Zurück zur Übersicht

IT-Pflichten für Pflegeunternehmen – Welche digitalen Vorgaben das Gesetz fordert

Die Digitalisierung ist in der Pflege nicht mehr optional – das Gesetz zwingt dazu. Elektronische Rechnungen, DSGVO-Konformität, Aufbewahrungspflichten: Wer diese Pflichten ignoriert, riskiert Bußgelder und im schlimmsten Fall den Entzug der Betriebserlaubnis. Dieser Artikel gibt einen Überblick über aktuelle und kommende IT-Pflichten.

Warum Pflegeunternehmen jetzt handeln müssen

Die gesetzlichen Anforderungen an digitale Prozesse in der Pflege wachsen stetig:

JahrNeue PflichtBetroffen
2024Arbeitszeiterfassungspflicht (BAG-Urteil)Alle Arbeitgeber
2025E-Rechnungspflicht (Empfang)Alle Unternehmen
2026/2027E-Rechnungspflicht (Versand)Alle Unternehmen
FortlaufendDSGVO, GoBD, SGB-V-AnforderungenPflegeeinrichtungen

Wer nicht rechtzeitig umstellt, zahlt später doppelt: Bußgelder plus Nachrüstungskosten.

Die wichtigsten IT-Pflichten im Überblick

1. Elektronische Rechnungspflicht (ab 2025/2026)

Die E-Rechnungspflicht kommt – stufenweise:

ZeitraumPflicht
Ab 1.1.2025Empfangspflicht: Unternehmen müssen E-Rechnungen empfangen können
Ab 1.1.2026 (geplant)Versandpflicht für Unternehmen > 250 Mitarbeiter
Ab 1.1.2027 (geplant)Versandpflicht für alle Unternehmen
Was bedeutet das für Pflegeunternehmen?
  • Sie müssen in der Lage sein, elektronische Rechnungen im EU-Format (EN 16931) zu empfangen
  • Ab 2027 müssen auch Sie elektronische Rechnungen im Format XRechnung oder ZUGFeRD versenden
  • Papierrechnungen an andere Unternehmen werden dann nicht mehr ausreichen
Praktische Umsetzung: Die meisten Pflegesoftware-Lösungen integrieren bereits E-Rechnungsfunktionen. Alternativ: E-Rechnungsportal oder Schnittstelle zum Steuerberater.

2. DSGVO – Die Basispflicht

Die DSGVO gilt seit 2018 – aber viele Pflegeunternehmen sind immer noch nicht vollständig konform. Die wichtigsten Pflichten:

PflichtWas zu tun ist
Verzeichnis von Verarbeitungstätigkeiten (VVT)Alle Datenverarbeitungen dokumentieren
DatenschutzbeauftragterAb 20 MA, die personenbezogene Daten verarbeiten
Technik- und Organisationsmaßnahmen (TOMs)Verschlüsselung, Zugriffskontrolle, Audit-Trail
Datenschutz-Folgenabschätzung (DSFA)Bei hohem Risiko für Betroffene (Gesundheitsdaten!)
Auftragsdatenverarbeitung (AVV)Mit allen IT-Dienstleistern abschließen
Meldepflicht bei DatenpannenInnerhalb von 72 Stunden an Aufsichtsbehörde
AuskunftsrechtBetroffene können Auskunft über ihre Daten verlangen
Besonders wichtig in der Pflege: Gesundheitsdaten fallen unter Art. 9 DSGVO (besondere Kategorien). Die Anforderungen an die Verarbeitung sind höher als bei „normalen" personenbezogenen Daten.

3. GoBD – Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern

Die GoBD gelten für alle steuerrelevanten Aufzeichnungen – auch in der Pflege:

AnforderungWas bedeutet das?
Aufbewahrungsfristen10 Jahre für steuerrelevante Unterlagen, 6 Jahre für Geschäftsbriefe
NachvollziehbarkeitJede Buchung muss nachvollziehbar sein
UnveränderbarkeitBuchungen dürfen nicht nachträglich geändert werden (ohne Dokumentation)
VollständigkeitKeine Lücken erlaubt
Praxisrelevanz: Wer Pflegesoftware einsetzt, muss sicherstellen, dass das System GoBD-konform ist. Das heißt: Audit-Trail, unveränderbare Speicherung, Exportmöglichkeit für die Steuerprüfung.

4. Arbeitszeiterfassungspflicht

Seit dem BAG-Urteil (2022) und der entsprechenden Gesetzesinitiative ist die lückenlose Arbeitszeiterfassung Pflicht. Für Pflegeunternehmen bedeutet das:

  • Jede angefangene und beendete Arbeitszeit muss erfasst werden
  • Auch Bereitschaftsdienste und Rufbereitschaften
  • Die Erfassung muss objektiv, nachvollziehbar und unveränderbar sein
  • Digitale Zeiterfassung ist der einfachste Weg zur Konformität

5. SGB-V-Anforderungen an die Pflegedokumentation

Das Sozialgesetzbuch V regelt die Anforderungen an die Pflegedokumentation:

AnforderungBedeutung
VollständigkeitAlle erbrachten Leistungen müssen dokumentiert werden
NachvollziehbarkeitDritte müssen die Dokumentation verstehen können
AktualitätDokumentation muss zeitnah erfolgen
ManipulationssicherheitNachträgliche Änderungen müssen kenntlich gemacht werden

6. IT-Sicherheit nach BSI-Standards

Für Pflegeunternehmen, die als KRITIS-Betreiber gelten (ab einer bestimmten Größe), gelten zusätzliche Anforderungen:

  • Nachweispflicht für angemessene IT-Sicherheitsmaßnahmen
  • Regelmäßige Sicherheitsaudits
  • Meldung von IT-Sicherheitsvorfällen an das BSI

Auch ohne KRITIS-Status empfiehlt sich die Orientierung am BSI IT-Grundschutz.

Was 2026/2027 kommt

MaßnahmeStatusBetroffen
E-Rechnungspflicht (Versand)Gesetz beschlossen, Umsetzung gestaffeltAlle Unternehmen
Elektronische ArbeitszeiterfassungGesetzgebungsverfahrenAlle Arbeitgeber
Digitale PflegeberichtePilotprojekte, Ausweitung erwartetPflegeeinrichtungen
Telematikinfrastruktur (TI)Ausbau laufendAmbulant und stationär
ePA (elektronische Patientenakte)Pflicht für gesetzlich Versicherte ab 2025Alle Leistungserbringer

Schritt für Schritt: So stellen Sie sich auf die IT-Pflichten ein

1. Ist-Analyse: Welche Pflichten erfüllen Sie bereits? Wo gibt es Lücken?

2. VVT aktualisieren: Verzeichnis der Verarbeitungstätigkeiten vollständig erstellen

3. AVV-Verträge prüfen: Mit allen IT-Dienstleistern Auftragsdatenverarbeitungsverträge abschließen

4. E-Rechnungsfähigkeit prüfen: Kann Ihre Software E-Rechnungen empfangen und versenden?

5. Arbeitszeiterfassung einführen: Digitale Zeiterfassung implementieren

6. GoBD-Konformität sicherstellen: Audit-Trail und Export in der Software prüfen

7. Datenschutzbeauftragten bestellen: Falls noch nicht geschehen (ab 20 MA)

8. IT-Sicherheitskonzept erstellen: Basierend auf BSI IT-Grundschutz

9. Schulung der Mitarbeiter: Datenschutz und IT-Sicherheit sind Everyone's Business

10. Regelmäßige Überprüfung: Mindestens jährlich den Status quo überprüfen

FAQ: IT-Pflichten für Pflegeunternehmen

Wann muss ich E-Rechnungen versenden?

Ab voraussichtlich 2027 für alle Unternehmen. Die genauen Termine können sich noch verschieben – prüfen Sie den aktuellen Stand.

Was kostet die Umstellung auf E-Rechnungen?

Je nach Lösung: Kostenlos (E-Rechnungsportal des Steuerberaters) bis ca. 50–200 €/Monat für integrierte Lösungen in der Buchhaltungssoftware.

Brauche ich einen Datenschutzbeauftragten?

Ja, wenn Sie mehr als 20 Mitarbeiter haben, die personenbezogene Daten verarbeiten. In der Pflege ist das fast immer der Fall. Externe DSB sind möglich und oft kosteneffizient.

Was passiert bei Nichtbeachtung der DSGVO?

Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes. In der Praxis: bei Gesundheitsdaten besonders strenge Ahndung durch die Aufsichtsbehörden.

Muss ich eine elektronische Patientenakte (ePA) nutzen?

Als Leistungserbringer müssen Sie die ePA unterstützen. Die genauen Anforderungen richten sich nach dem Versorgungsbereich (ambulant, stationär, Rehabilitation).

Was sind die GoBD einfach erklärt?

GoBD = Regeln dafür, wie digitale Buchhaltung aussehen muss: nachvollziehbar, unveränderbar, vollständig, zeitnah. Jede Buchung muss für die Steuerprüfung rekonstruierbar sein.

Fazit

Die digitale Pflichtenlandschaft für Pflegeunternehmen wird immer dichter – und die Übergangsfristen kürzer. Wer jetzt handelt, profitiert doppelt: Er vermeidet Bußgelder und nutzt die Digitalisierung gleichzeitig als Wettbewerbsvorteil. Die E-Rechnungspflicht ist der nächste Meilenstein – bereiten Sie sich jetzt vor.

15 Minuten Beratung – dann wissen Sie, ob es passt. Kontaktieren Sie uns für eine Bestandsaufnahme Ihrer IT-Pflichten. Lesen Sie auch unsere Artikel zur DSGVO in der Pflege und Cybersecurity.

---

Hinweis: Wir vermitteln itbuddy.care-Lizenzen als Affiliate-Partner. Rechtsangaben ohne Gewähr – konsultieren Sie bei konkreten Fragen einen Fachanwalt. Quellen:
  • E-Rechnungspflicht: Wachstumschancengesetz, BMF-Schreiben zur elektronischen Rechnung
  • DSGVO: Verordnung (EU) 2016/679, Art. 9 (Gesundheitsdaten)
  • GoBD: BMF-Schreiben vom 28.11.2019 (BStBl I S. 1390)
  • BAG-Urteil zur Arbeitszeiterfassung: 1 ABR 22/21 (13.9.2022)
  • SGB V: §§ 295, 296, 300 (Pflegedokumentation, ePA)
  • BSI IT-Grundschutz-Kompendium (aktuelle Version)