Bürokratie belastet Pflegende: So kann Compliance für KI und IT-Sicherheit trotzdem gelingen

von Christian Klande (Experte für Compliance) und Thomas Althammer (Geschäftsführer, beide Althammer & Kill GmbH & Co. KG)

Fast jeder dritte Befragte der Trendstudie Pflege & Soziales 2025 wünscht sich weniger Bürokratie im Beruf. Die Wahrheit ist: In den letzten Jahren wurden die administrativen Anforderungen eher mehr. Man denke nur an die neuen Anforderungen rund um die europäische KI-Verordnung oder NIS-2. Trotz hohem Arbeitsaufkommen und fehlenden Fachkräften müssen Einrichtungen „Compliance“ – also die Kunst, den Überblick über Gesetze, Richtlinien und Vorgaben zu behalten und diese umzusetzen – auf ihrer Agenda weit oben halten. Wer sich nicht regelkonform verhält, dem drohen Bußgelder und strafrechtliche Verfolgung. Datenschutz und IT-Sicherheit, Qualitätsmanagement, Dokumentation – die Liste der Vorschriften für die ambulante und stationäre Pflege ist lang. Wie ein gutes Compliance-Management im Hinblick auf Datenschutz und IT-Sicherheit gelingen kann, lesen Sie auf den nächsten Zeilen.

Es liegt eigentlich auf der Hand, dass Pflegeeinrichtungen nicht im rechtsleeren Raum agieren und sich selbstverständlich an Recht und Gesetz halten. In der Praxis bedeutet dies, dass die Einrichtungsleitung und ihre Mitarbeitenden die aktuelle Rechtslage einer Vielzahl von Gesetzen, Vorschriften und Regularien im Blick behalten müssen; auch für höhere Anforderungen bei der IT-Sicherheit und den Umgang mit künstlicher Intelligenz (KI). Zentral sind weiterhin DSGVO, SGB V/XI und nationale IT‑Sicherheitsgesetze, wie das NIS‑2-Umsetzungsgesetz, das IT-Sicherheitsgesetz BSIG 3.0 oder die Änderung der bestehenden KRITIS-Rechtsverordnung (BSI-KritisV). Diese geben hohe Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit von Gesundheits- und Pflegedaten vor. Viele Einrichtungen werden etwa direkt oder indirekt von NIS‑2 erfasst oder müssen erhöhte Sicherheitsstandards nachweisen, wenn sie mit KRITIS-Einrichtungen zusammenarbeiten. Seit dem 1. Juli 2025 ist zudem die Anbindung an die Telematikinfrastruktur (TI) Pflicht, ab Ende 2026 soll die Abrechnung ausschließlich über die TI laufen, was zusätzliche Sicherheits- und Verfügbarkeitsanforderungen an Systeme und Prozesse mit sich bringt.

Ziel von Compliance ist es allgemein, Pflegemissständen, Korruption, Mobbing, Datenmissbrauch, Diskriminierung und vielem mehr den Boden zu entziehen. Um dies zu managen, müssen Einrichtungen Strukturen und Systeme implementieren, die das Auftreten solcher Risiken minimieren, Rechtssicherheit im Alltag gewährleisten und Verstöße rechtzeitig erkennen.

IT-Compliance für KI und IT-Sicherheit stellt kleinere Einrichtungen vor hohe Hürden

Gerade kleinere Einrichtungen müssen Compliance pragmatisch angehen, ohne den ganzen Betrieb aufzuhalten, gleichzeitig dem Datenschutz, der Einführung von KI-Anwendungen und hohen Anforderungen an IT-Sicherheit Rechnung tragen. Der Deutsche Pflegerat hat diesbezüglich drei Handlungsfelder definiert, die Einrichtungen entlasten sollen:

1. Verbindliche Sicherheitsstandards und Zertifikate
   Gerade in der ambulanten Pflege sind viele kleine und mittelständische Einrichtungen fachlich mit der Problematik IT-Sicherheit überfordert und benötigen verbindliche Standards sowie kompetente Beratung durch die IT-Anbieter. Deren Hard- und Software sollte verpflichtend anerkannten Zertifizierungen unterliegen.
2. Stand der IT-Sicherheit mithilfe des Bundesamts für Sicherheit und Informationstechnik selbst definieren
   Es sind dem Deutschen Pflegerat zufolge gesetzliche Grundlagen erforderlich, die es Pflegeeinrichtungen ermöglichen, den Stand der Technik rechtssicher und flexibel an neue technologische Entwicklungen anzupassen.
3. Finanzierung von IT-Sicherheitsmaßnahmen sichern
   Demnach sollen notwendige Ausgaben für Zertifizierungen, Sicherheitsschulungen oder technische Schutzmaßnahmen dauerhaft und verlässlich refinanziert oder gefördert werden, beispielsweise im Rahmen der Pflegeversicherung (SGB XI) oder der Krankenversicherung (SGB V).

Ob es so kommt, bleibt abzuwarten. In der Zwischenzeit tun Einrichtungen gut daran, sich einen Überblick über den europäischen Rechtsrahmen zu verschaffen. Dabei empfiehlt es sich, die Bereiche mit den höchsten Risiken – z. B. die Bereiche, in denen sensible Daten verarbeitet werden – zu priorisieren.

Die europäischen Vorgaben mögen verwirrend sein, folgen aber einer logischen Struktur: Die DSGVO schützt Personen und ihre Daten, die KI-Verordnung reguliert Systeme, die Digital-Strategie strukturiert Datenräume. Für Verantwortliche bedeutet das: Nicht alles gleichzeitig tun, sondern strukturiert vorgehen.

Strukturiert vorgehen – so geht’s:

1. Bestandsaufnahme durchführen
2. Risiken richtig bewerten
3. Rechtliche und technische Anforderungen verbinden
4. Governance klären
5. Transparenz herstellen

Fazit:

Wer diese Grundlagen schafft, der kann Datenschutz, KI und IT-Sicherheit nicht nur rechtskonform einsetzen, sondern auch strategisch und vertrauenswürdig. Wenn bei der Einrichtungsleitung ein klares Commitment zu Compliance besteht, kann sie gelingen. Eine positive Grundstimmung und eine „Can-Do-Attitüde“ tun sicher ihr Übriges, um das Bürokratiemonster Compliance wirkungsvoll einzuhegen.