Der Schutz personenbezogener Daten hat in den letzten Jahren stark an Bedeutung gewonnen. Mit der Einführung der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 und den neuen Kirchengesetzen zum Datenschutz (DSG-EKD und KDG) wurde der Umgang mit personenbezogenen Daten neu geregelt. Auch in der Pflege spielt der Datenschutz eine wichtige Rolle. Dieser Beitrag erläutert die rechtlichen Grundlagen des Datenschutzes in der Pflege und beleuchtet die Rolle der Datenschutzbeauftragten in diesem Bereich.


Inhaltsverzeichnis:

  • Rechtliche Grundlagen für Datenschutz (DSGVO)
  • Datenschutzrechtliche Sonderrolle kirchlicher und gemeinnütziger Organisationen
  • Konzepte für den Datenschutz in kirchlichen und gemeinnützigen Organisationen
  • Die besondere Rolle des Schutzes personenbezogener Daten im Bereich der Pflege
  • Rolle der Datenschutzbeauftragten in der Pflege
  • Laut einer repräsentativen Studie der Postbank ist den Deutschen der Schutz ihrer Daten wichtig. Demnach gibt die große Mehrheit der Bundesbürger (82 Prozent) im Internet nur die Daten preis, die für die Nutzung von Online-Diensten unbedingt erforderlich sind. Acht Prozent der Deutschen geben sogar an, grundsätzlich keine Online-Anwendungen zu nutzen, bei denen sie persönliche Daten preisgeben müssen.

    Rechtliche Grundlagen für Datenschutz (DSGVO)

    Der Datenschutz im Gesundheitswesen wird in Deutschland durch verschiedene Gesetze und Verordnungen geregelt. Den wichtigsten rechtlichen Rahmen bildet das neu gefasste Bundesdatenschutzgesetz (BDSG-neu). Es regelt den Umgang mit personenbezogenen Daten und stellt sicher, dass diese Daten nur im Rahmen der gesetzlichen Bestimmungen genutzt werden dürfen. Auch in der Pflege fallen viele personenbezogene Daten an, zum Beispiel Gesundheitsdaten oder persönliche Daten von Patienten und Angehörigen.

    Datenschutzrechtliche Sonderrolle kirchlicher und gemeinnütziger Organisationen

    Kirchliche und freigemeinnützige Träger spielen eine wichtige Rolle im Gesundheitswesen. Sie betreiben Krankenhäuser, Pflegeeinrichtungen und -dienste und sind häufig Träger sozialer Einrichtungen. Auch sie sind an das Datenschutzrecht gebunden.

    Allerdings gibt es hier eine Besonderheit: Kirchliche und gemeinnützige Organisationen sind häufig von der DSGVO ausgenommen. Das heißt, sie unterliegen nicht den gleichen Regelungen und Anforderungen wie andere Unternehmen oder Organisationen. Aus der verfassungsrechtlichen Sonderstellung der Kirchen ergeben sich Besonderheiten durch eigene Datenschutzgesetze (DSG-EKD und KDG), die daher auch für einige Wohlfahrtsverbände wie Caritas und Diakonie gelten.

    Diese Ausnahmeregelungen beruhen auf dem Grundrecht der Religionsfreiheit. Kirchliche Organisationen sollen die Freiheit haben, ihre Angelegenheiten selbstständig zu regeln und sich an ihren eigenen Grundsätzen zu orientieren. Auch gemeinnützige Organisationen sollen nicht durch übermäßige Bürokratie und Reglementierung in ihrer Arbeit behindert werden.

    Dennoch sind auch kirchliche und gemeinnützige Organisationen verpflichtet, personenbezogene Daten zu schützen und für deren Sicherheit zu sorgen. Sie müssen sicherstellen, dass die Daten nur für den vorgesehenen Zweck verwendet und nicht an unbefugte Dritte weitergegeben werden.

    Konzepte für den Datenschutz in kirchlichen und gemeinnützigen Organisationen

    Kirchliche und gemeinnützige Organisationen sollten trotz der Ausnahmeregelungen Datenschutzkonzepte erstellen, um den Schutz personenbezogener Daten zu gewährleisten. Die kirchlichen Datenschutzgesetze orientieren sich weitgehend an den Vorgaben der DSGVO.

    Ein wichtiger Aspekt ist die Sensibilisierung der Mitarbeitenden. Sie sollten über die datenschutzrechtlichen Bestimmungen informiert und geschult werden, um den korrekten Umgang mit personenbezogenen Daten zu gewährleisten.

    Auch die technischen und organisatorischen Maßnahmen zur Datensicherheit sollten sorgfältig geplant und umgesetzt werden. Dabei sind die besonderen Anforderungen der Pflege, wie z.B. der Schutz von Gesundheitsdaten, zu berücksichtigen.

    Die besondere Rolle des Schutzes personenbezogener Daten im Bereich der Pflege

    Im Pflegebereich kann eine Verletzung des Datenschutzes schwerwiegende Folgen für den betroffenen Patienten bzw. Bewohner haben. Aber nicht nur aus diesem Grund ist der Schutz der Pflegebedürftigen von entscheidender Bedeutung. Das Vertrauen der Pflegebedürftigen in die Behandelnden muss während der Behandlung gewahrt bleiben. Patientendaten und Pflegeakten sind daher mit höchster Sensibilität zu behandeln und zu schützen.

    Beschäftigte in Pflegeeinrichtungen haben unabhängig von ihrer Funktion oder Tätigkeit dafür Sorge zu tragen, dass nur solche personenbezogenen Daten erhoben werden, die für die Betreuung, Pflege und Behandlung relevant sind. Darüber hinaus unterliegen sie der Schweigepflicht, die für alle Angehörigen der Gesundheitsberufe gilt, die mit Patientendaten arbeiten. Dazu gehören neben Ärzten und Therapeuten auch Pflegekräfte. Ein Verstoß gegen die Schweigepflicht ist nicht nur datenschutzrechtlich relevant, sondern kann auch strafrechtliche Konsequenzen haben. Nach § 203 Strafgesetzbuch kann eine Verletzung der Schweigepflicht mit Freiheitsstrafe geahndet werden. Eine Entbindung von der Schweigepflicht ist nur möglich, wenn der Betroffene eine entsprechende Einwilligungserklärung unterschrieben hat.

    In Pflegeeinrichtungen kann es leicht zu Datenschutzverletzungen bzw. sogenannten Datenpannen kommen, da es sich meist um offene Einrichtungen handelt: Beispielsweise beliefern Dienstleister die Einrichtungen mit Medikamenten oder ein externer IT-Experte kümmert sich um die Behebung technischer Probleme.


    Hinweis Thomas Althammer

    Thomas Althammer - Althammer & Kill

    “Im Zuge der Digitalisierung kommt den Datenschutzbeauftragten eine besondere Aufgabe zu: An vielen Stellen werden personenbezogene Daten verarbeitet und IT-Systeme müssen geprüft und bewertet werden. Aufgrund der Zunahme von Cyberattacken sollten insbesondere Schutzmaßnahmen im Rahmen der IT-Sicherheit getroffen werden, damit Daten nicht in fremde Hände gelangen. Es empfiehlt sich, die Wirksamkeit der getroffenen Maßnahmen von unabhängiger Seite überprüfen zu lassen.”
    – Thomas Althammer


    Und selbst nahe Angehörige haben kein Recht auf Einsicht in die personenbezogenen Daten der betroffenen Person. Das Auskunftsrecht der betroffenen Person ist in der Datenschutz-Grundverordnung klar geregelt: Art. 15 DSGVO bestimmt, dass das Recht auf Information und Auskunft nur der betroffenen Person zusteht. Das bedeutet, dass die Einsichtnahme von Angehörigen in die Pflegedokumentation der Einwilligung des Betroffenen bedarf.

    Darüber hinaus müssen Pflegedokumentationen im Sinne eines angemessenen Datenschutzes in der Pflege umfassend vor dem Zugriff Dritter/Unbefugter geschützt werden. Dies gilt auch dann, wenn über die Daten nur gesprochen wird. Insbesondere am Telefon oder bei unbekannten Personen ist besondere Vorsicht geboten.

    Die Datenschutzgrundverordnung DSGVO stellt Pflegeheime, Pflegedienste & Co. vor viele Herausforderungen, denn schnell kann es zu einem Datenschutzverstoß kommen. Nicht nur teure Abmahnungen können die Folge sein. Noch härter kann ein Imageschaden eine Pflegeeinrichtung treffen, denn gerade in dieser Branche ist das Vertrauen von Pflegebedürftigen und Angehörigen unabdingbar.

    Rolle der Datenschutzbeauftragten in der Pflege

    Datenschutzbeauftragte haben die Aufgabe, die Einhaltung der datenschutzrechtlichen Bestimmungen in der Pflege zu überwachen und sicherzustellen. Sie beraten Pflegeeinrichtungen und Pflegedienste in Fragen des Datenschutzes und unterstützen bei der Umsetzung von Maßnahmen zur Datensicherheit.

    Ab wann ein Datenschutzbeauftragter bestellt werden muss, hängt von verschiedenen Faktoren ab. Grundsätzlich müssen Unternehmen einen Datenschutzbeauftragten bestellen, wenn regelmäßig 20 oder mehr Mitarbeiterinnen und Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind. Verschärfte Regelungen gelten bei besonders umfangreichen Verarbeitungen oder wenn das Unternehmen zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist. Zu den Personen, die regelmäßig mit der Verarbeitung von Daten betraut sind, zählen z.B. Mitarbeitende in der Personalverwaltung, im Marketing oder im Kundenservice – und in besonderem Maße in der Pflege, da hier besonders sensible Daten verarbeitet werden (vgl. Art. 9, 10 DSGVO).

    Datenschutzbeauftragte in der Pflege sollten über ein breites Fachwissen verfügen und mit den spezifischen Anforderungen der Pflege vertraut sein. Sie sollten in der Lage sein, die datenschutzrechtlichen Vorgaben in praktische Handlungsanweisungen umzusetzen und damit die Pflegeeinrichtungen bei der Einhaltung der Datenschutzbestimmungen zu unterstützen.


    Hinweis Thomas Althammer

    Thomas Althammer - Althammer & Kill

    “In den kommenden Jahren werden wir erleben, dass IT-Systeme immer komplexer und vernetzter werden. Funktionen mit künstlicher Intelligenz und erste Formen der Robotik werden Einzug in den Pflegealltag halten. Datenschutz und IT-Sicherheit müssen von Anfang an mitgedacht werden, um spätere kostspielige Änderungen zu vermeiden.”
    – Thomas Althammer


    Die Aufgaben der Datenschutzbeauftragten in der Pflege sind vielfältig. Sie sollen die Pflegeeinrichtungen bei der Erstellung von Datenschutzkonzepten unterstützen und darauf achten, dass diese den gesetzlichen Anforderungen entsprechen. Sie sollten auch bei der Umsetzung von technischen und organisatorischen Maßnahmen zur Datensicherheit beraten.

    Darüber hinaus sollten Datenschutzbeauftragte Schulungen und Fortbildungen zum Thema Datenschutz in Pflegeeinrichtungen durchführen. Sie sollten die Mitarbeiterinnen und Mitarbeiter der Pflegeeinrichtungen über die datenschutzrechtlichen Bestimmungen informieren und sie für den richtigen Umgang mit personenbezogenen Daten sensibilisieren.

    Ein weiterer wichtiger Aspekt ist die Kontrolle der Einhaltung der Datenschutzbestimmungen. Datenschutzbeauftragte sollten darauf achten, dass alle Pflegeeinrichtungen und Dienste die Datenschutzbestimmungen einhalten und Maßnahmen zur Datensicherheit ergreifen, um den Schutz personenbezogener Daten zu gewährleisten.

    Die Eignung des Datenschutzbeauftragten hängt von seiner beruflichen Qualifikation und seinem Fachwissen ab. So sollte er über umfassende Kenntnisse des Datenschutzrechts, der IT-Sicherheit und der Datenschutzpraxis verfügen. Darüber hinaus bestimmt sich die Eignung danach, ob die Person in der Lage ist, die Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO zu erfüllen. Dazu gehören beispielsweise die Schulung der Mitarbeiter in Datenschutzfragen und die Überwachung der Datenschutz-Compliance. In diesem Zusammenhang werden häufig die Begriffe „interner Datenschutzbeauftragter“ und „externer Datenschutzbeauftragter“ verwendet. Nimmt der Datenschutzbeauftragte neben dieser Funktion noch andere Aufgaben oder Pflichten wahr, so darf dies nicht zu einem Interessenkonflikt führen.

    Von den 400 größten Betreibern im Pflegebereich setzen 142 Betreiber auf externe Datenschutzbeauftragte – die restlichen 258 Betreiber verlassen sich auf Experten aus den eigenen Reihen. Dabei setzen private Betreiber häufiger auf externe Datenschutzbeauftragte (41 Prozent) als freigemeinnützige (35 Prozent). Welche das sind, erfahren Sie in unserem Artikel zu den Top 5 Datenschutzbeauftragten in der Pflege.