Der Schutz personenbezogener Daten ist im Gesundheits- und Pflegebereich von besonderer Bedeutung. Gerade hier handelt es sich fast immer um Gesundheitsdaten, die einem besonderen Schutz der Datenschutzgrundverordnung (DSGVO) unterliegen. Dennoch mehren sich Beschwerden über Verstöße, die auf Defizite in der praktischen Umsetzung der gesetzlichen Vorgaben schließen lassen. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Bettina Gayk, hat deshalb laut Pressemitteilung vom 01.09.2025 eine Initiativprüfung gestartet, die den Datenschutz in Pflegeeinrichtungen unter Druck setzt. Ziel ist es, die Datenschutzpraxis in Pflegeeinrichtungen systematisch zu beleuchten und mögliche strukturelle Schwächen offenzulegen. Für Betreiber von Einrichtungen ist dies ein deutliches Signal, ihre eigenen Maßnahmen kritisch zu hinterfragen und gegebenenfalls anzupassen.
Weiterlesen: Datenschutz in Pflegeeinrichtungen unter DruckAnlass der Prüfung: Wiederkehrende Beschwerden
Die Entscheidung der LDI NRW basiert auf einer Reihe von Beschwerden, die auf wiederholte Rechtsverstöße im Umgang mit personenbezogenen Daten hindeuten. Konkret ginge es um rechtswidrige Weitergaben von personenbezogenen Daten an Dritte. Betroffen seien sowohl Mitteilungen zu Todesfällen oder zur finanziellen Situation als auch die Weitergabe von Gesundheitsinformationen an externe Stellen, die nicht Teil der Pflegeeinrichtung sind.
Die Behörde geht in ihrer Pressemitteilung davon aus, dass die hohe „Personalfluktuation im Pflegebereich“ ein zentraler Risikofaktor ist. Häufig wechselnde Beschäftigte könnten dazu führen, dass vorhandene Datenschutzkonzepte nicht konsequent umgesetzt oder neue Mitarbeitende nicht ausreichend geschult werden können. Die LDI NRW vermutet daher Defizite bei den internen Unterweisungen und hat beschlossen, dies im Rahmen einer gezielten Überprüfung zu untersuchen.
Fokus auf Schulungen und Konzepte
Die aktuelle Prüfung soll auf Basis von Stichproben erfolgen. Hierzu seien verschiedene „Betreiber von stationären Pflegeeinrichtungen unterschiedlicher Größe in NRW“ kontaktiert und zum Ausfüllen eines detaillierten Fragenkatalogs aufgefordert worden. Im Mittelpunkt steht dabei die Frage, wie die Einrichtungen sicherstellen, dass alle Mitarbeitenden über ausreichende datenschutzrechtliche Kenntnisse verfügen.
Ein wesentliches Augenmerk liegt auf den Schulungs- und Sensibilisierungskonzepten. Die LDI NRW will wissen, ob diese lediglich formal existieren oder auch tatsächlich umgesetzt werden. Sobald die Prüfung abgeschlossen ist, möchte die LDI NRW eine abschließende Bewertung veröffentlichen. Diese könnte dann gegebenenfalls auch Grundlage für die Veröffentlichung von datenschutzrechtlichen Hinweisen für Pflegeeinrichtungen sein.
Fokus auf Schulungen und Konzepte
Bereits jetzt gibt die Landesbeauftragte verschiedene Hinweise, wie Pflegeeinrichtungen Datenschutzkonform agieren können. Zunächst sollte eine Kontrolle bestehender Datenschutz- und Schulungskonzepte erfolgen. Sie weist darauf hin, dass Datenschutzschulungen keine einmalige Maßnahme sein dürfen, sondern es sich vielmehr um einen fortlaufenden Prozess handeln müsse, der auch bei hoher Personalfluktuation gewährleistet, dass alle Mitarbeitenden stets auf dem aktuellen Stand sind. Dies schließe nicht nur eine gründliche Erstunterweisung bei Arbeitsantritt ein, sondern auch regelmäßige Auffrischungen und Sensibilisierungsmaßnahmen.
Praktische Möglichkeiten würden von klassischen Präsenzseminaren über Online-Schulungen bis hin zu Informationsmaterialien wie Merkblättern oder internen Newslettern reichen. Wichtig ist aus Sicht der Behörde auch, dass die Maßnahmen nicht nur durchgeführt, sondern auch dokumentiert und auf ihre Wirksamkeit überprüft werden. So lässt sich sicherstellen, dass Schulungskonzepte tatsächlich greifen und die Mitarbeiter das notwendige Bewusstsein für datenschutzkonformes Handeln entwickeln. Bei weiteren Unklarheiten in Einzelsituation könne die Behörde beratend zur Seite stehen.
Fazit
Die Initiative der LDI NRW setzt Datenschutz in Pflegeeinrichtungen unter Druck und macht deutlich, dass dieser im Pflegebereich mehr als ein Randthema ist. Zu groß ist das Risiko, dass sensible Gesundheitsdaten in unbefugte Hände gelangen und dadurch das Vertrauen von Bewohnern und Angehörigen nachhaltig beschädigt wird. Für Betreiber von Pflegeeinrichtungen bedeutet dies, dass sie ihre Datenschutzkonzepte konsequent auf den Prüfstand stellen müssen. Als Externe Datenschutzbeauftragte unterstützen wie Sie dabei.
