Alten- und Pflegeheimbereich

Datenschutz im Alten- und Pflegeheimbereich ist besonders kritisch, weil dort täglich hochsensible personenbezogene Daten verarbeitet werden, darunter Gesundheitsdaten gemäß Art. 9 DSGVO.

🧩 1. Arten der verarbeiteten Daten

Kritisch, weil es sich fast immer um besondere Kategorien personenbezogener Daten handelt:

Gesundheitsdaten (Diagnosen, Medikationspläne, Pflegedokumentationen)
Daten zur religiösen oder weltanschaulichen Überzeugung (z. B. Seelsorge)
Daten zur Sexualität oder Intimsphäre (z. B. Pflegeberichte)
Sozialdaten (z. B. Abrechnungen mit Krankenkassen)
Angehörigen- und Betreuerdaten (Kontaktdaten, Vollmachten, rechtliche Betreuungen)
Mitarbeiterdaten (Gesundheitsdaten, Arbeitszeiten, Impfstatus, Schichtpläne)

⚖️ 2. Rechtsgrundlagen der Verarbeitung

Ein Altenheim muss genau prüfen, auf welcher Rechtsgrundlage die Daten verarbeitet werden:

Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit Bewohner)
Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Pflegegesetz)
Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung)
§ 22 Abs. 1 Nr. 1 b BDSG (besondere Kategorien personenbezogener Daten im Gesundheitswesen)
Einwilligung (Art. 6 Abs. 1 a, Art. 9 Abs. 2 a DSGVO) – z. B. bei Fotos, Veröffentlichungen, Besuchslisten etc.

🔐 3. Technische und organisatorische Maßnahmen (TOMs)

Pflegeeinrichtungen müssen sehr robuste TOMs nach Art. 32 DSGVO umsetzen:

Zugriffsschutz (elektronisch und physisch)
Rollenkonzepte (Pflegekräfte vs. Verwaltung vs. Hauswirtschaft)
Passwort- und Berechtigungskonzepte
Protokollierung von Zugriffen auf Gesundheitsdaten
Schutz mobiler Geräte (Tablets für Pflegedokumentation)
Datensicherung, Notfall- und Backupkonzepte
Verschlüsselung sensibler Kommunikation (E-Mail, Telemedizin, Arztkommunikation)

🧾 4. Dokumentationspflichten

Ein Altenheim muss vollständige DSGVO-Dokumentation führen:

Verzeichnis von Verarbeitungstätigkeiten (VVT)
Datenschutz-Folgenabschätzungen (DSFA) bei hohen Risiken (z. B. digitale Pflegedokumentation, Videoüberwachung)
Auftragsverarbeitungsverträge (AVV) mit externen Dienstleistern
- IT-Dienstleister, Abrechnungszentren, Wäscherei, Essenslieferant, Arztpraxen (wenn Zugriff auf Daten)
Nachweise über Schulungen, Zugriffsrechte, Sicherheitsmaßnahmen

👩‍⚕️ 5. Mitarbeiterschulung und -verpflichtung

Verpflichtung aller Beschäftigten auf das Datengeheimnis (Art. 29 DSGVO, § 53 BDSG)
Regelmäßige Datenschutzschulungen (insb. Umgang mit Bewohnerdaten, Schweigepflicht, Social Media)
Sensibilisierung für Datenschutzverletzungen (z. B. falsche Ablage von Pflegedokumenten)

🧑‍🤝‍🧑 6. Bewohnerrechte und Transparenz

Informationspflichten nach Art. 13/14 DSGVO
Verfahren für Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsrechte
Klare Prozesse für Datenweitergabe an Angehörige oder gesetzliche Betreuer
Umgang mit Einwilligungen (z. B. bei Fotos, Veröffentlichungen, Medikamentenplänen)

🩺 7. Externe Schnittstellen / Datenübermittlungen

Zusammenarbeit mit Ärzten, Apotheken, Krankenkassen, Sozialdiensten
Übermittlung von Gesundheitsdaten nur, wenn rechtlich erlaubt oder notwendig
Sichere Kommunikationswege (KIM, verschlüsselte E-Mail)
Prüfung externer Cloud- oder Pflegesoftware-Anbieter auf DSGVO-Konformität (Serverstandort, AVV, Subunternehmer)

🎥 8. Videoüberwachung

Besonders kritisch im Pflegekontext → Eingriff in Intimsphäre
Nur bei begründetem Zweck und strenger Interessenabwägung
Keine Überwachung in Bewohnerzimmern oder Sanitärbereichen
DSFA in jedem Fall notwendig

⚠️ 9. Datenschutzverletzungen (Data Breaches)

Meldepflicht an Aufsichtsbehörde binnen 72 Stunden (Art. 33 DSGVO)
Information der Betroffenen bei hohem Risiko (Art. 34 DSGVO)
Interner Meldeprozess für Vorfälle (z. B. verlorenes Tablet, falsch adressierte E-Mail)

📊 10. Externe Datenschutzberatung / Datenschutzbeauftragter

Altenheime sind verpflichtet, einen Datenschutzbeauftragten zu benennen (Art. 37 DSGVO, § 38 BDSG)
Der DSB muss unabhängig beraten, überwachen und Ansprechpartner für die Aufsichtsbehörde sein
Schulungs- und Auditberichte dokumentieren