Schutzbedürftigkeit von Gesundheitsdaten nach Art.9 DSGVO – Praxis

Schutzbedürftigkeit von Gesundheitsdaten nach Art.9 DSGVO – Praxis

Inhaltsverzeichnis

Kurzüberblick für Eilige: Gesundheitsdaten und Art. 9 DSGVO

Gesundheitsdaten gehören gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO) zu den „besonderen Kategorien personenbezogener Daten“. Ihre Verarbeitung ist grundsätzlich verboten. Dieses Verbot dient dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, da eine missbräuchliche Verarbeitung von Gesundheitsdaten zu erheblicher Diskriminierung führen kann. Die besondere Schutzbedürftigkeit von Gesundheitsdaten nach Art. 9 DSGVO ergibt sich aus ihrer Sensibilität und dem Potenzial, tiefgreifende Einblicke in die intimsten Lebensbereiche einer Person zu gewähren. Eine Verarbeitung ist nur zulässig, wenn eine der eng auszulegenden Ausnahmen des Art. 9 Abs. 2 DSGVO greift, beispielsweise eine ausdrückliche Einwilligung der betroffenen Person, die Erfüllung arbeitsrechtlicher Pflichten oder lebenswichtige Interessen. Zusätzlich muss stets eine allgemeine Rechtsgrundlage nach Art. 6 DSGVO vorliegen. Dieser Artikel dient als praktischer Leitfaden zur rechtssicheren Handhabung dieser sensiblen Daten.

Der rechtliche Rahmen: Art. 9 im Zusammenspiel mit Art. 6 und Art. 89 DSGVO

Die Verarbeitung personenbezogener Daten erfordert stets eine Rechtsgrundlage nach Art. 6 DSGVO. Für Gesundheitsdaten kommt jedoch eine entscheidende Hürde hinzu: das grundsätzliche Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO. Um Gesundheitsdaten rechtmäßig zu verarbeiten, müssen Verantwortliche eine zweistufige Prüfung vornehmen:

  1. Überwindung des Verbots nach Art. 9 Abs. 2 DSGVO: Es muss ein spezifischer Ausnahmetatbestand erfüllt sein. Dazu zählen unter anderem die ausdrückliche Einwilligung (lit. a), die Erforderlichkeit zur Ausübung von Rechten aus dem Arbeitsrecht und der sozialen Sicherheit (lit. b) oder die Verarbeitung zu wissenschaftlichen Forschungszwecken (lit. j).
  2. Vorliegen einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO: Zusätzlich muss die Verarbeitung auf einer allgemeinen Rechtsgrundlage fußen, z. B. der Einwilligung (lit. a), der Erfüllung eines Vertrags (lit. b) oder einer rechtlichen Verpflichtung (lit. c).

Für die Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken verweist Art. 9 Abs. 2 lit. j DSGVO auf Artikel 89 DSGVO. Dieser fordert angemessene Garantien zum Schutz der Rechte und Freiheiten der betroffenen Personen, insbesondere die Einhaltung des Grundsatzes der Datenminimierung. Maßnahmen wie die Pseudonymisierung oder Anonymisierung spielen hier eine zentrale Rolle.

Wann sind Daten Gesundheitsdaten? Indikatoren für die besondere Schutzbedürftigkeit

Gemäß der Legaldefinition in Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Die besondere Schutzbedürftigkeit von Gesundheitsdaten nach Art. 9 DSGVO leitet sich direkt aus dieser Definition ab.

Was fällt konkret darunter?

  • Direkte Gesundheitsinformationen: Diagnosen, ärztliche Atteste, Informationen über Krankheiten, Behinderungen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung.
  • Indirekte Gesundheitsinformationen: Daten, aus denen ein Gesundheitszustand abgeleitet werden kann, wie z. B. die häufige Abwesenheit wegen Krankheit (Krankmeldung im HR), Messwerte von Fitness-Trackern oder Informationen über die Inanspruchnahme spezifischer medizinischer Leistungen.
  • Identifikatoren im Gesundheitswesen: Eine Patientennummer oder eine Kennzeichnung in einer klinischen Studie, wenn diese einer Person zugeordnet werden kann.

Die Schutzbedürftigkeit resultiert aus dem Risiko, dass diese Informationen zur Stigmatisierung, zur Benachteiligung im Berufsleben oder bei Versicherungsabschlüssen führen können.

Entscheidungsbaum zur Zulässigkeitsprüfung: Schritt-für-Schritt-Anleitung

Zur Prüfung der Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten können sich Verantwortliche an folgendem Entscheidungsbaum orientieren:

Schritt Prüfungsfrage Ja / Nein Konsequenz
1 Handelt es sich um Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO? Ja Weiter zu Schritt 2.
    Nein Art. 9 DSGVO ist nicht anwendbar. Prüfung nach Art. 6 DSGVO genügt.
2 Greift ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO (z. B. ausdrückliche Einwilligung, Arbeitsrecht)? Ja Weiter zu Schritt 3.
    Nein Die Verarbeitung ist unzulässig.
3 Liegt zusätzlich eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vor? Ja Weiter zu Schritt 4.
    Nein Die Verarbeitung ist unzulässig.
4 Werden die Grundsätze aus Art. 5 DSGVO (Zweckbindung, Datenminimierung, Sicherheit etc.) eingehalten? Ja Die Verarbeitung ist grundsätzlich zulässig. Dokumentation und weitere Pflichten beachten.
    Nein Die Verarbeitung ist trotz Rechtsgrundlage unzulässig.

Sektorbezogene Fallstudien in der Praxis

Fallstudie 1: Elektronische Patientenakte (ePA)

Die Verarbeitung von Daten in der ePA unterliegt der höchsten Schutzstufe. Die Rechtsgrundlage ist hier in der Regel die ausdrückliche und informierte Einwilligung der versicherten Person gemäß Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO und den Regelungen des Fünften Buches Sozialgesetzbuch (SGB V). Die Einwilligung muss freiwillig, spezifisch und unmissverständlich sein. Zudem müssen granulare Zugriffsmöglichkeiten für Ärzte und andere Leistungserbringer technisch sichergestellt werden.

Fallstudie 2: Personalverwaltung (Krankmeldungen)

Wenn ein Mitarbeiter eine Arbeitsunfähigkeitsbescheinigung einreicht, verarbeitet der Arbeitgeber Gesundheitsdaten. Die Rechtmäßigkeit stützt sich auf Art. 9 Abs. 2 lit. b DSGVO in Verbindung mit nationalem Arbeitsrecht (z. B. § 26 BDSG, Entgeltfortzahlungsgesetz). Die Verarbeitung ist zur Erfüllung der arbeitsrechtlichen Pflichten (z. B. Lohnfortzahlung) erforderlich. Wichtig ist hier die strikte Einhaltung des Need-to-know-Prinzips: Nur die Personalabteilung und ggf. der direkte Vorgesetzte dürfen von der Abwesenheit erfahren, nicht aber von der konkreten Diagnose.

Fallstudie 3: Klinische Forschung

In der medizinischen Forschung ist die Verarbeitung von Gesundheitsdaten fundamental. Die Zulässigkeit kann sich aus Art. 9 Abs. 2 lit. j DSGVO (wissenschaftliche Forschung) in Verbindung mit Art. 89 DSGVO ergeben. Dies erfordert angemessene Schutzmaßnahmen wie eine strenge Pseudonymisierung oder Anonymisierung der Daten, sobald der Forschungszweck dies erlaubt. Oft wird zusätzlich eine spezifische Forschungseinwilligung der Studienteilnehmer eingeholt.

Technische Schutzmaßnahmen (TOMs) für Gesundheitsdaten

Um die besondere Schutzbedürftigkeit von Gesundheitsdaten nach Art. 9 DSGVO zu gewährleisten, sind robuste technische und organisatorische Maßnahmen (TOMs) unerlässlich.

  • Verschlüsselung: Sowohl bei der Übertragung (Transportverschlüsselung, z. B. TLS) als auch bei der Speicherung (Verschlüsselung „at rest“) müssen Gesundheitsdaten durch state-of-the-art Verfahren geschützt werden.
  • Pseudonymisierung und Anonymisierung: Personenbezogene Daten sollten so früh wie möglich durch Pseudonyme ersetzt werden. Eine vollständige Anonymisierung, bei der der Personenbezug unumkehrbar aufgehoben wird, ist der Goldstandard, sofern der Verarbeitungszweck dies zulässt.
  • Zugriffskontrollsysteme: Der Zugriff auf Gesundheitsdaten muss streng nach dem Need-to-know-Prinzip über ein rollenbasiertes Berechtigungskonzept (Role-Based Access Control, RBAC auf Englisch) gesteuert werden. Jeder Zugriff muss authentifiziert und autorisiert werden.

Organisatorische Schutzmaßnahmen (TOMs): Der Mensch im Mittelpunkt

  • Klare Rollen und Verantwortlichkeiten: Es muss eindeutig definiert sein, wer auf welche Gesundheitsdaten zugreifen darf und zu welchem Zweck. Dies schließt die Benennung eines Datenschutzbeauftragten (sofern erforderlich) ein.
  • Regelmäßige Schulungen: Alle Mitarbeiter, die mit Gesundheitsdaten in Berührung kommen, müssen regelmäßig über deren Schutzbedürftigkeit und die geltenden Verfahren geschult werden.
  • Protokollierung und Überprüfung: Jeder Zugriff auf Gesundheitsdaten muss lückenlos protokolliert werden. Diese Protokolle sind regelmäßig (stichprobenartig) zu überprüfen, um unberechtigte Zugriffe zu erkennen.
  • Richtlinien und Weisungen: Erstellen Sie klare interne Richtlinien zum Umgang mit Gesundheitsdaten, z. B. zur Weitergabe, Speicherdauer und Löschung.

Datenschutz-Folgenabschätzung (DSFA): Pflicht bei hohem Risiko

Die Verarbeitung von Gesundheitsdaten in großem Umfang oder unter Einsatz neuer Technologien führt in der Regel zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen. Gemäß Art. 35 DSGVO ist in solchen Fällen eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend durchzuführen. Die DSFA analysiert systematisch die Risiken der geplanten Verarbeitung und definiert Abhilfemaßnahmen zur Risikominimierung. Die Aufsichtsbehörden veröffentlichen Listen mit Verarbeitungstätigkeiten, für die eine DSFA zwingend erforderlich ist.

Dokumentation: Das Verarbeitungsverzeichnis als Nachweisgrundlage

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, dass Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen können. Ein zentrales Instrument hierfür ist das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Für jede Verarbeitung von Gesundheitsdaten muss im VVT detailliert dokumentiert werden:

  • Der Zweck der Verarbeitung.
  • Die Kategorien der betroffenen Daten (hier: Gesundheitsdaten).
  • Die Rechtsgrundlage nach Art. 6 Abs. 1 und der Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO.
  • Die implementierten technischen und organisatorischen Maßnahmen.
  • Die vorgesehenen Löschfristen.

Musterformulierungen und Checklisten zur praktischen Umsetzung

Checkliste für eine wirksame Einwilligung nach Art. 9 DSGVO

  • [ ] Ausdrücklichkeit: Die Einwilligung muss durch eine aktive, bestätigende Handlung erfolgen (z. B. aktives Ankreuzen einer Checkbox; keine vorangekreuzten Kästchen).
  • [ ] Freiwilligkeit: Es darf kein Zwang oder unzulässiger Druck ausgeübt werden. Das Koppelungsverbot ist zu beachten.
  • [ ] Informiertheit: Die betroffene Person muss vorab über den genauen Zweck, die Art der verarbeiteten Gesundheitsdaten und ihr jederzeitiges Widerrufsrecht klar und verständlich informiert werden.
  • [ ] Spezifität: Die Einwilligung muss sich auf einen oder mehrere konkret festgelegte Zwecke beziehen.
  • [ ] Nachweisbarkeit: Die erteilte Einwilligung muss vom Verantwortlichen dokumentiert und nachweisbar sein.

Die Rolle des nationalen Rechts: BDSG und Spezialgesetze

Die DSGVO enthält zahlreiche Öffnungsklauseln, die es den EU-Mitgliedstaaten ermöglichen, bestimmte Bereiche national zu konkretisieren. Für die besondere Schutzbedürftigkeit von Gesundheitsdaten nach Art. 9 DSGVO ist insbesondere das deutsche Bundesdatenschutzgesetz (BDSG) relevant. § 22 BDSG konkretisiert die Verarbeitung besonderer Datenkategorien, und § 26 BDSG regelt die Datenverarbeitung im Beschäftigungskontext. Darüber hinaus finden sich wichtige Regelungen in Spezialgesetzen wie dem SGB V (Gesundheitswesen) oder dem Gendiagnostikgesetz (GenDG).

Typische Fehler und wie Sie sie ab 2025 vermeiden

Die Verarbeitung von Gesundheitsdaten ist fehleranfällig. Folgende Fehler sollten Sie in Ihrer Strategie für 2025 und darüber hinaus unbedingt vermeiden:

  • Unzureichende Rechtsgrundlage: Das Vertrauen auf eine implizite oder pauschale Einwilligung ist unwirksam. Die Rechtfertigungskette aus Art. 6 und Art. 9 DSGVO muss lückenlos sein.
  • Verletzung der Zweckbindung: Gesundheitsdaten, die für einen bestimmten Zweck (z. B. Lohnfortzahlung) erhoben wurden, dürfen nicht ohne Weiteres für andere Zwecke (z. B. interne Leistungsbeurteilung) verwendet werden.
  • Mangelhafte TOMs: Der Einsatz veralteter Verschlüsselungstechnologien oder ein fehlendes Berechtigungskonzept stellen einen Verstoß gegen Art. 32 DSGVO dar.
  • Fehlende Dokumentation: Ein nicht oder unvollständig geführtes VVT macht den Nachweis der rechtmäßigen Verarbeitung unmöglich und ist ein eigenständiger Bußgeldtatbestand.

Fazit und weiterführende Hinweise

Die besondere Schutzbedürftigkeit von Gesundheitsdaten nach Art. 9 DSGVO stellt hohe Anforderungen an Verantwortliche. Ein systematisches Vorgehen, das die zweistufige rechtliche Prüfung, die Implementierung robuster technischer und organisatorischer Maßnahmen sowie eine lückenlose Dokumentation umfasst, ist unerlässlich. Unternehmen und Organisationen müssen eine Kultur des Datenschutzes etablieren, in der die Sensibilität dieser Datenkategorie von allen Mitarbeitern verstanden und respektiert wird. Nur so kann das Vertrauen der Betroffenen gewahrt und das Risiko empfindlicher Bußgelder minimiert werden.

Für vertiefende Informationen und offizielle Leitlinien empfehlen wir die Webseiten der folgenden Institutionen:

Bei spezifischen Fragen zur Umsetzung in Ihrem Unternehmen kann eine professionelle Beratung, wie sie MUNAS Consulting anbietet, entscheidende Hilfestellung leisten.