12.05.2026

Datenschutz im Homeoffice: Was gilt, wenn Pflegekräfte von zuhause dokumentieren?

Pflegekraft im Homeoffice, Patientenakte auf dem Laptop, Videotelefonie über das private WLAN – und niemand hat geprüft, ob das überhaupt DSGVO-konform ist. Dieses Szenario ist in deutschen Pflegeeinrichtungen heute Alltag. Dabei gehören Patientendaten zu den sensibelsten Informationen überhaupt: Sie fallen unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO – mit entsprechend hohen Anforderungen an Verarbeitung, Schutz und Dokumentation.

Spätestens 2026 sollte jede Pflegeeinrichtung klare technische und organisatorische Maßnahmen für das Homeoffice definiert haben. Wer das nicht tut, riskiert Bußgelder, Haftung und den Verlust des Vertrauens von Patienten und Kostenträgern.

Warum Patientendaten im Homeoffice besonders heikel sind

Die DSGVO unterscheidet zwischen normalen personenbezogenen Daten und besonderen Kategorien – zu denen Gesundheitsdaten ausdrücklich zählen (Art. 9 DSGVO). Für diese Daten gelten strengere Verarbeitungsvoraussetzungen, höhere Sorgfaltspflichten und im Schadensfall empfindlichere Bußgeldrisiken.

Im Homeoffice kommen zu diesen ohnehin hohen Anforderungen praktische Risikofaktoren hinzu:

  • Nicht kontrollierbare Heimnetzwerke (unverschlüsseltes WLAN, mitgenutzte Router)

  • Private Endgeräte ohne Unternehmensschutzstandards

  • Familienangehörige im selben Haushalt, die Bildschirminhalte einsehen könnten

  • Fehlende Protokollierung von Datenzugriffen

  • Unsichere Kommunikationskanäle (WhatsApp, private E-Mail, Zoom ohne Auftragsverarbeitungsvertrag)

Jeder dieser Faktoren kann im Einzelfall einen meldepflichtigen Datenschutzverstoß nach Art. 33 DSGVO auslösen – mit einer Meldefrist von 72 Stunden gegenüber der zuständigen Aufsichtsbehörde.

Rechtlicher Rahmen: Was gilt für Pflegeeinrichtungen konkret?

DSGVO und BDSG bilden die Grundlage. Daneben sind je nach Bundesland die Landeskrankenhausgesetze und spezifische Regelungen für Sozial- und Gesundheitsdaten zu beachten – etwa das Sozialgeheimnis nach § 35 SGB I.

Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO müssen explizit auch das Homeoffice-Szenario abdecken. Wer seine TOMs nur für den stationären Betrieb definiert hat, hat eine Dokumentationslücke – die bei einer Prüfung durch die Aufsichtsbehörde direkt auffällt.

Auftragsverarbeitungsverträge (AVV): Werden externe Tools für Videotelefonie, Dokumentation oder Kommunikation im Homeoffice genutzt – ob Microsoft Teams, Zoom, eine Pflegedokumentationssoftware oder Cloud-Speicher – muss mit dem jeweiligen Anbieter ein AVV nach Art. 28 DSGVO abgeschlossen sein. Ohne AVV ist die Nutzung datenschutzrechtlich unzulässig.

Datenschutz-Folgenabschätzung (DSFA): Wenn im Homeoffice regelmäßig und systematisch besondere Kategorien personenbezogener Daten verarbeitet werden, kann eine DSFA nach Art. 35 DSGVO erforderlich sein. Das gilt insbesondere dann, wenn neue technische Systeme eingeführt werden.

Technische Mindestanforderungen für das Homeoffice

Damit Pflegekräfte von zuhause DSGVO-konform arbeiten können, müssen folgende technische Maßnahmen vorhanden und dokumentiert sein:

Geräte:

  • Ausschließlich vom Arbeitgeber gestellte oder freigegebene Endgeräte – keine private Nutzung für dienstliche Patientendaten

  • Festplattenverschlüsselung (z. B. BitLocker für Windows, FileVault für Mac) auf allen mobilen Endgeräten

  • Aktuelles Betriebssystem und regelmäßige Sicherheitsupdates

  • Virenschutz und Endpoint-Security nach Unternehmensstandard

Netzwerk:

  • VPN-Pflicht für den Zugriff auf interne Systeme – unverschlüsselte Direktverbindungen über das Heimnetzwerk sind nicht ausreichend

  • Keine Nutzung öffentlicher WLAN-Netzwerke für Patientendaten

Zugriff und Authentifizierung:

  • Zwei-Faktor-Authentifizierung (2FA) für alle Systeme mit Patientendatenzugang

  • Individuelle Benutzerkonten – keine geteilten Zugänge

  • Automatische Bildschirmsperre nach kurzer Inaktivität

Kommunikation:

  • Nur datenschutzkonforme Videotelefonie-Tools mit AVV (z. B. MS Teams mit entsprechendem Vertrag, nicht privates Zoom oder WhatsApp)

  • Keine Übermittlung von Patientendaten per unverschlüsselter E-Mail

Organisatorische Maßnahmen: Was geregelt sein muss

Technik allein reicht nicht. Datenschutz im Homeoffice ist auch eine Frage klarer organisatorischer Regeln – und deren Durchsetzung.

Homeoffice-Richtlinie: Jede Pflegeeinrichtung sollte eine schriftliche Homeoffice-Richtlinie haben, die konkret regelt: Welche Tätigkeiten dürfen von zuhause erledigt werden? Welche Geräte sind zugelassen? Welche Kommunikationswege sind erlaubt? Wie sind Bildschirm und Unterlagen zu sichern?

Unterweisungspflicht: Mitarbeitende, die im Homeoffice auf Patientendaten zugreifen, müssen nachweislich auf die geltenden Datenschutzregeln hingewiesen worden sein – und das muss dokumentiert sein. Eine einmalige Einführung beim Onboarding reicht nicht; jährliche Datenschutzunterweisungen sind Standard.

Zutrittsschutz im Homeoffice: Auch zuhause gilt: Unterlagen mit Patientendaten dürfen nicht offen auf dem Küchentisch liegen. Bildschirme sollten nicht von Familienmitgliedern oder Besuchern eingesehen werden können. Diese Anforderungen klingen selbstverständlich – sind aber selten explizit kommuniziert.

Zugriffsprotokollierung: Wer wann auf welche Patientendaten zugegriffen hat, muss nachvollziehbar sein. Das ist sowohl datenschutzrechtliche Anforderung als auch Schutz für die Einrichtung im Schadensfall.

Meldepflichtige Vorfälle kennen: Mitarbeitende müssen wissen, was ein meldepflichtiger Datenschutzvorfall ist – und an wen sie sich unverzüglich wenden müssen. Eine verlorene Patientenunterlage, ein gehacktes privates E-Mail-Konto, ein Screenshot einer Patientenakte im Chat: all das kann eine DSGVO-Meldepflicht auslösen.

Die häufigsten Datenschutzverstöße im Homeoffice der Pflege

1. Nutzung privater Messenger für patientenbezogene Kommunikation WhatsApp, Signal, iMessage – alle ohne AVV, alle nicht für Patientendaten geeignet. Trotzdem weitverbreitet. Eine kurze Nachricht mit Patientenname und Diagnose an eine Kollegin ist ein Datenschutzverstoß.

2. Keine VPN-Nutzung beim Heimzugriff auf die Pflegesoftware Viele Pflegesoftware-Anbieter erlauben den Webzugriff ohne VPN. Das bedeutet nicht, dass es datenschutzkonform ist – es bedeutet nur, dass es technisch möglich ist.

3. Fehlende oder veraltete Auftragsverarbeitungsverträge Gerade bei Cloud-Diensten und Videotools werden AVVs oft beim Vertragsabschluss vergessen oder nach Updates nicht aktualisiert.

4. Screenshot-Kultur in der Teamkommunikation Bildschirmfotos von Patientenakten werden in Teamchats geteilt – schnell, praktisch, und ein klarer Datenschutzverstoß.

5. Keine Regelung für das Ende der Homeoffice-Nutzung Was passiert mit lokal gespeicherten Daten, wenn ein Mitarbeitender das Unternehmen verlässt oder das Homeoffice beendet? Ohne Prozess bleibt Patientendaten auf privaten Geräten zurück.

Was Datenschutzbeauftragte und Aufsichtsbehörden 2026 prüfen werden

Die Datenschutzaufsichtsbehörden haben in den vergangenen Jahren zunehmend Homeoffice-Regelungen in die Prüfpraxis aufgenommen. Für 2026 sind folgende Schwerpunkte absehbar:

  • Vollständigkeit der TOMs unter Einbeziehung von Homeoffice-Szenarien

  • Vorhandensein und Aktualität von AVVs für alle eingesetzten Drittanbieter

  • Nachweis von Datenschutzunterweisungen für alle betroffenen Mitarbeitenden

  • Protokollierung von Datenzugriffen bei sensitiven Patientendaten

  • Umgang mit Datenpannen und dokumentierte Meldeprozesse

Einrichtungen, die diese Punkte noch nicht strukturiert haben, sollten jetzt handeln – nicht reaktiv nach einer Prüfung.

Checkliste: Homeoffice & Datenschutz für Pflegeeinrichtungen

Technik:

  • Endgeräte verschlüsselt und vom Arbeitgeber freigegeben?

  • VPN für alle internen Systemzugriffe eingerichtet?

  • 2-Faktor-Authentifizierung für Patientendatensysteme aktiv?

  • Nur datenschutzkonforme Kommunikationstools im Einsatz?

Organisation:

  • Schriftliche Homeoffice-Richtlinie vorhanden und kommuniziert?

  • Jährliche Datenschutzunterweisung dokumentiert?

  • Meldeprozess für Datenpannen bekannt und erprobt?

Rechtliches:

  • AVVs mit allen relevanten Drittanbietern abgeschlossen und aktuell?

  • TOMs schriftlich dokumentiert und auf Homeoffice-Szenarien erweitert?

  • Datenschutz-Folgenabschätzung geprüft (ggf. durchgeführt)?

Fazit

Homeoffice in der Pflege ist keine Ausnahme mehr – und Datenschutz im Homeoffice ist keine Option, sondern Pflicht. Wer Patientendaten zu den sensibelsten Informationen zählt – und das sind sie nach DSGVO ausdrücklich –, muss den Schutz dieser Daten auch dann sicherstellen, wenn die Mitarbeitende von der Couch dokumentiert. Technik, Organisation und Schulung müssen zusammenspielen. Und das alles muss dokumentiert sein.

Sie möchten prüfen, ob Ihre Homeoffice-Regelungen datenschutzrechtlich wasserdicht sind? EGIDO GmbH unterstützt Pflegeeinrichtungen bei der Analyse bestehender Datenschutzstrukturen, der Überarbeitung von TOMs und der buchhalterischen Einordnung von IT-Investitionen in den Datenschutz.

Eike J. Giersdorf
Wirtschaftsprüfer I Steuerberater
Schwerpunkte
  • Steuerliche Gestaltungsberatung
  • Steuerliche Beratung im Bereich Unternehmensumwandlungen
  • Steuerliche Beratung im Bereich Nachfolgeregelungen
  • Wirtschaftsprüfung - Jahresabschlussprüfung
  • Unternehmensbewertung
Mehr zum Autor