DSGVO und Gesundheitsdaten: Regeln, DSFA und Praxischeck

DSGVO und Gesundheitsdaten: Regeln, DSFA und Praxischeck

DSGVO und Gesundheitsdaten 2025: Ein praxisorientierter Leitfaden

Die Verarbeitung von Gesundheitsdaten stellt Verantwortliche im Gesundheitswesen vor besondere Herausforderungen. Die Datenschutz-Grundverordnung, kurz DSGVO (GDPR auf Englisch), stuft Gesundheitsdaten als „besondere Kategorien personenbezogener Daten“ ein und unterwirft ihre Verarbeitung strengsten Regeln. Dieser Leitfaden bietet Datenschutzbeauftragten, Gesundheitsanbietern sowie Rechts- und Compliance-Verantwortlichen eine rechtliche Zusammenfassung und praxisnahe Einblicke in den Umgang mit der Thematik DSGVO und Gesundheitsdaten.

Inhaltsverzeichnis

Kurzüberblick: Was sind Gesundheitsdaten und warum sind sie besonders geschützt?

Gemäß Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Dazu zählen unter anderem:

  • Diagnosen und ärztliche Befunde
  • Informationen aus der Anamnese
  • Genetische und biometrische Daten zur eindeutigen Identifizierung
  • Angaben zu verordneten Medikamenten oder Therapien
  • Daten aus Fitness-Trackern oder Gesundheits-Apps

Der besondere Schutz dieser Datenkategorie ergibt sich aus dem hohen Risiko für die Grundrechte und Grundfreiheiten der Betroffenen bei Missbrauch. Eine unbefugte Offenlegung kann zu sozialer Stigmatisierung, Diskriminierung am Arbeitsplatz oder bei Versicherungen führen.

Kernregelung Art. 9 DSGVO: Begriff, Verbote und Ausnahmetatbestände

Das Herzstück des Schutzes von Gesundheitsdaten ist Art. 9 Abs. 1 DSGVO. Dieser Artikel normiert ein grundsätzliches Verarbeitungsverbot für besondere Kategorien personenbezogener Daten. Die Verarbeitung ist demnach nur zulässig, wenn einer der in Art. 9 Abs. 2 DSGVO genannten Ausnahmetatbestände greift. Für den Gesundheitssektor sind insbesondere folgende Ausnahmen relevant:

  • a) Ausdrückliche Einwilligung: Die betroffene Person hat für einen oder mehrere festgelegte Zwecke ausdrücklich in die Verarbeitung eingewilligt.
  • h) Gesundheitsversorgung oder -verwaltung: Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Beschäftigten, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich.
  • i) Öffentliches Interesse im Bereich der öffentlichen Gesundheit: Dies betrifft beispielsweise den Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren.
  • j) Wissenschaftliche oder historische Forschungszwecke: Die Verarbeitung erfolgt zu im öffentlichen Interesse liegenden Archiv-, Forschungs- oder statistischen Zwecken.

Rechtsgrundlagen in der Praxis: Einwilligung, Gesundheitsversorgung, öffentliche Interessen

In der Praxis stützt sich die Verarbeitung von Gesundheitsdaten meist auf die Einwilligung oder die Notwendigkeit zur Gesundheitsversorgung. Bei der Anwendung von Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) ist zusätzlich Art. 9 Abs. 3 DSGVO zu beachten. Demnach müssen die Daten von Fachpersonal, das einem Berufsgeheimnis unterliegt, oder unter dessen Verantwortung verarbeitet werden. Dies schließt Ärzte, medizinisches Fachpersonal und deren Verwaltungskräfte ein.

Praktische Anforderungen an Einwilligungen bei Gesundheitsdaten

Eine Einwilligung in die Verarbeitung von Gesundheitsdaten muss höchsten Anforderungen genügen. Sie muss ausdrücklich erfolgen, was bedeutet, dass die Zustimmung durch eine aktive, unmissverständliche Handlung erfolgen muss (z. B. aktives Ankreuzen einer Checkbox). Zudem muss sie folgende Kriterien erfüllen:

  • Freiwilligkeit: Ohne Zwang und mit echter Wahlmöglichkeit.
  • Informiertheit: Der Betroffene muss genau wissen, wofür er einwilligt (Zweck, Datenkategorien, Empfänger, Dauer).
  • Zweckbindung: Die Einwilligung gilt nur für die klar definierten Zwecke.
  • Widerruflichkeit: Der Betroffene muss jederzeit die Möglichkeit haben, seine Einwilligung für die Zukunft zu widerrufen.

Technische und organisatorische Maßnahmen (TOMs) für Gesundheitsdaten

Verantwortliche müssen gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen (TOMs) ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für Gesundheitsdaten bedeutet dies ein besonders hohes Schutzniveau. Beispiele für essenzielle TOMs sind:

  • Zugriffs- und Berechtigungskonzepte: Strikte rollenbasierte Zugriffskontrollen (Need-to-know-Prinzip), sodass nur autorisiertes Personal auf Patientendaten zugreifen kann.
  • Verschlüsselung: Sowohl bei der Übertragung (in-transit) als auch bei der Speicherung (at-rest) von Gesundheitsdaten.
  • Pseudonymisierung: Ersetzen von direkten Identifikatoren (wie Name) durch ein Pseudonym, um die Verknüpfung mit einer Person zu erschweren.
  • Protokollierung: Lückenlose Aufzeichnung aller Zugriffe auf sensible Daten, um unbefugte Einsichtnahmen nachvollziehen zu können.
  • Physische Sicherheit: Sicherung von Serverräumen, Aktenschränken und Endgeräten.

DSFA: Wann sie erforderlich ist, typische Risiken und konkrete Trigger

Eine Datenschutz-Folgenabschätzung (DSFA), oft auch als DPIA (Data Protection Impact Assessment auf Englisch) bezeichnet, ist nach Art. 35 DSGVO immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei Gesundheitsdaten ist diese Schwelle schnell erreicht. Konkrete Trigger für eine DSFA sind:

  • Einführung eines neuen Krankenhaus- oder Praxisinformationssystems (KIS/PVS).
  • Einsatz von künstlicher Intelligenz (KI) zur Analyse von Patientendaten oder zur Diagnostik.
  • Bereitstellung einer Gesundheits-App, die sensible Daten erfasst und an Dritte übermittelt.
  • Großumfängliche Verarbeitung genetischer Daten in Forschungsprojekten.
  • Vernetzung von medizinischen Geräten im Internet der Dinge (IoT).

Auftragsverarbeitung: Inhalte von AVV und Kontrollpflichten

Werden externe Dienstleister für die Verarbeitung von Gesundheitsdaten eingesetzt (z. B. für IT-Wartung, Labor Leistungen oder Software-as-a-Service-Lösungen), liegt eine Auftragsverarbeitung vor. Diese erfordert den Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Der Vertrag muss unter anderem die Dauer, den Zweck der Verarbeitung, die Art der Daten, die Kategorien der Betroffenen sowie die Rechte und Pflichten des Verantwortlichen klar regeln. Der Verantwortliche bleibt für den Schutz der Daten verantwortlich und muss die Einhaltung der Vorschriften beim Auftragsverarbeiter regelmäßig kontrollieren.

Datenminimierung, Pseudonymisierung und Verschlüsselung

Drei Grundpfeiler des Datenschutzes im Gesundheitswesen sind:

  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck (z. B. Behandlung) unbedingt erforderlich sind.
  • Pseudonymisierung (Art. 4 Nr. 5 DSGVO): Die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können.
  • Verschlüsselung: Eine kryptografische Maßnahme, die Daten für Unbefugte unlesbar macht und als eine der wichtigsten Schutzmaßnahmen gilt.

Speicherfristen und Löschkonzepte im Gesundheitsbereich

Gesundheitsdaten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist (Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO). Im Gesundheitssektor ergeben sich die Speicherfristen jedoch häufig aus gesetzlichen Aufbewahrungspflichten (z. B. aus dem Bürgerlichen Gesetzbuch, der Röntgenverordnung oder dem Handelsgesetzbuch). Ein Löschkonzept ist unerlässlich. Es muss definieren, welche Datenkategorien welchen Aufbewahrungsfristen unterliegen und wie die sichere Löschung nach Fristablauf technisch und organisatorisch gewährleistet wird.

Datenübermittlung in Drittstaaten

Die Übermittlung von Gesundheitsdaten in Länder außerhalb der EU/des EWR ist nur unter strengen Voraussetzungen zulässig. Neben den allgemeinen Regelungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln) ist bei Gesundheitsdaten besondere Vorsicht geboten. Die Risiken für die Betroffenen müssen im Rahmen eines Transfer Impact Assessments (TIA) sorgfältig bewertet werden.

Spezifische Anwendungsfälle: Krankenhaus, Praxis, Apps und Forschung

  • Krankenhaus und Arztpraxis: Die Kernherausforderung liegt in der Absicherung der zentralen Informationssysteme (KIS/PVS) und der Steuerung der Zugriffsrechte. Die Weitergabe von Daten an Dritte (z. B. Abrechnungsstellen, Labore) muss rechtlich abgesichert sein.
  • Gesundheits-Apps und Fitnesstracker: Hier ist Transparenz gegenüber dem Nutzer entscheidend. Einwilligungen müssen granular und informiert erfolgen. Besonderes Augenmerk gilt der Datenübermittlung an die Hersteller, die oft in Drittstaaten sitzen.
  • Forschung: Für Forschungsprojekte ist oft eine spezifische, breit gefasste Einwilligung erforderlich. Wo immer möglich, sollten Daten für Forschungszwecke anonymisiert oder zumindest pseudonymisiert werden.

Praxiserfahrungen aus Projekten von MUNAS Consulting zeigen, dass insbesondere die saubere Trennung der Zwecke (z. B. Behandlung versus Forschung) und die transparente Kommunikation gegenüber den Patienten entscheidende Erfolgsfaktoren für die Compliance sind.

Betroffenenrechte im Überblick

Patienten haben als Betroffene umfassende Rechte, die von Verantwortlichen gewährleistet werden müssen:

  • Auskunftsrecht (Art. 15 DSGVO): Das Recht zu erfahren, welche Daten verarbeitet werden.
  • Recht auf Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten.
  • Recht auf Löschung (Art. 17 DSGVO): „Recht auf Vergessenwerden“, sofern keine Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen die Verarbeitung zu blockieren.
  • Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung aus Gründen der besonderen persönlichen Situation.

Compliance-Checkliste: Sofortmaßnahmen und Nachweisführung

Bereich Maßnahme Status
Dokumentation Verzeichnis von Verarbeitungstätigkeiten (VVT) für alle Prozesse mit Gesundheitsdaten aktuell halten.  
Rechtsgrundlagen Für jede Verarbeitung eine gültige Rechtsgrundlage nach Art. 6 und Art. 9 DSGVO definieren.  
Einwilligungen Vorhandene Einwilligungstexte auf DSGVO-Konformität (Ausdrücklichkeit, Freiwilligkeit etc.) prüfen.  
TOMs Technische und organisatorische Maßnahmen dokumentieren und regelmäßig auf ihre Wirksamkeit testen.  
Dienstleister AV-Verträge mit allen Auftragsverarbeitern (IT, Labor etc.) prüfen und abschließen.  
Löschkonzept Ein schriftliches Löschkonzept mit definierten Fristen implementieren.  
Betroffenenrechte Prozesse zur Beantwortung von Anträgen Betroffener (z. B. Auskunft) etablieren.  

Praktische Musterfälle aus der Beratungspraxis

Fall 1: Die digitale Patientenakte in der Cloud. Eine Arztpraxis möchte ihre Patientenakten zu einem Cloud-Anbieter auslagern. Hier ist zwingend ein AVV nach Art. 28 DSGVO abzuschließen. Zudem muss eine DSFA durchgeführt werden, da die Verarbeitung sensibler Daten in großem Umfang auf einer neuen Technologie basiert. Entscheidend ist die Wahl eines Anbieters, der Serverstandorte innerhalb der EU garantiert und höchste Sicherheitsstandards nachweisen kann.

Fall 2: Fitness-App mit Gesundheits-Coaching. Ein Startup bietet eine App an, die Vitaldaten misst und darauf basierend Ernährungstipps gibt. Für die Verarbeitung der Gesundheitsdaten ist eine ausdrückliche, granulare Einwilligung der Nutzer erforderlich. Die Datenschutzerklärung muss präzise darüber aufklären, welche Daten zu welchem Zweck an welche Partner (z. B. Analyse-Dienste) weitergegeben werden.

Häufige Fragen und kurze Antworten (FAQ)

Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung?
Bei der Pseudonymisierung werden identifizierende Merkmale durch ein Pseudonym ersetzt. Mit Zusatz Wissen ist eine Re-Identifizierung jedoch prinzipiell möglich. Bei der Anonymisierung werden die Daten so verändert, dass ein Rückschluss auf eine Person dauerhaft unmöglich ist. Anonymisierte Daten unterliegen nicht mehr der DSGVO.

Darf ich Patientendaten per E-Mail versenden?
Der unverschlüsselte Versand von Gesundheitsdaten per E-Mail ist in der Regel unzulässig, da er ein hohes Risiko birgt. Eine sichere Alternative ist die Ende-zu-Ende-Verschlüsselung oder die Bereitstellung der Daten über gesicherte Portale. Jegliche Kommunikation muss die Vertraulichkeit gewährleisten.

Benötige ich für jede Verarbeitung eine Einwilligung?
Nein. Steht eine andere Rechtsgrundlage zur Verfügung, wie z. B. die Notwendigkeit zur Durchführung eines Behandlungsvertrags (Art. 9 Abs. 2 lit. h DSGVO), ist keine separate Einwilligung erforderlich. Die Einwilligung ist nur eine von mehreren möglichen Rechtsgrundlagen.

Quellen und weiterführende Links

Für vertiefende Informationen und offizielle Stellungnahmen empfehlen wir die Webseiten der Datenschutzaufsichtsbehörden und Fachverbände:

Ergänzende Artikel zum Thema