STANHOPE Health: Gesundheitsdaten als besondere Datenkategorie

Problemaufriss

Artikel 9 Absatz 1 DSGVO verbietet u.a. die Verarbeitung von Gesundheitsdaten und die wenigen Ausnahmen, die Absatz 2 zulässt, schaffen ein enges Korsett. Anstatt also nur nach den Ausnahmen zu suchen, kann man auch auf der Tatbestandsseite fragen, wie weit das Verbot denn reicht? Private Krankenversicherungen oder Anbieter von KI-Gesundheitsleistungen haben bekanntermaßen einen eigenen Blick darauf, was Gesundheitsdaten sind.

Grund genug für STANHOPE einmal näher hinzuschauen. Uns sind insbesondere zwei Urteile des Europäischen Gerichtshofs (Urt. v. 4.10.2024 – C‑21/23 – „Lindenapotheke“; Urt. v. 21.12.2023 – C‑667/21 „Krankenversicherung Nordrhein“) und vom Bundesgerichtshof (Urt. v. 27.3.2025 – I ZR 223/19 und I ZR 222/19) aufgefallen. In diesen Urteilen geht es immer wieder um folgende Fragen:

1. Wie weit reicht der Gesundheitsdatenbegriff nach Artikel 9 Absatz 1 DSGVO?
2. Unter welchen Bedingungen ist die Verarbeitung von Gesundheitsdaten im Behandlungskontext zulässig?
3. Genügt eine konkludente Einwilligung der Patientinnen und Patienten?

Die rechtliche Lage

Der Gesundheitsdatenbegriff: Weite Auslegung durch den Europäische Gerichtshif

Der Europäische Gerichtshof hat in der Lindenapotheke‑Entscheidung den Gesundheitsdatenbegriff weit ausgelegt: Daten seien danach als Gesundheitsdaten einzustufen, wenn durch deren Verarbeitung Informationen über den Gesundheitszustand einer natürlichen Person offengelegt werden können – unabhängig davon, ob der Verantwortliche das Ziel hatte, Gesundheitsdaten zu verarbeiten. Damit knüpft der Gerichtshof an den Legalbegriff des Artikel 4 Ziffer 15 DSGVO an, setzt aber einen Möglichkeitsmaßstab: Bereits die Möglichkeit, aus den konkreten Daten Rückschlüsse auf den Gesundheitszustand zu ziehen, genügt.

Konkret: Schon die Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Medikamenten bei einer Online‑Apotheke über Amazon stellt eine Verarbeitung von Gesundheitsdaten dar. Dieser Grundsatz gilt umso mehr für KI‑Dokumentationssysteme, die vollständige Arztgespräche transkribieren (z.B. Ambient‑Scribing‑Lösungen), da bereits der Umstand des Arztbesuches und die genannten Symptome Rückschlüsse auf den Gesundheitszustand erlauben.

Der Bundesgerichtshof hat diese Rechtsprechung in zwei Urteilen auf das deutsche Recht übertragen und klargestellt: Das in Artikel 9 Absatz 1 DSGVO angeordnete Verarbeitungsverbot gilt unabhängig davon, ob die Verarbeitung den gezielten Erwerb von Gesundheitsinformationen bezweckt. Zugleich hat der 1. Zivilsenat die Datenschutzvorgaben zu Gesundheitsdaten als Marktverhaltensregeln im Sinne von § 3a UWG eingestuft, sodass Verstöße – etwa im Gesundheits‑E‑Commerce – abmahnfähig sind.

Erlaubnistatbestände: Strenge Anforderungen

• Für die Behandlung gilt Artikel 9 Absatz 2 lit. h DSGVO. Danach dürfen Gesundheitsdaten für Zwecke der Gesundheitsversorgung verarbeitet werden, wenn dies auf der Grundlage eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erfolgt oder im Rahmen der Versorgung im Gesundheits‑ oder Sozialbereich erforderlich ist.
• Wichtig ist: Artikel 9 Absatz 2 DSGVO enthält nur die besonderen Erlaubnistatbestände für besondere Kategorien von Daten; parallel bedarf es stets einer Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO (z.B. Vertragserfüllung nach lit. b oder Einwilligung nach lit. a).
• Artikel 9 Absatz 3 DSGVO begründet dabei keinen eigenständigen Erlaubnistatbestand, sondern statuiert zusätzliche Garantien für Verarbeitungen nach unter anderem Artikel 9 Absatz 2 lit. h DSGVO: Die Daten müssen von Fachpersonal, das dem Berufsgeheimnis unterliegt, oder unter dessen Verantwortung verarbeitet werden. Der Europäische Gerichtshif hat in der Krankenversicherung‑Nordrhein‑Entscheidung diese Anforderungen präzisiert und hervorgehoben, dass Artikel 9 Absatz 3 DSGVO nicht um ungeschriebene Tatbestandsmerkmale ergänzt werden darf, sondern den Kreis der zulässigen verarbeitenden Personen und die Anforderungen an das Berufsgeheimnis bestimmt.

Für die Praxis bedeutet das:

• Nicht jeder Auftragsverarbeiter muss selbst Berufsgeheimnisträger sein, wohl aber muss die Verarbeitung insgesamt in der Verantwortung von Fachpersonal stehen, das einem Berufsgeheimnis unterliegt, und die Einbindung von IT‑Dienstleistern über geeignete Verträge, Weisungen und technische und organisatorische Maßnahmen abgesichert werden.
• Die strafrechtliche Verschwiegenheitspflicht nach § 203 StGB bleibt hierfür zentral; unzureichend ist jedoch, wenn sich Verantwortliche lediglich auf eine abstrakte Verschwiegenheitsklausel beim Dienstleister verlassen, ohne die spezifischen Anforderungen des Artikel 9 Absatz 3 DSGVO (Verantwortung von Fachpersonal, klare Rollen und Zugriffsbegrenzung) abzubilden.

Einwilligung: Nur ausdrücklich und zweistufig

Artikel 9 Absatz 2 lit. a DSGVO fordert – abweichend von Artikel 6 Absatz 1 lit. a DSGVO – eine ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten. Diese Einwilligung muss mit einer Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO kombiniert werden (in der Regel ebenfalls Einwilligung nach lit. a oder Vertragserfüllung nach lit. b), sodass faktisch ein zweistufiges Einwilligungskonzept erforderlich ist.

Eine bloß konkludente Einwilligung – etwa durch Unterzeichnung eines allgemeinen Datenschutzhinweis‑Blattes beim Arztbesuch oder durch bloßes Erscheinen in der Praxis – genügt für Artikel 9 Absatz 2 lit. a DSGVO nicht. Vielmehr ist eine eindeutige aktive Willensbekundung des Patienten erforderlich, etwa durch eine Unterschrift unter ein klar formuliertes Einwilligungsformular oder durch ein elektronisches Opt‑in, das spezifisch auf die Verarbeitung von Gesundheitsdaten Bezug nimmt.

Für Gesundheitsdaten ist darüber hinaus ein ausdrücklicher Hinweis auf das Vorliegen von Gesundheitsdaten und die mit der Verarbeitung verbundenen Risiken erforderlich, um den bezweckten Warneffekt zu erzielen. Typische Fehler in der Praxis sind: zu pauschale Zweckangaben („Verbesserung der Behandlungsqualität“), fehlende Abgrenzung zwischen Behandlungszwecken und Marketingzwecken sowie das Fehlen einer gesonderten Einwilligung für KI‑gestützte Zusatzleistungen, die über die Standardbehandlung hinausgehen.

Fazit und Praxis

• Der Gesundheitsdatenbegriff ist weit: Bereits mittelbare Rückschlüsse auf den Gesundheitszustand genügen. Im Zweifel sind Daten als Gesundheitsdaten zu behandeln.
• Für IGeL‑Leistungen mit KI (z.B. radiologische KI‑Zweitmeinung oder KI‑gestützte Teleradiologie) benötigen Sie eine ausdrückliche, spezifische Einwilligung nach Artikel 9 Absatz 2 lit. a DSGVO in Kombination mit einer Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO, jeweils mit ausdrücklichem Hinweis auf die Verarbeitung von Gesundheitsdaten und deren Zweck. Eine pauschale Einwilligungserklärung reicht hierfür nicht.
• Überprüfen Sie Ihre Auftragsverarbeitungsverträge: Nur wenn die Verarbeitung insgesamt unter Verantwortung von Fachpersonal erfolgt, das einem Berufsgeheimnis unterliegt, und die Einbindung des Dienstleisters durch klare Weisungen, Zugriffsbeschränkungen und geeignete technische und organisatorische Maßnahmen ausgestaltet ist, sind die Anforderungen des Artikel 9 Absatz 3 DSGVO erfüllt. Eine bloße allgemeine Verschwiegenheitsklausel oder der abstrakte Verweis auf § 203 StGB ohne konkrete organisatorische Ausgestaltung genügt nicht.
• Für komplexe KI‑Dokumentationssysteme – etwa Systeme, die das Arzt‑Patienten‑Gespräch ambient mitschneiden, transkribieren und strukturiert in die Patientenakte übertragen – sollten Sie intern mindestens folgende dreistufige Prüfung etablieren:
  
  • (1) Liegen Gesundheitsdaten vor (inkl. mittelbarer Rückschlüsse)?
    (2) Welcher Erlaubnistatbestand nach Artikel 9 Absatz 2 DSGVO (z.B. lit. h oder lit. a) kommt zum Tragen und welche Artikel‑6‑Rechtsgrundlage flankiert ihn?
    (3) Werden die Bedingungen des Artikel 9 Absatz 3 DSGVO (Fachpersonal, Berufsgeheimnis, Rolle des Auftragsverarbeiters) erfüllt und sind geeignete technische und organisatorische Maßnahmen dokumentiert?
• Anbieter und Nutzer von KI‑Gesundheitsleistungen sollten schließlich die parallele Geltung der KI‑VO (AI Act) im Blick behalten: Hoch‑ oder Risikosysteme im Gesundheitsbereich unterliegen zusätzlichen Vorgaben zu Risikomanagement, technischer Dokumentation und Transparenz, die mit den datenschutzrechtlichen Pflichten abgestimmt werden müssen.

Autor: Ulf Castelle, LL.M., vgl. Impressum