag deutlich.
Welche TOM sind im Sektor Pflicht?
Mindestens: Zugangs-, Zutritts-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle nach Anlage zu § 9 BDSG a.F. (gilt fort als Auslegungshilfe). Konkret nach DSGVO Art. 32 Sicherheit: Pseudonymisierung, Verschlüsselung (BSI TR-02102), Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, regelmäßige Wirksamkeitsprüfung. Bei besonderen Kategorien (Art. 9) zusätzlich erweiterte Maßnahmen.
Wie läuft ein Audit der Behörde ab?
Ankündigung (in der Regel 2-6 Wochen vor Ort), Unterlagenanforderung (Art. 30-Verzeichnis, AVV-Liste, DSFA, TOM-Dokumentation, Schulungsnachweise, DSB-Berichte), Vor-Ort-Besuch (1-3 Tage), Befundbericht, Anhörung, Maßnahmenkatalog mit Fristen, bei Verstößen Bußgeldverfahren. Vorbereitung: dokumentierte Compliance, klare Verantwortlichkeiten, geübter DSB als Single Point of Contact.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial