DSB NRW LogoDatenschutzbeauftragterNRWTÜV-zertifiziert · Externer DSB
Ratgeber · Pflege

Datenschutz im Pflegedienst: Wenn die sensibelsten Daten in der Hosentasche unterwegs sind

Ein Mitarbeiter verliert einen USB-Stick. Darauf: Name, Adresse, Staatsangehörigkeit, Kontaktdaten, Fotos und Angaben zum Einkommen — unverschlüsselt. Das Ergebnis war ein Bußgeld von über 54.000 Euro. Der Fall stammt nicht aus der Pflege, sondern aus einem anderen Betrieb. Aber wenn ich ihn in Pflegeeinrichtungen erzähle, wird es im Raum still. Denn jeder weiß: Bei uns sind es nicht Einkommensdaten auf einem Stick. Bei uns sind es Pflege- und Gesundheitsdaten auf Tablets, die jeden Tag in fremde Wohnungen getragen werden.

Genau das ist die Besonderheit der Pflege. Sie verarbeitet einige der sensibelsten Daten überhaupt — und tut das nicht in einem gesicherten Büro, sondern mobil, unterwegs, in der Häuslichkeit der Klienten. Die Daten sind ständig in Bewegung. Und alles, was sich bewegt, kann verloren gehen. Dieser Beitrag zeigt, wo die echten Risiken liegen und wie Sie sie in den Griff bekommen.

Hochsensible Daten unter erschwerten Bedingungen

Pflege- und Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Sie genießen den höchsten Schutz, den das Datenschutzrecht kennt. Bei Pflegebedürftigen kommen oft sehr detaillierte und über lange Zeiträume geführte Informationen zusammen: Diagnosen, Medikation, Pflegegrade, persönliche Gewohnheiten, manchmal psychische Erkrankungen.

Erschwerend kommt hinzu, dass in der Pflege selten nur eine Person betroffen ist. Da sind die Pflegebedürftigen selbst, ihre Angehörigen, ihre Betreuer, dazu die Beschäftigten. Jede dieser Gruppen hat eigene Rechte, und nicht jede darf alles erfahren. Die Frage „Wer darf welche Auskunft über den Pflegezustand erhalten?" ist im Pflegealltag eine der häufigsten — und eine der am häufigsten falsch beantworteten.

Die mobile Datenverarbeitung: der wunde Punkt

Der ambulante Dienst lebt von mobiler Dokumentation. Pflegekräfte dokumentieren auf Tablets und Smartphones, oft direkt beim Klienten. Das ist effizient — und es ist die größte Schwachstelle, die ich in der Prüfungspraxis bei Pflegediensten sehe. Die Gründe liegen auf der Hand:

  • Geräte verlassen das geschützte Umfeld. Ein Tablet in der Pflegetasche kann liegen bleiben, gestohlen werden oder im Auto vergessen werden.
  • Oft fehlt die Verschlüsselung. Ein verlorenes, unverschlüsseltes Gerät ist eine meldepflichtige Datenpanne — der USB-Stick-Fall lässt grüßen, nur mit weitaus sensibleren Daten.
  • Bildschirmsperren werden umgangen. Aus Bequemlichkeit bleibt das Gerät entsperrt, „weil es schneller geht". Genau diese Bequemlichkeit ist das Einfallstor.
  • Fernlöschung ist nicht eingerichtet. Wenn ein Gerät verschwindet, muss man die Daten aus der Ferne löschen können. Viele Dienste haben diese Möglichkeit schlicht nie eingerichtet.

Die Lösung ist kein Hexenwerk: Geräteverschlüsselung, erzwungene Bildschirmsperre, ein Konzept für Verlust und Diebstahl inklusive Fernlöschung. Das einmal sauber aufzusetzen, kostet überschaubaren Aufwand — und verhindert genau die Panne, die sonst teuer wird.

Wenn das Tablet weg ist: die 72 Stunden laufen

Hier wird es ernst. Wenn ein Gerät mit Pflegedaten verschwindet, ist das im Zweifel eine Verletzung des Schutzes personenbezogener Daten — und dann läuft die Frist des Art. 33 DSGVO: Meldung an die Aufsichtsbehörde binnen 72 Stunden. Bei hohem Risiko für die Betroffenen müssen zusätzlich die Betroffenen selbst unverzüglich informiert werden (Art. 34 DSGVO).

In der Praxis erlebe ich, dass genau hier der Stress beginnt — weil niemand vorbereitet ist. Wer im Moment des Verlusts erst anfängt zu klären, wer zu informieren ist, welche Daten betroffen waren und wer die Meldung schreibt, verliert wertvolle Stunden von den 72. Ein vorbereiteter Notfallplan, der diese Schritte vorab festlegt, ist deshalb keine Bürokratie, sondern eine Versicherung. Und wie Fälle aus anderen Branchen zeigen: Der souveräne, fristgerechte Umgang mit einer Panne entscheidet oft mehr über die Höhe eines Bußgeldes als die Panne selbst.

Angehörige, Betreuer, Kostenträger: wer darf was wissen?

Eine der heikelsten Alltagsfragen. Die Tochter ruft an und möchte wissen, wie es der Mutter geht. Der Reflex ist, Auskunft zu geben — schließlich ist es die Tochter. Datenschutzrechtlich ist das nicht automatisch zulässig. Auskünfte an Angehörige brauchen eine Grundlage: eine Einwilligung der pflegebedürftigen Person oder eine gesetzliche bzw. betreuungsrechtliche Befugnis. Wer informiert werden darf, sollte dokumentiert sein — idealerweise in der Pflegeakte hinterlegt, damit nicht jede Pflegekraft im Einzelfall raten muss.

Ähnlich bei Übermittlungen an Ärzte, Krankenkassen und Kostenträger: Diese sind oft notwendig und zulässig, brauchen aber eine klare Rechtsgrundlage und sollten auf das Erforderliche beschränkt bleiben.

Dienstleister und Beschäftigte nicht vergessen

Zwei Bereiche, die im Pflegealltag gern untergehen:

  • Auftragsverarbeitung: Abrechnungsdienstleister, Pflegesoftware-Anbieter, IT-Wartung — alle, die Zugriff auf personenbezogene Daten haben können, brauchen einen Vertrag nach Art. 28 DSGVO. Eine vollständige Übersicht aller Dienstleister samt Verträgen ist Pflicht und im Prüfungsfall das Erste, wonach gefragt wird.
  • Beschäftigtendatenschutz: Auch die Daten der Pflegekräfte selbst — Dienstpläne, Qualifikationen, teils Gesundheitsdaten — unterliegen dem Datenschutz. Das wird oft übersehen, weil der Blick ganz auf den Klienten gerichtet ist.

Braucht der Pflegedienst eine/n Datenschutzbeauftragte/n?

Bei der umfangreichen Verarbeitung besonderer Datenkategorien — und genau das ist das Kerngeschäft der Pflege — kann die Benennungspflicht nach Art. 37 DSGVO unabhängig von der Mitarbeiterzahl bestehen. Die nationale 20-Personen-Schwelle (§ 38 BDSG) ist dabei oft gar nicht der entscheidende Maßstab. Es kommt auf den konkreten Umfang an, und diese Bewertung sollte fundiert erfolgen.

Und auch hier gilt: Das Gesetz verlangt einen geeigneten DSB. Eine intern „nebenbei" benannte Pflegedienstleitung mit Interessenkonflikt erfüllt die Pflicht im Zweifel nicht — gerade bei Gesundheitsdaten ist die Anforderung hoch.

Was Sie konkret mitnehmen sollten

Wenn Sie aus diesem Beitrag drei Dinge mitnehmen, dann diese: Erstens, sichern Sie Ihre mobilen Geräte — Verschlüsselung, Sperre, Fernlöschung. Das ist der wunde Punkt Nummer eins. Zweitens, legen Sie fest und dokumentieren Sie, wer welche Auskunft an Angehörige erhalten darf. Drittens, bereiten Sie einen Notfallplan für den Geräteverlust vor, bevor das erste Tablet verschwindet.

Pflege ist ein Beruf, in dem Vertrauen alles ist — gegenüber den Pflegebedürftigen und ihren Familien. Ein Datenleck beschädigt genau dieses Vertrauen.

Über den Autor

Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.

Stand: Mai 2026. Die genannten Bußgeld-Beispiele stammen aus veröffentlichten Entscheidungen der Aufsichtsbehörden.

Externer DSB für NRW

Sie wollen das in Ihrem Unternehmen sauber umsetzen?

Wir betreuen KMU, Heilberufler und Kommunen in ganz NRW als externer Datenschutzbeauftragter. Erstgespräch ist kostenfrei und unverbindlich.

Kostenloses Erstgespräch Leistungen ansehen
Weiterlesen

Passende Ratgeber-Artikel

Gesundheit

Datenschutz in der Arztpraxis — DSGVO & Schweigepflicht

Gesundheitsdaten sind besondere Daten nach Art. 9 DSGVO. Was Praxen für § 203 StGB sicherstellen müssen.

7 Min.Lesen
Sport

Datenschutz im Fitnessstudio

Mitgliederdaten, Gesundheitsangaben, Videoüberwachung und Apps — was Studios beim Datenschutz beachten müssen.

5 Min.Lesen
Handwerk

Datenschutz im Handwerksbetrieb

Auch Handwerksbetriebe müssen die DSGVO einhalten — Kundendaten, Mitarbeiterdaten und Baustellenfotos in der Praxis.

5 Min.Lesen