sicherio
Redaktionell geprüft · DSGVO & Arbeitsschutz · Keine Rechts- oder Fachberatung

Verbandbuch und DSGVO: Was Sie wirklich dürfen (und was nicht)

Ja, das Verbandbuch enthält Gesundheitsdaten nach Art. 9 DSGVO — und ist gleichzeitig gesetzliche Pflicht nach § 24 DGUV Vorschrift 1. Diese Doppel-Verpflichtung macht die Sache heikel: Sie müssen dokumentieren, was Sie gleichzeitig besonders schützen müssen. Die gute Nachricht: Das ist lösbar — aber die meisten KMU machen es unwissentlich falsch.

Art. 9 DSGVO
Höchste Schutzklasse
§ 24 DGUV V1
Dokumentationspflicht
5 Jahre
Aufbewahrungsfrist
14 Tage kostenlos testen — DSGVO-konformZur Verbandbuch-Pflicht-Seite

DSGVO-Check für Ihr Verbandbuch

Erfüllt Ihr aktuelles Setup Art. 9 DSGVO?

Zugriff nur für definierte Rollen (Ersthelfer, Sifa, GF)

Zugriffe protokolliert — wer hat wann eingesehen?

Einträge älter als 5 Jahre werden aktiv gelöscht

Auskunft an Betroffene innerhalb 1 Monat lieferbar

AVV mit Softwareanbieter vorhanden (falls extern)

Im Verzeichnis der Verarbeitungstätigkeiten dokumentiert

Papier-Verbandbuch

0–2 von 6 erfüllt

Sicherio Digital

6 von 6 erfüllt

Fiktive Gegenüberstellung — Ergebnis abhängig von individueller Umsetzung

Warum das Verbandbuch ein DSGVO-Fall ist

Das Verbandbuch enthält per Definition Informationen über die körperliche Verfassung einer identifizierbaren Person — Art der Verletzung, betroffene Körperstelle, Hergang. Das sind nicht nur personenbezogene Daten, sondern besondere Kategorien im Sinne von Art. 9 DSGVO: Gesundheitsdaten.

Diese Darstellung ist eine allgemeine Information und ersetzt keine individuelle Fachberatung.

Sie dürfen das Verbandbuch also führen. Aber Sie müssen es so führen, dass die strengeren Schutzregeln des Art. 9 eingehalten werden — nicht nur die allgemeinen Grundsätze aus Art. 5–7 DSGVO. Viele KMU behandeln das Verbandbuch wie normale Betriebsdokumentation. Das ist unter DSGVO nicht ausreichend.

  • Höhere Anforderungen an Zugriffsbeschränkung
  • Strengere Aufbewahrungs- und Löschregeln
  • Erweiterte Informationspflichten gegenüber Betroffenen
  • Auskunftsrecht muss innerhalb eines Monats erfüllbar sein

Die DSGVO-Grundsätze auf das Verbandbuch angewendet

Die sechs Grundsätze aus Art. 5 DSGVO gelten auch hier — mit besonderer Betonung.

1

Rechtmäßigkeit (Art. 6 DSGVO)

Die Verarbeitung braucht eine Rechtsgrundlage. Für das Verbandbuch: § 24 DGUV V1 in Verbindung mit Art. 9 Abs. 2 lit. b DSGVO (Erfüllung arbeitsrechtlicher Pflichten). Diese Rechtsgrundlage muss im Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentiert sein.

2

Zweckbindung

Daten dürfen nur für den ursprünglichen Zweck genutzt werden: Dokumentation zur Unfallprävention und zum Berufskrankheiten-Nachweis. Verbandbuch-Einträge für Mitarbeiter-Beurteilungen zu nutzen ist rechtswidrig.

3

Datenminimierung

Nur die tatsächlich notwendigen Angaben. Die Pflichtfelder nach § 24 DGUV V1 sind der Rahmen — mehr Informationen sind nicht erlaubt. Kein privates Beiwerk.

4

Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Maximal 5 Jahre. Danach müssen die Daten aktiv gelöscht werden — nicht nur unzugänglich gemacht. Das ist ein häufiger Fehler bei Papier-Verbandbüchern, die jahrelang im Archiv liegen.

5

Integrität und Vertraulichkeit (Art. 32 DSGVO)

Technische und organisatorische Maßnahmen (TOMs) sind Pflicht: Zugriffsbeschränkung, Verschlüsselung (bei digitaler Führung) und Audit-Trail. Bei Papier-Verbandbüchern ist das oft nicht vollständig umsetzbar.

Wer darf Einsicht nehmen?

Das ist der zentrale Punkt — und der, bei dem Papier-Verbandbücher am häufigsten scheitern. Zugangsberechtigt sind nur definierte Rollen:

Die verletzte Person selbst

Eigener Eintrag — jederzeit

Ersthelfer

Zum Erstellen von Einträgen

Fachkraft für Arbeitssicherheit (Sifa)

Im Rahmen gesetzlicher Aufgaben

Betriebsarzt

Wenn für Untersuchung relevant

Geschäftsführung

Nur bei konkretem Anlass (kein Routinezugriff)

Berufsgenossenschaft

Bei Kontrolle oder Schadensfall

Nicht berechtigt:

  • Andere Mitarbeiter (auch nicht im gleichen Team)
  • Buchhaltung und HR
  • Externe Berater (außer DSB bei konkretem Anlass)
  • Geschäftsleitung aus Routine

Die Papier-Realität

Viele KMU haben das Verbandbuch im Sekretariat, im Meisterbüro oder in der Teeküche — offen zugänglich für alle. Das ist eine klare DSGVO-Verletzung. Bei einer Datenschutz-Prüfung wird das als technisch-organisatorischer Mangel beanstandet.

Zugriffsprotokoll — Eintrag #VB-2026-0041

Betroffene Person: Müller, Hans · Fiktive Beispieldaten

14.03.2026, 09:23

Ersthelfer

Schmitt, K.Eintrag erstellt

Erste-Hilfe-Leistung

15.03.2026, 14:12

Sifa

Meyer, B.Eintrag eingesehen

Monatliche Prüfung

22.03.2026, 08:45

Betroffener

Müller, H.Eintrag eingesehen

DSGVO-Auskunftsanfrage

30.03.2026, 16:03

Geschäftsführer

Weber, K.Eintrag eingesehen

Quartals-Statistik

Bei einer DSGVO-Anfrage nach Art. 15 kann dieses Protokoll auf Knopfdruck für die betroffene Person erstellt werden.

Auskunftsrecht nach Art. 15 DSGVO

Jeder Mitarbeiter hat jederzeit das Recht auf Auskunft über seine verarbeiteten Daten. Beim Verbandbuch bedeutet das:

  1. 1Auskunft, ob überhaupt ein Eintrag über ihn existiert
  2. 2Kopie dieser Daten in verständlicher Form
  3. 3Informationen zum Verarbeitungszweck, zu Empfängern und zur Speicherdauer
  4. 4Information über die Herkunft der Daten — wer hat den Eintrag gemacht?
  5. 5Information über das Zugriffsprotokoll — wer hat wann eingesehen?

Reaktionsfrist: 1 Monat (Art. 12 Abs. 3 DSGVO), in Ausnahmefällen 3 Monate.

Das Problem mit Papier bei einer Auskunftsanfrage:

  • Alle Einträge manuell durchsuchen
  • Relevante Einträge kopieren und andere Personen schwärzen
  • Zugriffsprotokoll rekonstruieren — existiert bei Papier meist nicht
  • Antwort fristgerecht (1 Monat) organisieren

Diese Darstellung ist eine allgemeine Information und ersetzt keine individuelle Fachberatung.

Löschpflicht nach 5 Jahren

Hier versagen fast alle Papier-Verbandbücher. Nach Ablauf der 5-Jahres-Frist (§ 24 DGUV V1) müssen die Daten aktiv gelöscht werden — nicht nur unzugänglich gemacht.

Diese Darstellung ist eine allgemeine Information und ersetzt keine individuelle Fachberatung.

Was "löschen" konkret bedeutet:

Papier

Schreddern nach DIN 66399, Schutzklasse P-4 oder höher — mit Schredder-Protokoll

Excel / Word

Datei löschen + Papierkorb leeren reicht technisch NICHT. Daten sind auf der Festplatte wiederherstellbar. Sichere Überschreibung erforderlich.

Datenbank / Software

Aktiver Löschvorgang mit Überschreiben des Datenbankeintrags — abhängig vom Anbieter und Hosting.

Löschprozess — Eintrag #VB-2021-0041 (Fiktiv)

Aufbewahrungsfrist 5 Jahre nach § 24 DGUV V1

Tag 0

Eintrag erstellt

Papierschnitt, Müller Hans, Halle A

Jahr 1–4

Aufbewahrung

5-Jahres-Frist läuft — Eintrag gesetzlich aufzubewahren

Tag 1.826

Frist abgelaufen

Automatische Markierung in Löschliste

Tag 1.827

Eintrag gelöscht

Löschprotokoll automatisch erstellt und gespeichert

Sicherio verwaltet die 5-Jahres-Aufbewahrungsfristen automatisch und dokumentiert jede Löschung mit Zeitstempel.

Datenschutzbeauftragter und Verbandbuch

Das Verbandbuch allein löst keine Pflicht zur Bestellung eines DSB aus. DSB-Pflicht gilt nach § 38 BDSG ab 20 Mitarbeitern, die ständig mit personenbezogenen Daten umgehen, oder nach Art. 37 DSGVO bei besonders risikoreichen Verarbeitungen.

Falls ein DSB vorhanden ist — seine Rolle:

  • Beratung zur DSGVO-konformen Ausgestaltung
  • Prüfung der technisch-organisatorischen Maßnahmen
  • Unterstützung bei Auskunftsanfragen
  • Risikobewertung der Verarbeitung

Was der DSB nicht darf:

Der DSB ist nicht automatisch zugriffsberechtigt auf Einträge. Er darf nur einsehen, wenn konkreter Anlass besteht (z.B. eine Beschwerde) — nicht routinemäßig.

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Art. 30 DSGVO schreibt vor, alle Verarbeitungsprozesse zu dokumentieren — einschließlich des Verbandbuchs. Da Verbandbuch-Einträge besondere Kategorien nach Art. 9 DSGVO enthalten, besteht diese Pflicht auch für viele Betriebe unter 250 Mitarbeitern.

Was für das Verbandbuch ins VVT muss:

Verantwortlicher

Firmenname, Kontakt, ggf. DSB

Zweck der Verarbeitung

Dokumentation von Erste-Hilfe-Leistungen nach § 24 DGUV V1

Rechtsgrundlage

Art. 9 Abs. 2 lit. b DSGVO + § 26 BDSG

Kategorien der betroffenen Personen

Mitarbeiter, ggf. Besucher / Dritte

Kategorien der Daten

Name, Dienstbezeichnung, Gesundheitsdaten (Verletzung), Zeitstempel, Hergang

Empfänger

BG (bei Meldepflicht), ärztliche Stellen (bei Weiterbehandlung)

Aufbewahrungsfrist

5 Jahre

Technisch-organisatorische Maßnahmen

Zugriffsbeschränkung, Verschlüsselung, Audit-Trail

Technisch-organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO fordert angemessene technische und organisatorische Maßnahmen. Für Gesundheitsdaten (Art. 9 DSGVO) gilt ein höherer Maßstab als für normale Daten.

Technische Maßnahmen

  • Verschlüsselung der gespeicherten Daten (digitale Lösung)
  • Zugriffsbeschränkung durch Rollenkonzept und Passwortschutz
  • Backup-System mit ebenfalls verschlüsselten Backups
  • Protokollierung aller Zugriffe (Audit-Trail)

Organisatorische Maßnahmen

  • Schulung aller Zugriffsberechtigten in DSGVO und Art. 9
  • Vertraulichkeitsverpflichtung für Ersthelfer und Sifa
  • Dokumentierte Rollen-Zuweisung: Wer darf was?
  • Klare Löschprozesse mit Dokumentation
Wichtig bei Papier-Verbandbüchern: Viele TOMs sind bei Papier technisch nicht vollständig umsetzbar — etwa der Audit-Trail oder eine echte Zugriffskontrolle. Bei einer DSGVO-Prüfung hat die Papier-Führung deshalb deutlich mehr Angriffsfläche.

Die 5 häufigsten DSGVO-Fehler beim Verbandbuch

Diese Fehler sind häufig und oft unbewusst. Hier sind sie direkt mit der Korrektur.

1

Offene Aufbewahrung

Verbandbuch in der Teeküche, offen zugänglich für alle Mitarbeiter — das ist ein klarer DSGVO-Verstoß.

Korrektur: Verschließbarer Schrank mit begrenztem Schlüsselzugang oder digitales System mit Rollenkonzept.

2

Keine Zugriffsprotokollierung

Bei Papier technisch nicht möglich, bei Excel kaum praktikabel. Bei einer Art.-15-Anfrage fehlt dann das Protokoll.

Korrektur: Digitale Lösung mit automatischem Audit-Trail bei jedem Zugriff.

3

Nie gelöscht

Einträge über 10 Jahre alt im Archiv. Viele KMU wissen nicht, dass Löschung aktiv erfolgen muss.

Korrektur: Jährliche Prüfung der Aufbewahrungsfristen, Einträge über 5 Jahre aktiv löschen mit Protokoll.

4

Keine Dokumentation der Rechtsgrundlage

Das Verbandbuch fehlt im VVT oder wird nicht als Art.-9-DSGVO-Verarbeitung eingeordnet.

Korrektur: VVT überprüfen und mit Art. 9 Abs. 2 lit. b DSGVO als Rechtsgrundlage ergänzen.

5

Auskunftsanfragen nicht beantwortbar

Wenn ein Mitarbeiter nach Art. 15 DSGVO fragt, entsteht bei Papier Stress — kein System, keine Protokolle.

Korrektur: Klare Prozesse festlegen, bei digitaler Lösung: Auskunft auf Knopfdruck als PDF-Export.

So lösen Sie die DSGVO-Anforderungen strukturell

Die DSGVO-Anforderungen sind mit Papier-Verbandbuch nicht unmöglich zu erfüllen — aber sie erfordern erheblichen manuellen Aufwand, der mit wachsender Belegschaft schnell unpraktikabel wird.

Papier-Verbandbuch

  • Zugriff beschränken: Schlüssel-Management, Vertretungsregeln
  • Zugriffe protokollieren: Technisch nicht umsetzbar
  • Auskünfte erteilen: Manuelle Durchsuchung aller Einträge
  • Löschen: Schreddern mit Protokoll — manuell und leicht vergessen

Sicherio Digital

  • Zugriffskontrolle automatisch — rollenbasiert
  • Audit-Trail bei jedem Zugriff, kein manueller Aufwand
  • Auskunft auf Knopfdruck — PDF für Betroffene
  • Löschung nach 5 Jahren mit Protokoll — automatisch
  • Hosting in Deutschland (Frankfurt)
  • AVV (Auftragsverarbeitungsvertrag) sofort verfügbar
14 Tage kostenlos testenMehr zur digitalen LösungPreise ansehen

Häufige Fragen zum Verbandbuch und DSGVO

Nächste Schritte

Ihr aktuelles Verbandbuch prüfen

Erfüllt Ihre aktuelle Lösung Art. 9 DSGVO? Zugriff, Protokollierung, Löschfristen.

VVT kontrollieren

Ist das Verbandbuch im Verzeichnis der Verarbeitungstätigkeiten aufgeführt?

Digitale Lösung testen

14 Tage kostenlos — alle DSGVO-Anforderungen standardmäßig abgedeckt.

Jetzt starten

Weitere Verbandbuch-Themen

Dokumentationspflicht, Pflichtfelder, Aufbewahrung — alles in unserem Ratgeber.

Jetzt starten

Weitere Artikel zum Verbandbuch

Verbandbuch-Pflicht

Wer muss es führen? Was rein muss. Wie lange aufbewahren.

Digitales Verbandbuch

Die Software-Lösung für DSGVO-konforme Führung.

Digital vs. Papier

Alle Unterschiede im direkten Vergleich.

Zum Inhalt dieser Seite

Die hier dargestellten Informationen beruhen auf einer sorgfältigen Auswertung öffentlich zugänglicher Rechts- und Fachquellen zum Stand der letzten Aktualisierung. Sie sollen einen ersten Überblick über die jeweilige Fachthematik geben und die eigenverantwortliche Orientierung erleichtern.

Die Inhalte stellen keine Rechts- oder Fachberatung im Einzelfall dar und ersetzen nicht die Prüfung durch eine qualifizierte Fachkraft — etwa eine Fachkraft für Arbeitssicherheit (SiFa). Für die konkrete Anwendung auf Ihren Betrieb ist eine individuelle fachliche Bewertung erforderlich.

Trotz sorgfältiger Recherche können sich Gesetzeslagen, Normen und behördliche Auslegungen ändern. Wir übernehmen keine Gewähr für die Vollständigkeit, Richtigkeit und Aktualität der dargestellten Informationen.

Hinweise auf Fehler oder veraltete Angaben nehmen wir gerne unter kontakt@sicherio.de entgegen.