DSGVO und Gesundheitsdaten: Praxisorientierter Leitfaden

DSGVO und Gesundheitsdaten: Praxisorientierter Leitfaden

DSGVO und Gesundheitsdaten: Ein praxisorientierter Leitfaden 2026 für das Gesundheitswesen

Inhaltsverzeichnis

Einleitung: Warum Gesundheitsdaten besondere Schutzbedürftigkeit haben

Gesundheitsdaten gehören zu den sensibelsten Informationen, die über eine Person existieren. Sie geben tiefe Einblicke in den physischen und psychischen Zustand, die Lebensweise und potenzielle Zukunftsaussichten. Ein unsachgemäßer Umgang kann für Betroffene gravierende Folgen haben, von sozialer Stigmatisierung und Diskriminierung am Arbeitsplatz bis hin zu Nachteilen bei Versicherungsabschlüssen. Aus diesem Grund stellt die Datenschutz-Grundverordnung, kurz DSGVO, Gesundheitsdaten unter einen besonderen Schutz. Die Einhaltung der Vorschriften zur DSGVO und Gesundheitsdaten ist daher keine bloße Formalität, sondern eine zwingende Notwendigkeit für alle Akteure im Gesundheitswesen, um das Vertrauen der Patientinnen und Patienten zu wahren und rechtliche Risiken zu minimieren.

Rechtsgrundlage: Art. 9 DSGVO kurz erklärt und rechtliche Konsequenzen

Das Herzstück des Schutzes von Gesundheitsdaten ist Artikel 9 der DSGVO, der die „Verarbeitung besonderer Kategorien personenbezogener Daten“ regelt.

Was sind Gesundheitsdaten laut DSGVO?

Gemäß Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Dies umfasst eine breite Palette von Informationen:

  • Diagnosen und Befunde von Ärztinnen und Ärzten
  • Informationen aus der Anamnese
  • Verschriebene Medikamente und Therapien
  • Genetische und biometrische Daten zur eindeutigen Identifizierung
  • Daten aus Gesundheits-Apps oder Wearables (z. B. Herzfrequenz)
  • Angaben zu Krankmeldungen oder Pflegegraden

Das grundsätzliche Verarbeitungsverbot und seine Ausnahmen

Art. 9 Abs. 1 DSGVO legt ein grundsätzliches Verarbeitungsverbot für Gesundheitsdaten fest. Diese dürfen also prinzipiell nicht verarbeitet werden. Dieses strikte Verbot wird jedoch durch einen Katalog von Ausnahmetatbeständen in Art. 9 Abs. 2 DSGVO aufgeweicht. Für das Gesundheitswesen sind vor allem relevant:

  • Ausdrückliche Einwilligung der betroffenen Person (lit. a)
  • Verarbeitung zum Schutz lebenswichtiger Interessen, wenn die Person nicht einwilligen kann (lit. c)
  • Verarbeitung für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich (lit. h)
  • Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses im Bereich der öffentlichen Gesundheit (lit. i)

Rechtliche Konsequenzen bei Verstößen

Verstöße gegen die Vorschriften der DSGVO und Gesundheitsdaten können drastische Folgen haben. Die Aufsichtsbehörden können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes verhängen. Hinzu kommen zivilrechtliche Schadensersatzansprüche von Betroffenen und ein erheblicher Reputationsschaden.

Abgrenzung: Gesundheitsdaten versus andere personenbezogene Daten

Während allgemeine personenbezogene Daten wie Name oder Adresse bereits schutzbedürftig sind, unterliegen Gesundheitsdaten einem höheren Schutzniveau. Der entscheidende Unterschied liegt im Verarbeitungsverbot mit Erlaubnisvorbehalt des Art. 9 DSGVO. Für die Verarbeitung allgemeiner personenbezogener Daten genügt eine Rechtsgrundlage nach Art. 6 DSGVO (z. B. Vertragserfüllung). Für Gesundheitsdaten muss zusätzlich eine der spezifischen Ausnahmen nach Art. 9 Abs. 2 DSGVO greifen. Dies erhöht die Hürden für eine rechtmäßige Verarbeitung erheblich.

Praxisfälle und Szenarien: elektronische Patientenakte, Telemedizin, Wearables

Die Digitalisierung im Gesundheitswesen schafft neue Herausforderungen für die Einhaltung der Vorschriften zur DSGVO und Gesundheitsdaten.

Elektronische Patientenakte (ePA)

Die ePA bündelt eine Vielzahl hochsensibler Gesundheitsdaten an einem zentralen Ort. Der Schutz dieser Daten erfordert ein robustes Zugriffs- und Berechtigungskonzept. Patientinnen und Patienten müssen die granulare Kontrolle darüber haben, wer welche Daten einsehen darf. Die Verarbeitung stützt sich hier primär auf die ausdrückliche und informierte Einwilligung des Versicherten.

Telemedizin und Videosprechstunden

Bei der Telemedizin werden Gesundheitsdaten über potenziell unsichere Netzwerke übertragen. Eine Ende-zu-Ende-Verschlüsselung ist hierbei unabdingbar. Anbieter von Videosprechstunden-Software müssen als Auftragsverarbeiter sorgfältig ausgewählt und vertraglich (AVV) gebunden werden. Zudem muss sichergestellt sein, dass die Kommunikation vertraulich bleibt und nicht von Dritten mitgehört oder aufgezeichnet werden kann.

Gesundheits-Apps und Wearables

Wearables und Gesundheits-Apps sammeln kontinuierlich Daten, oft ohne dass den Nutzern der volle Umfang bewusst ist. Hier sind Transparenz und Zweckbindung entscheidend. Die Verarbeitung stützt sich fast ausschließlich auf die Einwilligung. Problematisch sind oft die Übermittlung von Daten an Hersteller in Drittstaaten und die unklare Trennung von Gesundheitsdaten und Lifestyle-Daten.

Rechtsgrundlage für Verarbeitung im Gesundheitsbereich

Die informierte Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO

Die Einwilligung ist eine zentrale Rechtsgrundlage. Sie muss ausdrücklich, freiwillig, informiert und für einen bestimmten Zweck erteilt werden. Im Gesundheitskontext bedeutet dies, dass Patientinnen und Patienten genau verstehen müssen, welche Daten für welchen Zweck verarbeitet und an wen sie möglicherweise weitergegeben werden. Eine pauschale Einwilligung ist unwirksam.

Verarbeitung ohne Einwilligung: Wann ist sie zulässig?

Die häufigste Alternative zur Einwilligung ist Art. 9 Abs. 2 lit. h DSGVO. Demnach ist die Verarbeitung zulässig, wenn sie für die medizinische Diagnostik, Versorgung oder Behandlung erforderlich ist und durch ärztliches Personal oder andere Personen, die einem Berufsgeheimnis unterliegen, erfolgt. Dies deckt den Kernbereich der ärztlichen Tätigkeit ab, beispielsweise die Führung der Patientenakte oder die Abrechnung mit der Krankenkasse.

DSFA: Wann sie nötig ist und wie eine risikoorientierte Bewertung aussieht

Eine Datenschutz-Folgenabschätzung (DSFA), auch bekannt als Data Protection Impact Assessment (DPIA auf Englisch), ist eine systematische Risikobewertung.

Wann ist eine DSFA zwingend erforderlich?

Die Verarbeitung von Gesundheitsdaten in großem Umfang macht eine DSFA fast immer erforderlich. Dies gilt insbesondere bei der Einführung neuer Systeme wie:

  • Einer neuen Krankenhaus-IT-Software
  • Der elektronischen Patientenakte
  • Umfangreicher Forschungsprojekte mit Patientendaten
  • Telemedizin-Plattformen

Durchführung einer risikoorientierten Bewertung

Eine DSFA umfasst typischerweise folgende Schritte:

  1. Beschreibung der Verarbeitung: Was wird wie und warum verarbeitet?
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Ist die Verarbeitung für den Zweck erforderlich?
  3. Risikobewertung: Identifikation potenzieller Risiken für die Rechte und Freiheiten der Betroffenen (z. B. Datenverlust, unbefugter Zugriff).
  4. Abhilfemaßnahmen: Planung und Umsetzung technischer und organisatorischer Maßnahmen (TOMs) zur Risikominimierung.

Sicherheit gewährleisten: Technische und organisatorische Maßnahmen (TOMs)

Der Schutz von Gesundheitsdaten erfordert robuste Sicherheitsmaßnahmen gemäß Art. 32 DSGVO.

Verschlüsselung: Schutz bei Übertragung und Speicherung

Verschlüsselung ist eine der wichtigsten technischen Schutzmaßnahmen. Daten sollten sowohl während der Übertragung (in transit, z. B. durch TLS) als auch bei der Speicherung auf Servern oder Endgeräten (at rest, z. B. Festplattenverschlüsselung) geschützt werden.

Pseudonymisierung und Anonymisierung

Bei der Pseudonymisierung werden identifizierende Merkmale (wie der Name) durch ein Pseudonym (z. B. eine Patientennummer) ersetzt. Die Zuordnung ist weiterhin über eine separate Information möglich. Dies reduziert das Risiko, ist aber keine vollständige Anonymisierung. Sie ist besonders für Forschungszwecke nützlich. Eine echte Anonymisierung, bei der jeder Personenbezug unumkehrbar entfernt wird, ist technisch anspruchsvoll, entlässt die Daten aber aus dem Anwendungsbereich der DSGVO.

Zugriffskonzepte und Berechtigungsmanagement

Es muss sichergestellt sein, dass nur berechtigte Personen auf Gesundheitsdaten zugreifen können. Ein rollen- und aufgabenbasiertes Berechtigungskonzept (Role-Based Access Control, RBAC) ist hierfür essenziell. Jede Mitarbeiterin und jeder Mitarbeiter darf nur die Daten einsehen, die für die Erfüllung ihrer spezifischen Aufgaben zwingend notwendig sind (Need-to-know-Prinzip).

Zusammenarbeit mit Dritten: Auftragsverarbeitung und Drittanbieter

Anforderungen an den Auftragsverarbeitungsvertrag (AVV)

Wenn externe Dienstleister (z. B. für IT-Wartung, Abrechnungsdienste, Software-Anbieter) Gesundheitsdaten im Auftrag verarbeiten, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich. Dieser Vertrag regelt die Rechte und Pflichten beider Seiten und stellt sicher, dass der Dienstleister die Datenschutzstandards einhält.

Sorgfaltspflichten (Due Diligence) bei der Auswahl

Verantwortliche müssen ihre Dienstleister sorgfältig auswählen. Dies umfasst die Prüfung ihrer technischen und organisatorischen Maßnahmen. Es reicht nicht, einen AVV abzuschließen; man muss sich auch von der Eignung des Auftragsverarbeiters überzeugen, beispielsweise durch Zertifizierungen oder Auditberichte.

Internationale Datenflüsse: Drittstaatentransfers sicher gestalten

Die Übermittlung von Gesundheitsdaten in Länder außerhalb der EU/des EWR (Drittstaaten) ist eine besondere Herausforderung. Nach der Rechtsprechung des EuGH (Schrems II) reicht der alleinige Abschluss von Standardvertragsklauseln (Standard Contractual Clauses, SCCs auf Englisch) oft nicht aus. Verantwortliche müssen zusätzlich eine Risikobewertung (Transfer Impact Assessment, TIA) durchführen und prüfen, ob im Empfängerland ein dem EU-Recht gleichwertiges Schutzniveau gewährleistet ist. Gegebenenfalls sind zusätzliche Schutzmaßnahmen, wie eine starke Verschlüsselung, erforderlich.

Grundsätze in der Praxis: Datenminimierung und Speicherfristen

Der Grundsatz der Datenminimierung

Gemäß Art. 5 Abs. 1 lit. c DSGVO dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck unbedingt erforderlich sind. Dieser Grundsatz der Datenminimierung muss bei allen Prozessen berücksichtigt werden, von der Gestaltung von Anamnesebögen bis zur Konfiguration von Software.

Gesetzliche Aufbewahrungsfristen und Löschkonzepte

Im Gesundheitswesen gelten oft lange gesetzliche Aufbewahrungsfristen, z. B. 10 Jahre für ärztliche Behandlungsunterlagen. Diese Fristen haben Vorrang vor dem Löschungsrecht der Betroffenen. Es ist jedoch unerlässlich, ein Löschkonzept zu etablieren, das sicherstellt, dass die Daten nach Ablauf dieser Fristen sicher und nachweisbar gelöscht werden.

Sichere Patientenkommunikation

Die Kommunikation mit Patientinnen und Patienten über digitale Kanäle birgt Risiken. Der Versand von Befunden oder Diagnosen per unverschlüsselter E-Mail oder Standard-Messenger-Diensten wie WhatsApp stellt einen schweren Verstoß gegen die DSGVO und Gesundheitsdaten-Vorschriften dar. Stattdessen sollten sichere Kommunikationswege wie verschlüsselte E-Mails, sichere Patienten Tore oder speziell für das Gesundheitswesen zertifizierte Messenger genutzt werden. Für einfache Terminvereinbarungen ohne sensible Details kann eine normale E-Mail zulässig sein, wenn der Patient darüber aufgeklärt wurde und eingewilligt hat.

Rechte der Betroffenen wahren

Patientinnen und Patienten haben umfassende Rechte bezüglich ihrer Daten:

  • Auskunftsrecht (Art. 15): Das Recht zu erfahren, welche Daten verarbeitet werden.
  • Recht auf Berichtigung (Art. 16): Korrektur falscher Daten.
  • Recht auf Löschung (Art. 17): Eingeschränkt durch gesetzliche Aufbewahrungsfristen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18): Sperrung von Daten in bestimmten Fällen.
  • Recht auf Datenübertragbarkeit (Art. 20): Das Recht, Daten in einem strukturierten Format zu erhalten.

Organisationen im Gesundheitswesen müssen Prozesse etablieren, um diese Anfragen fristgerecht und korrekt zu bearbeiten.

Besondere Herausforderungen im Datenschutz

Bestimmte Datenkategorien und Personengruppen erfordern nochmals erhöhte Schutzmaßnahmen. Dies betrifft insbesondere genetische und biometrische Daten, deren Verarbeitung an noch strengere Bedingungen geknüpft ist. Bei der Behandlung von Kindern und Jugendlichen sind die Regelungen zur Einwilligungsfähigkeit (in Deutschland ab 16 Jahren) zu beachten; bei jüngeren Kindern ist die Zustimmung der Sorgeberechtigten erforderlich.

Dokumentation, Protokollierung und Nachweisführung

Die DSGVO fordert eine umfassende Rechenschaftspflicht (Art. 5 Abs. 2). Verantwortliche müssen jederzeit nachweisen können, dass sie die Vorschriften einhalten. Dazu gehören:

  • Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO.
  • Dokumentation der TOMs.
  • Protokollierung von Zugriffen auf Patientendaten zur Aufdeckung von Missbrauch.
  • Aufbewahrung von Einwilligungserklärungen und DSFA-Berichten.

Praxis-Checkliste für Verantwortliche

  • Datenschutzbeauftragten benennen: Ist ein kompetenter Datenschutzbeauftragter bestellt und in alle relevanten Prozesse eingebunden?
  • Verzeichnis von Verarbeitungstätigkeiten (VVT) führen: Sind alle Verarbeitungsprozesse von Gesundheitsdaten erfasst und dokumentiert?
  • Rechtsgrundlagen prüfen: Existiert für jede Verarbeitung von Gesundheitsdaten eine gültige Rechtsgrundlage nach Art. 9 DSGVO?
  • Einwilligungen managen: Werden Einwilligungen DSGVO-konform eingeholt und dokumentiert?
  • Datenschutz-Folgenabschätzung (DSFA) durchführen: Wurde für riskante Verarbeitungen eine DSFA durchgeführt und dokumentiert?
  • Technische und organisatorische Maßnahmen (TOMs) umsetzen: Sind Verschlüsselung, Zugriffskonzepte und weitere Sicherheitsmaßnahmen auf dem Stand der Technik?
  • Auftragsverarbeitungsverträge (AVV) abschließen: Sind mit allen externen Dienstleistern, die Gesundheitsdaten verarbeiten, gültige AVVs vorhanden?
  • Betroffenenrechte sicherstellen: Gibt es etablierte Prozesse, um Auskunfts-, Lösch- und andere Anfragen fristgerecht zu bearbeiten?
  • Mitarbeiter schulen: Werden alle Mitarbeiter regelmäßig im Umgang mit DSGVO und Gesundheitsdaten geschult und zur Verschwiegenheit verpflichtet?
  • Löschkonzept implementieren: Ist sichergestellt, dass Daten nach Ablauf der Aufbewahrungsfristen systematisch gelöscht werden?

Weiterführende, offizielle Ressourcen und Links

Für vertiefende Informationen und offizielle Leitlinien zur Auslegung der DSGVO im Gesundheitsbereich empfehlen wir die Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Anhang: Musterformulierungen für die Patientenkommunikation

Diese Formulierungen sind in einfacher Sprache gehalten und können als Bausteine für Ihre Datenschutzerklärung oder Einwilligungstexte dienen.

Muster für die Datenschutzerklärung (Auszug)

Wofür nutzen wir Ihre Gesundheitsdaten?

Wir erheben und speichern Ihre Gesundheitsdaten (z. B. Diagnosen, Laborwerte, verordnete Medikamente) ausschließlich, um Sie bestmöglich medizinisch zu behandeln und zu versorgen. Dies ist unsere gesetzliche und vertragliche Pflicht. Ohne diese Daten ist eine sorgfältige Behandlung nicht möglich.

Muster für eine Einwilligung zur E-Mail-Kommunikation

Einwilligung in die Kommunikation per E-Mail für Termine

Ich bin damit einverstanden, dass die Praxis mir Terminerinnerungen und Terminbestätigungen an meine E-Mail-Adresse [E-Mail-Adresse eintragen] sendet. Mir ist bewusst, dass die normale E-Mail-Kommunikation Sicherheitsrisiken birgt und dass sensible Gesundheitsinformationen nicht über diesen Weg ausgetauscht werden. Diese Einwilligung kann ich jederzeit widerrufen.

Vertiefende Informationen