46,9 Mio. € DSGVO-Bußgelder 2025 – so schützen Sie Ihren Pflegedienst
46,9 Millionen Euro – so hoch war die Summe der DSGVO-Bußgelder, die deutsche Datenschutzbehörden im Jahr 2025 verhängt haben. Europaweit summieren sich die Strafen seit Inkrafttreten der Datenschutz-Grundverordnung auf über 6,11 Milliarden Euro (Stand März 2026). Was nach einem Problem der Großkonzerne klingt, betrifft längst auch mittelständische Pflegedienste: Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt – und die Aufsichtsbehörden schauen bei Verstößen im Gesundheitswesen besonders genau hin. Dieser Artikel zeigt, welche Bußgelder 2025 verhängt wurden, wo die größten Risiken für Pflegeeinrichtungen liegen und wie Sie Ihren Pflegedienst mit itbuddy.care DSGVO-konform absichern.
Die DSGVO-Bußgeld-Landschaft 2025: Rekorde und neue Schwerpunkte
Das Jahr 2025 markiert einen Wendepunkt in der europäischen Datenschutz-Durchsetzung. Zwar sank die europaweit erfasste Gesamtsumme der Bußgelder erstmals seit 2021 unter die Milliardengrenze (689,98 Mio. € nach 1,22 Mrd. € im Vorjahr), doch die Behörden setzen zunehmend auf gezielte, empfindliche Einzelstrafen – auch gegen kleinere Unternehmen. Allein in Deutschland wurden 2025 rund 46,9 Millionen Euro an Bußgeldern ausgesprochen.
Die höchsten Einzelstrafen des Jahres zeigen, dass die Behörden keine Scheu vor großen Namen haben:
- Vodafone – 45 Mio. € (Deutschland): Die bislang höchste DSGVO-Strafe in Deutschland. 15 Mio. € wegen mangelhafter Prüfung von Auftragsverarbeitern, 30 Mio. € für unzureichende IT-Sicherheit. Verhängt durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
- TikTok – 530 Mio. € (Irland): Unzulässige Datenübermittlung nach China und Verstöße gegen den Kinder-Datenschutz.
- Google – 325 Mio. € (Frankreich): Werbeanzeigen in Gmail-Postfächern ohne Einwilligung der Nutzer.
- Shein – 150 Mio. € (Frankreich): Illegale Cookie-Praktiken und intransparente Datenverarbeitung.
Quellen: Expertenmarkt – Prüfaktion 2026: DSGVO-Bußgelder | ODC Legal – DSGVO-Bußgelder 2025 | DSGVO-Portal – Rückblick 2025
Warum das Gesundheitswesen besonders im Fokus steht
Gesundheitsdaten – Diagnosen, Medikationspläne, Pflegedokumentationen – gehören nach Art. 9 DSGVO zu den „besonderen Kategorien personenbezogener Daten“. Sie genießen einen erhöhten Schutz, und Verstöße werden von den Aufsichtsbehörden entsprechend streng geahndet. Der Sanktionsrahmen der DSGVO liegt bei bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem aktuellen Lagebericht „Cybersicherheit im Gesundheitswesen 2025“ eindringlich:
„… suchen Angreifer verstärkt einfach anzugreifende Ziele mit schlechter Resilienz aus. Alle Institutionen müssen ihre Risikobewertung entsprechend anpassen: Je schlechter eine Angriffsfläche geschützt wird, desto wahrscheinlicher wird ein erfolgreicher Angriff.“
– BSI, Die Lage der Sicherheit in Deutschland 2025, S. 3
Im Berichtszeitraum Oktober 2024 bis September 2025 dokumentierte das BSI 138 sicherheitsrelevante Vorfälle mit Bezug zum Gesundheitswesen. Leistungserbringer wie Krankenhäuser, Arztpraxen und Pflegeeinrichtungen waren mit 43 Vorfällen besonders betroffen. Deutschlandweit wurden 2025 zudem 10.259 Datenpannen gemeldet – ein deutlicher Anstieg gegenüber den Vorjahren.
Quellen: BSI-Lagebericht Gesundheitswesen 2025 – Analyse | aphos – BSI-Lagebericht Cybersicherheit | Expertenmarkt – Datenpannen 2025
Praxisbeispiele: So teuer werden Datenschutzverstöße im Gesundheitswesen
Dass DSGVO-Bußgelder keine abstrakte Drohung sind, zeigen konkrete Fälle aus dem Gesundheitswesen:
Mainzer Universitätsklinik – 105.000 €
Patientenverwechslung, Falschabrechnung und erhebliche technische sowie organisatorische Defizite im Patientenmanagement führten zu einem Bußgeld von 105.000 Euro. Der Landesdatenschutzbeauftragte Rheinland-Pfalz, Prof. Dieter Kugelmann, bezeichnete die Strafe ausdrücklich als „pädagogische Maßnahme“ und Signal an alle Gesundheitseinrichtungen.
Patientenakten im Home-Office – 2.500 € (Hessen)
Eine Praxismanagerin bewahrte Patientenakten zur Abrechnung im Home-Office auf. Die Unterlagen lagen offen in einem nicht dauerhaft verschlossenen Raum, private Gäste hatten Zugang. Zusätzlich wurden Dokumente fotografiert und per WhatsApp versendet. Der Hessische Datenschutzbeauftragte verhängte ein Bußgeld von 2.500 Euro.
Fehlende Löschung alter Patientendaten – vierstelliges Bußgeld (2026)
Alte digitale Patientendaten wurden nicht gelöscht, was zu einer falschen Rechnungsstellung an eine ehemalige Patientin führte. Zudem wurden Gesundheitsdaten ohne Rechtsgrundlage an ein externes Abrechnungsunternehmen übermittelt. Das Bußgeld lag im vierstelligen Bereich – ein Warnsignal, dass auch „alte Akten“ der DSGVO unterliegen.
Quelle: InnovaPrax – Bußgelder und Datenschutzverstöße im Gesundheitswesen
Die 5 größten DSGVO-Risiken für Pflegedienste
Die meisten Bußgelder entstehen nicht durch spektakuläre Hackerangriffe, sondern durch alltägliche organisatorische Schwächen. Für Pflegedienste sind diese fünf Risikobereiche besonders relevant:
- Fehlende oder fehlerhafte Auftragsverarbeitungsverträge (AVV): Wenn Sie mit externen Dienstleistern arbeiten – sei es ein Softwareanbieter, ein IT-Dienstleister oder ein Abrechnungsunternehmen – müssen schriftliche AV-Verträge vorliegen. Der Vodafone-Fall zeigt: Wer seine Auftragsverarbeiter nicht ordentlich prüft, riskiert Millionenstrafen.
- Unzureichende Zugriffskontrollen: Wer in Ihrer Einrichtung hat Zugriff auf welche Patientendaten? Zu weit gefasste Berechtigungen sind eine der häufigsten Schwachstellen – und ein klarer DSGVO-Verstoß.
- Mangelhafte IT-Sicherheit: Schwache Passwörter, fehlende Verschlüsselung, veraltete Software ohne Sicherheitsupdates – das BSI stellt klar: Angreifer suchen gezielt nach schlecht geschützten Zielen. Pflegedienste ohne professionelle IT-Betreuung sind besonders gefährdet.
- Fehlende oder unregelmäßige Mitarbeiterschulungen: Der Home-Office-Fall aus Hessen zeigt: Ein einziger ungeschulter Mitarbeiter kann ein Bußgeld auslösen. Regelmäßige Datenschutz-Schulungen sind keine Kür, sondern Pflicht.
- Ungeschützte oder falsch konfigurierte Cloud-Umgebungen: Immer mehr Pflegedienste nutzen Cloud-Lösungen für die Pflegedokumentation. Ohne DSGVO-konforme Konfiguration – insbesondere Hosting in Deutschland bzw. der EU – drohen empfindliche Strafen.
Quellen: Expertenmarkt – Die 5 häufigsten Stolperfallen | InnovaPrax – Typische Datenschutzverstöße
NIS2: Neue Pflichten seit November 2025
Seit November 2025 gilt in Deutschland die NIS2-Richtlinie (Netz- und Informationssicherheit), die die IT-Sicherheitsanforderungen für Unternehmen deutlich verschärft. Zwar fallen die meisten Pflegedienste nicht direkt unter NIS2, doch das BSI warnt: Wer mit NIS2-pflichtigen Einrichtungen zusammenarbeitet – etwa Krankenhäusern oder großen Abrechnungszentren –, kann über Lieferkettenpflichten indirekt in die Verantwortung genommen werden. Das bedeutet: Auch kleine Pflegedienste müssen ihre IT-Sicherheit auf ein professionelles Niveau heben, wenn sie weiterhin mit großen Partnern zusammenarbeiten wollen.
Quellen: BSI-Lagebericht – NIS2 und Lieferkettenpflichten | InnovaPrax – NIS2-Anforderungen
So schützt itbuddy.care Ihren Pflegedienst vor DSGVO-Risiken
Die gute Nachricht: Die meisten DSGVO-Verstöße sind durch systematisches Datenschutz-Management, professionelle IT-Sicherheit und klare Prozesse vermeidbar. Genau hier setzt itbuddy.care an – die digitale Komplettlösung für Pflegedienste, Pflegeheime und Tagespflegen:
- Hosting in Deutschland: Alle Daten werden in deutschen Rechenzentren gehostet – DSGVO-konform und ohne rechtliche Grauzonen durch Drittland-Übermittlungen.
- Verschlüsselte Kommunikation: Ende-zu-Ende-Verschlüsselung für alle Pflegedokumentationen, Abrechnungsdaten und die Kommunikation mit Ärzten und Kostenträgern.
- Automatisierte Zugriffskontrollen: Rollenbasierte Berechtigungen stellen sicher, dass jeder Mitarbeiter nur die Daten sieht, die er für seine Arbeit benötigt – nicht mehr und nicht weniger.
- Regelmäßige Sicherheitsupdates: Keine veraltete Software, keine offenen Sicherheitslücken – itbuddy.care wird kontinuierlich aktualisiert und gepatcht.
- TI-Integration: Nahtlose Anbindung an die Telematikinfrastruktur inklusive KIM-Dienst, ePA-Zugriff und elektronischer Abrechnung – alles aus einer Hand.
- Mobile-First: Ob im Pflegeheim oder in der ambulanten Pflege – itbuddy.care funktioniert auf Tablets und Smartphones genauso sicher wie am Desktop.
6 Sofortmaßnahmen für mehr Datenschutz in Ihrer Einrichtung
Sie wollen nicht warten, bis die Aufsichtsbehörde anklopft? Diese sechs Maßnahmen können Sie noch heute umsetzen:
- Auftragsverarbeitungsverträge prüfen: Haben Sie mit allen externen Dienstleistern – Software, IT, Abrechnung – einen aktuellen AVV? Fehlende Verträge sind der häufigste Bußgeldgrund.
- Zugriffsrechte überprüfen: Wer hat Zugriff auf Patientendaten? Entziehen Sie Berechtigungen, die nicht zwingend benötigt werden (Need-to-know-Prinzip).
- Passwortrichtlinie durchsetzen: Starke, individuelle Passwörter und Zwei-Faktor-Authentifizierung für alle Systeme mit Patientendaten.
- Mitarbeiter schulen: Führen Sie eine verpflichtende Datenschutz-Schulung für alle Mitarbeiter durch – dokumentieren Sie die Teilnahme.
- Datenhosting prüfen: Wo stehen Ihre Server? Hosting außerhalb der EU kann ein DSGVO-Verstoß sein. Deutsche Rechenzentren bieten Rechtssicherheit.
- Löschkonzept einführen: Legen Sie fest, wann welche Patientendaten gelöscht werden müssen – und setzen Sie es konsequent um.
Fazit: Datenschutz ist Chefsache – und ein Wettbewerbsvorteil
46,9 Millionen Euro Bußgelder allein in Deutschland, 10.259 gemeldete Datenpannen, 138 Sicherheitsvorfälle im Gesundheitswesen – die Zahlen von 2025 sprechen eine klare Sprache: Datenschutz ist kein „Papiertiger“ mehr. Die Aufsichtsbehörden greifen durch, und das Gesundheitswesen steht wegen der sensiblen Patientendaten besonders im Fokus.
Für Pflegedienstleitungen bedeutet das: Datenschutz ist nicht delegierbar. Es ist eine Führungsaufgabe, die über Bußgelder, Reputation und letztlich die Existenz der Einrichtung entscheidet. Gleichzeitig ist ein professionelles Datenschutz-Management ein Wettbewerbsvorteil: Pflegebedürftige und ihre Angehörigen vertrauen ihre sensibelsten Daten nur Einrichtungen an, die nachweislich sicher damit umgehen.
Mit itbuddy.care holen Sie sich einen Partner an die Seite, der Datenschutz und IT-Sicherheit von Grund auf mitdenkt – mit Hosting in Deutschland, DSGVO-konformer Architektur und nahtloser TI-Integration. So können Sie sich auf das konzentrieren, was wirklich zählt: die bestmögliche Pflege Ihrer Patienten.
Schützen Sie Ihren Pflegedienst vor DSGVO-Risiken. itbuddy.care bietet Ihnen die digitale Komplettlösung für Pflegedienste, Pflegeheime und Tagespflegen – DSGVO-konform, Hosting in Deutschland, Mobile-First. Vereinbaren Sie jetzt Ihren persönlichen Demo-Termin und erfahren Sie, wie Sie Ihre Einrichtung rechtssicher aufstellen.
Jetzt Demo-Termin vereinbaren