C – Gesundheitsbereich (lit. h und Abs. 3)
Art. 9 Abs. 2 lit. h und Abs. 3 DS-GVO – Wann Gesundheitsdaten zur medizinischen Versorgung verarbeitet werden dürfen und wer das tun darf.
Zurück zur Übersicht Art. 9 DS-GVO | C. Ausnahmen – Überblick
Auf einen Blick
Art. 9 Abs. 2 lit. h ist die wichtigste Ausnahme für das Gesundheitswesen. Sie erlaubt die Verarbeitung sensibler Daten, wenn es medizinisch notwendig ist – zum Beispiel für Diagnose, Behandlung oder Abrechnung. Zusätzlich verlangt Art. 9 Abs. 3, dass nur bestimmtes Fachpersonal mit gesetzlicher Schweigepflicht diese Daten verarbeiten darf.
Voraussetzungen
Damit die Verarbeitung nach lit. h erlaubt ist, müssen alle drei Bedingungen erfüllt sein:
- a) Die Verarbeitung ist erforderlich für einen Gesundheitsversorgungszweck (z. B. Diagnostik, Behandlung, Arbeitsmedizin)
- b) Es gibt eine gesetzliche Grundlage im nationalen oder EU-Recht für die Verarbeitung
- c) Die Verarbeitung erfolgt durch Fachpersonal mit gesetzlicher Schweigepflicht (Art. 9 Abs. 3) – gilt, wenn x und y:
- x: Es handelt sich um eine der erfassten Berufsgruppen (Arzt, Zahnarzt, Psychotherapeut, Apotheker, Pflegepersonal)
- y: Die Schweigepflicht ist gesetzlich oder standesrechtlich verankert – gilt, wenn y1 oder y2:
- y1: Die Person ist selbst Berufsgeheimnisträger (z. B. Arzt nach § 203 StGB)
- y2: Die Person arbeitet unter Verantwortung eines Berufsgeheimnisträgers (z. B. Krankenhausverwaltung unter ärztlicher Leitung)
I. Für welche Zwecke gilt lit. h?
| Zweck | Beispiel |
|---|---|
| Medizinische Diagnostik | Speichern von Diagnosedaten in der Patientenakte |
| Behandlung | Weitergabe von Befunden zwischen Ärzten desselben Teams |
| Gesundheitsvorsorge | Impfdokumentation, Vorsorgeuntersuchungen |
| Arbeitsmedizin | Eignungsuntersuchungen durch den Betriebsarzt |
| Systemverwaltung | Abrechnung von Krankenkassenleistungen |
Nicht von lit. h erfasst:
- Verarbeitung zu Forschungszwecken → dafür gilt lit. j
- Verarbeitung zu Marketingzwecken → keine Ausnahme vorhanden
- Verarbeitung durch Versicherungen → nur wenn direkter Versorgungsbezug besteht
II. Was bedeutet „erforderlich"?
Die Verarbeitung darf nur im notwendigen Mindestmaß stattfinden. Wenn es ein milderes Mittel gibt, das denselben Zweck erreicht, muss dieses genutzt werden.
III. Welche gesetzliche Grundlage braucht man?
In Deutschland erfüllen zum Beispiel folgende Vorschriften die Anforderung:
| Gesetz | Inhalt |
|---|---|
| § 22 Abs. 1 Nr. 1 lit. b BDSG | Gesundheitsversorgung allgemein |
| § 630f BGB | Dokumentationspflicht in der Patientenakte |
| §§ 295 ff. SGB V | Abrechnung in der gesetzlichen Krankenversicherung |
| Krankenhausgesetze der Länder | Stationäre Versorgung |
IV. Wer darf die Daten verarbeiten? (Art. 9 Abs. 3)
Art. 9 Abs. 3 stellt eine personale Zusatzvoraussetzung auf: Gesundheitsdaten nach lit. h dürfen nur durch Fachpersonal mit gesetzlicher Schweigepflicht verarbeitet werden – oder unter deren Verantwortung.
| Berufsgruppe | Schweigepflicht |
|---|---|
| Ärzte | § 203 StGB, Berufsordnung |
| Zahnärzte | § 203 StGB, Berufsordnung |
| Psychotherapeuten | § 203 StGB |
| Apotheker | Berufsordnung |
| Pflegepersonal | § 203 StGB (bei entsprechender Qualifikation) |
| Krankenhausverwaltung | Nur unter ärztlicher Verantwortung |
Wichtig: Eine rein vertragliche Vertraulichkeitsverpflichtung (z. B. NDA) reicht nicht aus. Die Schweigepflicht muss gesetzlich oder standesrechtlich verankert sein.
IT-Dienstleister im Gesundheitswesen
Ein IT-Dienstleister hat selbst keine Schweigepflicht. Er darf trotzdem tätig werden – aber nur, wenn:
- Der Verantwortliche (z. B. das Krankenhaus) als Geheimnisträger die Gesamtverantwortung trägt
- Der IT-Dienstleister unter Aufsicht und Weisung des Verantwortlichen handelt
V. Abgrenzung zu lit. i (öffentliche Gesundheit)
| lit. h | lit. i | |
|---|---|---|
| Fokus | Individuelle Versorgung des einzelnen Patienten | Bevölkerungsbezogene Maßnahmen |
| Beispiele | Diagnose, Behandlung, Therapie | Seuchenbekämpfung, Epidemieüberwachung |
| Kumulierbar? | Ja – beide Tatbestände können gleichzeitig greifen | Ja |
Häufige Fragen (FAQ)
Darf der Arzt meine Daten an einen anderen Arzt weitergeben? Ja – wenn es zur Behandlung erforderlich ist und beide Berufsgeheimnisträger sind.
Darf die Krankenhasverwaltung meine Patientenakte lesen? Nur soweit dies unter ärztlicher Verantwortung und für die Versorgung erforderlich ist.
Was ist mit Forschung am Krankenhaus? Dafür gilt nicht lit. h, sondern lit. j (Forschung und Statistik) – mit eigenen Anforderungen.
Braucht das Krankenhaus eine zusätzliche Erlaubnis nach Art. 6? Ja. Lit. h ersetzt Art. 6 nicht – beide müssen parallel erfüllt sein.
Weiter: D. Öffnungsklausel
C – Ausdrückliche Einwilligung (lit. a)
Art. 9 Abs. 2 lit. a DS-GVO – Wann und wie eine Einwilligung sensible Datenverarbeitung erlaubt, und was dabei zu beachten ist.
D. Öffnungsklausel (Abs. 4)
Art. 9 Abs. 4 DS-GVO – Was EU-Mitgliedstaaten für genetische, biometrische und Gesundheitsdaten zusätzlich regeln dürfen.