Die Digitalisierung ist in der Pflege nicht mehr optional – das Gesetz zwingt dazu. Elektronische Rechnungen, DSGVO-Konformität, Aufbewahrungspflichten: Wer diese Pflichten ignoriert, riskiert Bußgelder und im schlimmsten Fall den Entzug der Betriebserlaubnis. Dieser Artikel gibt einen Überblick über aktuelle und kommende IT-Pflichten.
Warum Pflegeunternehmen jetzt handeln müssen
Die gesetzlichen Anforderungen an digitale Prozesse in der Pflege wachsen stetig:
| Jahr | Neue Pflicht | Betroffen |
|---|---|---|
| 2024 | Arbeitszeiterfassungspflicht (BAG-Urteil) | Alle Arbeitgeber |
| 2025 | E-Rechnungspflicht (Empfang) | Alle Unternehmen |
| 2026/2027 | E-Rechnungspflicht (Versand) | Alle Unternehmen |
| Fortlaufend | DSGVO, GoBD, SGB-V-Anforderungen | Pflegeeinrichtungen |
Wer nicht rechtzeitig umstellt, zahlt später doppelt: Bußgelder plus Nachrüstungskosten.
Die wichtigsten IT-Pflichten im Überblick
1. Elektronische Rechnungspflicht (ab 2025/2026)
Die E-Rechnungspflicht kommt – stufenweise:
| Zeitraum | Pflicht |
|---|---|
| Ab 1.1.2025 | Empfangspflicht: Unternehmen müssen E-Rechnungen empfangen können |
| Ab 1.1.2026 (geplant) | Versandpflicht für Unternehmen > 250 Mitarbeiter |
| Ab 1.1.2027 (geplant) | Versandpflicht für alle Unternehmen |
- Sie müssen in der Lage sein, elektronische Rechnungen im EU-Format (EN 16931) zu empfangen
- Ab 2027 müssen auch Sie elektronische Rechnungen im Format XRechnung oder ZUGFeRD versenden
- Papierrechnungen an andere Unternehmen werden dann nicht mehr ausreichen
2. DSGVO – Die Basispflicht
Die DSGVO gilt seit 2018 – aber viele Pflegeunternehmen sind immer noch nicht vollständig konform. Die wichtigsten Pflichten:
| Pflicht | Was zu tun ist |
|---|---|
| Verzeichnis von Verarbeitungstätigkeiten (VVT) | Alle Datenverarbeitungen dokumentieren |
| Datenschutzbeauftragter | Ab 20 MA, die personenbezogene Daten verarbeiten |
| Technik- und Organisationsmaßnahmen (TOMs) | Verschlüsselung, Zugriffskontrolle, Audit-Trail |
| Datenschutz-Folgenabschätzung (DSFA) | Bei hohem Risiko für Betroffene (Gesundheitsdaten!) |
| Auftragsdatenverarbeitung (AVV) | Mit allen IT-Dienstleistern abschließen |
| Meldepflicht bei Datenpannen | Innerhalb von 72 Stunden an Aufsichtsbehörde |
| Auskunftsrecht | Betroffene können Auskunft über ihre Daten verlangen |
3. GoBD – Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern
Die GoBD gelten für alle steuerrelevanten Aufzeichnungen – auch in der Pflege:
| Anforderung | Was bedeutet das? |
|---|---|
| Aufbewahrungsfristen | 10 Jahre für steuerrelevante Unterlagen, 6 Jahre für Geschäftsbriefe |
| Nachvollziehbarkeit | Jede Buchung muss nachvollziehbar sein |
| Unveränderbarkeit | Buchungen dürfen nicht nachträglich geändert werden (ohne Dokumentation) |
| Vollständigkeit | Keine Lücken erlaubt |
4. Arbeitszeiterfassungspflicht
Seit dem BAG-Urteil (2022) und der entsprechenden Gesetzesinitiative ist die lückenlose Arbeitszeiterfassung Pflicht. Für Pflegeunternehmen bedeutet das:
- Jede angefangene und beendete Arbeitszeit muss erfasst werden
- Auch Bereitschaftsdienste und Rufbereitschaften
- Die Erfassung muss objektiv, nachvollziehbar und unveränderbar sein
- Digitale Zeiterfassung ist der einfachste Weg zur Konformität
5. SGB-V-Anforderungen an die Pflegedokumentation
Das Sozialgesetzbuch V regelt die Anforderungen an die Pflegedokumentation:
| Anforderung | Bedeutung |
|---|---|
| Vollständigkeit | Alle erbrachten Leistungen müssen dokumentiert werden |
| Nachvollziehbarkeit | Dritte müssen die Dokumentation verstehen können |
| Aktualität | Dokumentation muss zeitnah erfolgen |
| Manipulationssicherheit | Nachträgliche Änderungen müssen kenntlich gemacht werden |
6. IT-Sicherheit nach BSI-Standards
Für Pflegeunternehmen, die als KRITIS-Betreiber gelten (ab einer bestimmten Größe), gelten zusätzliche Anforderungen:
- Nachweispflicht für angemessene IT-Sicherheitsmaßnahmen
- Regelmäßige Sicherheitsaudits
- Meldung von IT-Sicherheitsvorfällen an das BSI
Auch ohne KRITIS-Status empfiehlt sich die Orientierung am BSI IT-Grundschutz.
Was 2026/2027 kommt
| Maßnahme | Status | Betroffen |
|---|---|---|
| E-Rechnungspflicht (Versand) | Gesetz beschlossen, Umsetzung gestaffelt | Alle Unternehmen |
| Elektronische Arbeitszeiterfassung | Gesetzgebungsverfahren | Alle Arbeitgeber |
| Digitale Pflegeberichte | Pilotprojekte, Ausweitung erwartet | Pflegeeinrichtungen |
| Telematikinfrastruktur (TI) | Ausbau laufend | Ambulant und stationär |
| ePA (elektronische Patientenakte) | Pflicht für gesetzlich Versicherte ab 2025 | Alle Leistungserbringer |
Schritt für Schritt: So stellen Sie sich auf die IT-Pflichten ein
1. Ist-Analyse: Welche Pflichten erfüllen Sie bereits? Wo gibt es Lücken?
2. VVT aktualisieren: Verzeichnis der Verarbeitungstätigkeiten vollständig erstellen
3. AVV-Verträge prüfen: Mit allen IT-Dienstleistern Auftragsdatenverarbeitungsverträge abschließen
4. E-Rechnungsfähigkeit prüfen: Kann Ihre Software E-Rechnungen empfangen und versenden?
5. Arbeitszeiterfassung einführen: Digitale Zeiterfassung implementieren
6. GoBD-Konformität sicherstellen: Audit-Trail und Export in der Software prüfen
7. Datenschutzbeauftragten bestellen: Falls noch nicht geschehen (ab 20 MA)
8. IT-Sicherheitskonzept erstellen: Basierend auf BSI IT-Grundschutz
9. Schulung der Mitarbeiter: Datenschutz und IT-Sicherheit sind Everyone's Business
10. Regelmäßige Überprüfung: Mindestens jährlich den Status quo überprüfen
FAQ: IT-Pflichten für Pflegeunternehmen
Wann muss ich E-Rechnungen versenden?Ab voraussichtlich 2027 für alle Unternehmen. Die genauen Termine können sich noch verschieben – prüfen Sie den aktuellen Stand.
Was kostet die Umstellung auf E-Rechnungen?Je nach Lösung: Kostenlos (E-Rechnungsportal des Steuerberaters) bis ca. 50–200 €/Monat für integrierte Lösungen in der Buchhaltungssoftware.
Brauche ich einen Datenschutzbeauftragten?Ja, wenn Sie mehr als 20 Mitarbeiter haben, die personenbezogene Daten verarbeiten. In der Pflege ist das fast immer der Fall. Externe DSB sind möglich und oft kosteneffizient.
Was passiert bei Nichtbeachtung der DSGVO?Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes. In der Praxis: bei Gesundheitsdaten besonders strenge Ahndung durch die Aufsichtsbehörden.
Muss ich eine elektronische Patientenakte (ePA) nutzen?Als Leistungserbringer müssen Sie die ePA unterstützen. Die genauen Anforderungen richten sich nach dem Versorgungsbereich (ambulant, stationär, Rehabilitation).
Was sind die GoBD einfach erklärt?GoBD = Regeln dafür, wie digitale Buchhaltung aussehen muss: nachvollziehbar, unveränderbar, vollständig, zeitnah. Jede Buchung muss für die Steuerprüfung rekonstruierbar sein.
Fazit
Die digitale Pflichtenlandschaft für Pflegeunternehmen wird immer dichter – und die Übergangsfristen kürzer. Wer jetzt handelt, profitiert doppelt: Er vermeidet Bußgelder und nutzt die Digitalisierung gleichzeitig als Wettbewerbsvorteil. Die E-Rechnungspflicht ist der nächste Meilenstein – bereiten Sie sich jetzt vor.
15 Minuten Beratung – dann wissen Sie, ob es passt. Kontaktieren Sie uns für eine Bestandsaufnahme Ihrer IT-Pflichten. Lesen Sie auch unsere Artikel zur DSGVO in der Pflege und Cybersecurity.---
Hinweis: Wir vermitteln itbuddy.care-Lizenzen als Affiliate-Partner. Rechtsangaben ohne Gewähr – konsultieren Sie bei konkreten Fragen einen Fachanwalt. Quellen:- E-Rechnungspflicht: Wachstumschancengesetz, BMF-Schreiben zur elektronischen Rechnung
- DSGVO: Verordnung (EU) 2016/679, Art. 9 (Gesundheitsdaten)
- GoBD: BMF-Schreiben vom 28.11.2019 (BStBl I S. 1390)
- BAG-Urteil zur Arbeitszeiterfassung: 1 ABR 22/21 (13.9.2022)
- SGB V: §§ 295, 296, 300 (Pflegedokumentation, ePA)
- BSI IT-Grundschutz-Kompendium (aktuelle Version)