Zulässigkeitstatbestände (Art. 9 Abs. 2 und 3 DSGVO)

Das Verbot der Verarbeitung sensibler Daten aus Art. 9 Abs. 1 DSGVO wird durch einen abschließenden Katalog von Zulässigkeitstatbeständen durchbrochen. Art. 9 Abs. 2 DSGVO enthält zehn Ausnahmen (lit. a-j), Art. 9 Abs. 3 DSGVO ergänzt den Gesundheitskontext um personelle Anforderungen. Eine vertragliche Generalklausel fehlt bewusst: Wer sensible Daten im privatrechtlichen Rahmen verarbeitet, ist regelmäßig auf die ausdrückliche Einwilligung oder auf einen bereichsspezifischen Tatbestand angewiesen.

1 Allgemeines

1.1 Abschließender Charakter und Regel-/Ausnahme-Verhältnis

Der Katalog ist abschließend; eine Analogie zu Art. 6 Abs. 1 lit. b DSGVO für vertragliche Verarbeitungen ist nicht möglich. Das bedeutet jedoch nicht, dass die Tatbestände des Abs. 2 generell restriktiv auszulegen sind. Ihre Normziele sind zu vielschichtig, um sie in ein starres Regel-/Ausnahme-Schema zu pressen. Die jeweils passende Auslegungsrichtung folgt aus Telos und Schutzgutbezug des einzelnen Tatbestands.

Innerhalb des Katalogs ist zwischen zwei Typen von Tatbeständen zu unterscheiden:

• Unmittelbar anwendbare Tatbestände (lit. a, c, d, e, f): sie greifen direkt aus der DSGVO heraus. Eine nationale Konkretisierung ist möglich, aber nicht erforderlich.
• Konkretisierungsbedürftige Öffnungsklauseln (lit. b, g, h, i, j): sie verlangen zwingend ergänzende Vorschriften im Unions- oder mitgliedstaatlichen Recht, die „geeignete Garantien" oder „angemessene und spezifische Maßnahmen" zur Wahrung der Rechte Betroffener vorsehen. In Deutschland sind dies vor allem § 22 BDSG und die bereichsspezifischen Spezialgesetze (GenDG, SGB, IfSG, TPG, AMG, PAuswG).

Im Einzelfall können mehrere Tatbestände nebeneinander bestehen; sie verfolgen jeweils eine eigene Zielrichtung und stehen nicht automatisch in einem Spezialitätsverhältnis. Erweist sich eine Einwilligung als unwirksam, ist der Rückgriff auf eine gesetzliche Legitimation grundsätzlich möglich, setzt aber voraus, dass zugleich Transparenz nach Art. 14 Abs. 1 lit. c DSGVO hergestellt und Treu und Glauben gewahrt bleiben.

1.2 Kumulative Prüfung mit Art. 6 DSGVO

Ein Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO ersetzt die Rechtsgrundlage nach Art. 6 DSGVO nicht. Erforderlich sind immer beide Schichten (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 71 ff.). Ist keine Ausnahme einschlägig, entfaltet Art. 9 DSGVO Sperrwirkung; ein Rückgriff auf Art. 6 DSGVO scheidet aus.

1.3 Unionsrecht, mitgliedstaatliches Recht und Garantien

Mehrere Tatbestände verweisen auf unions- oder mitgliedstaatliches Ausfüllungsrecht (lit. b, g, h, i, j) und verlangen „geeignete Garantien" oder „angemessene und spezifische Maßnahmen" zur Wahrung der Grundrechte und Interessen der betroffenen Person. Die Umsetzung des Gesetzgebers ist zweistufig zu verstehen:

1. Der Gesetzgeber strukturiert abstrakt-generell vor, etwa durch § 22 BDSG, § 26 BDSG, das Gendiagnostikgesetz oder bereichsspezifische Sozial- und Gesundheitsgesetze.
2. Der Verantwortliche konkretisiert die Maßnahmen im Einzelfall, soweit das einschlägige Recht flexibel ausgestaltet ist.

Typische Garantien sind Berufsgeheimnisse, Verschlüsselung, Pseudonymisierung, Zugriffs- und Speicherortbegrenzungen, Integritätscodes und eine Aufwertung der Betroffenenrechte (EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, 29.01.2020, Rn. 87 ff.).

2 Die einzelnen Tatbestände

Die folgende Übersicht ordnet die zehn Tatbestände dem jeweiligen Typ zu; die Detaildarstellung folgt in den Abschnitten 2.1 bis 2.10.

2.1 Ausdrückliche Einwilligung (Abs. 2 lit. a)

Die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO verschärft die allgemeine Einwilligung des Art. 6 Abs. 1 lit. a DSGVO in drei Punkten:

• Ausdrücklichkeit: Eine konkludente oder stillschweigende Zustimmung genügt nicht. Bereits angekreuzte Kästchen, Untätigkeit oder Schweigen scheiden als Einwilligung aus (ErwGr. 32 S. 3 DSGVO; EuGH, Urt. v. 01.10.2019, C-673/17, Planet49, Rn. 60 ff.).
• Zweckbezug: Die Einwilligung muss sich auf einen oder mehrere festgelegte Zwecke beziehen; pauschale Einwilligungen scheitern am Bestimmtheitserfordernis.
• Form und Nachweis: Die DSGVO schreibt keine bestimmte Form vor. Aus der Rechenschaftspflicht (Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO) folgt aber regelmäßig der Bedarf an einer dokumentierten Erklärung (schriftlich, elektronisch signiert, zweistufig mit Bestätigungslink oder durch Ausfüllen eines elektronischen Formulars).

Typische Ungleichgewichtskonstellationen, in denen die Freiwilligkeit besonders sorgfältig zu prüfen ist: Versicherungsverträge, Vermieter-Mieter-Beziehungen, Verhältnis zwischen Arzt und Patient sowie andere Hilfeleistungsbeziehungen. Aus Erwägungsgrund 43 DSGVO folgt, dass bei einem klaren Ungleichgewicht die Einwilligung keine gültige Rechtsgrundlage liefern soll. Eine pauschale Verneinung der Freiwilligkeit in solchen Beziehungen ist aber nicht geboten. Geeignete Wahlmöglichkeiten, der ausdrückliche Hinweis auf die Freiwilligkeit und die Sicherstellung, dass eine Verweigerung keine Nachteile auslöst, können die Unfreiwilligkeit abfangen. In Notsituationen ist eine verstärkte Freiwilligkeitsprüfung geboten.

Abgrenzung zur Schweigepflichtentbindung. Die datenschutzrechtliche Einwilligung ist nicht identisch mit der Entbindung von einer beruflichen Schweigepflicht. Wegen des Zwei-Schranken-Prinzips können für die Verarbeitung sensibler Daten und die Offenbarung eines Berufsgeheimnisses zwei Erklärungen erforderlich sein, die jeweils eigenen Anforderungen genügen müssen. Möglich ist eine einheitliche Erklärung; dann müssen die Anforderungen beider Regime kumulativ erfüllt sein. Standesrechtlich wird für die Schweigepflichtentbindung traditionell eine konkludente Erklärung akzeptiert; die datenschutzrechtliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO muss demgegenüber ausdrücklich erteilt werden; eine konkludente Einwilligung genügt nicht.

Broad consent und andere Modelle. In der medizinischen oder genetischen Forschung ist ein angemessen ausgestalteter „broad consent" zulässig. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat dies in ihrem Beschluss vom 15.04.2020 für die Verarbeitung von Gesundheitsdaten zu Forschungszwecken akzeptiert, mit kompensierenden Garantien nach Art. 89 Abs. 2 DSGVO. Die Grundlage liegt in der Forschungsfreiheit (Art. 13 GRCh, Art. 5 Abs. 3 GG) und in der Zweckprivilegierung nach Art. 5 Abs. 1 lit. b DSGVO (ErwGr. 33 DSGVO). Moderne Modelle (dynamic consent, tiered consent, cascading consent) können je nach Vorhaben interessengerechter sein.

Einwilligungsausschluss. Art. 9 Abs. 2 lit. a Hs. 2 DSGVO eröffnet unionalem oder mitgliedstaatlichem Recht die Möglichkeit, die Einwilligung als Ausnahmeweg ganz auszuschließen. Das ist gerechtfertigt, wo Freiwilligkeit strukturell zweifelhaft ist (z.B. starke Abhängigkeitsverhältnisse). Praktisch bedeutsam ist § 8 Abs. 1 AGG: Danach ist eine Einwilligung in die Verarbeitung von Daten zur rassischen und ethnischen Herkunft, zu politischen Meinungen, religiösen, philosophischen und politischen Überzeugungen sowie zur Gewerkschaftszugehörigkeit im Beschäftigungsverhältnis weitgehend ausgeschlossen. Als „Minus" kann der Gesetzgeber die Anforderungen an die Einwilligung auch schärfen statt sie auszuschließen. Beispiel: § 8 Abs. 1 GenDG für genetische Untersuchungen.

Beschäftigtenkontext. Für sensitive Beschäftigtendaten besteht die Möglichkeit der Einwilligung nach § 26 Abs. 2 BDSG; an die Freiwilligkeit sind gesteigerte Anforderungen zu stellen.

2.2 Arbeitsrecht und Soziales (Abs. 2 lit. b)

Lit. b legitimiert die Verarbeitung sensibler Daten, soweit sie zur Ausübung von Rechten bzw. Erfüllung von Pflichten aus Arbeitsrecht, Recht der sozialen Sicherheit oder Sozialschutz erforderlich ist. Voraussetzung ist eine Grundlage im Unions- oder mitgliedstaatlichen Recht, einschließlich Kollektivvereinbarungen, Betriebsvereinbarungen und Tarifverträgen (ErwGr. 52 DSGVO).

Typische Anwendungsfälle:

• Erfassung von Krankheitstagen, Schwerbehinderungen, Beschäftigungsverboten,
• biometrische Zugangskontrollen zu sicherheitsrelevanten Bereichen sowie biometrische Zeiterfassung (auf enge Erforderlichkeit und verhältnismäßige Ausgestaltung achten),
• Angaben zur Religionszugehörigkeit für die Kirchensteuer,
• Angaben zur Gewerkschaftszugehörigkeit zu Zwecken der Lohnabrechnung oder für die Tätigkeit im Betriebsrat,
• Erbringung und Abrechnung von Sozialleistungen (SGB I, V, VI, VII, XI, XII; Ausbildungsförderung).

Der Erforderlichkeitsmaßstab ist wegen des Ausnahmecharakters der Vorschrift eng auszulegen. Politische Meinungen sind für Zwecke des Arbeitsrechts regelmäßig nicht erforderlich, auch nicht in Tendenzbetrieben, sofern sich die Meinungsäußerung nicht auf die berufliche Stellung bezieht. Genetische Daten dürfen im Arbeitsleben nur sehr eingeschränkt verarbeitet werden; in bestimmten engen Bereichen der Arbeitsmedizin können genetische Gesundheitsanalysen verhältnismäßig sein (vgl. §§ 19-22 GenDG). Daten zum Sexualleben dürfen regelmäßig nicht verwendet werden; Ausnahmen bestehen, soweit die Sexualität zur beruflichen Tätigkeit gehört.

Abgrenzung zu lit. h. Die Verarbeitung für Zwecke der Arbeitsmedizin und für die Beurteilung der Arbeitsfähigkeit fällt nicht nur unter lit. h, sondern wird auch von lit. b erfasst; beide Tatbestände greifen nebeneinander.

Sozialrecht. Lit. b legitimiert daneben die in den Sozialgesetzbüchern vorgesehene Verarbeitung sensitiver Daten zur Erbringung von Sozialleistungen: von Arbeitsschutz über Bildungs- und Ausbildungsförderung, Versicherungsleistungen bei Krankheit, Pflege, Unfall und Alter, Familien- und Jugendhilfe bis zur Teilhabeförderung behinderter Menschen. Die Legitimation trägt nur die gesetzlich vorgesehenen Zwecke; eine Verarbeitung durch den Arbeitgeber für eigene Zwecke außerhalb dieses Rahmens wird davon nicht gedeckt.

In Deutschland setzt § 22 Abs. 1 Nr. 1 lit. a BDSG den Tatbestand für nicht-öffentliche und öffentliche Stellen wortgleich um; § 22 Abs. 2 BDSG nennt die erforderlichen Garantien regelbeispielhaft.

2.3 Lebenswichtige Interessen (Abs. 2 lit. c)

Lit. c erlaubt die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten, wenn die Person aus körperlichen oder rechtlichen Gründen außerstande ist, einzuwilligen. Er versteht sich als ultima ratio (ErwGr. 46 DSGVO).

2.4 Tendenzbetriebe (Abs. 2 lit. d)

Lit. d privilegiert Stiftungen, Vereinigungen oder sonstige Organisationen ohne Gewinnerzielungsabsicht mit politischer, weltanschaulicher, religiöser oder gewerkschaftlicher Ausrichtung. Voraussetzungen:

• Organisation politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtet und ohne Gewinnerzielungsabsicht; die Rechtsform ist unerheblich.
• Verarbeitung im Rahmen der rechtmäßigen Tätigkeit, begrenzt auf die jeweilige „Tendenz" (eine Kirche darf also keine politischen Daten im Rückgriff auf lit. d verarbeiten).
• Beschränkung auf Mitglieder, ehemalige Mitglieder oder Personen mit regelmäßigen Kontakten im Zusammenhang mit dem Tätigkeitszweck („eng und konstant").
• Keine Offenlegung nach außen ohne Einwilligung der betroffenen Person.

Für Offenlegungen nach außen richtet sich die Zulässigkeit daher nach lit. a. Rein gemeinnützige Organisationen (NGOs) ohne Zuordnung zu den vier genannten Ausrichtungen fallen nicht unter lit. d.

Einordnung typischer Organisationen. Privilegiert sind Parteien einschließlich ihrer Jugend- und Unterorganisationen und parteinahen Stiftungen, Kirchen und deren nicht gewinnorientierte soziale Vereinigungen, freireligiöse Gemeinschaften sowie Gewerkschaften (DGB, Einzelgewerkschaften, gewerkschaftsnahe Stiftungen). Berufsverbände, die die wirtschaftlichen, sozialen und politischen Interessen ihrer Mitglieder vertreten, sind erfasst; als öffentliche Körperschaften ausgestaltete Kammern dagegen nicht. Personal- und Betriebsräte genießen die Privilegierung nicht, weil sie keine vollständige rechtliche Eigenständigkeit haben. Eine doppelte Ausrichtung ist möglich (z.B. christliche Gewerkschaften). Diakonie und Caritas sind privilegiert; überwiegend kommerziell ausgerichtete Organisationen wie Scientology fallen nicht darunter. Handelsgesellschaften und allgemeine NGOs ohne einschlägige Ausrichtung sind ausgeschlossen.

Gewinnerzielungsabsicht. Eine geschäftliche Tätigkeit, die dem Zweck der Einrichtung zugutekommt, ist zulässig; die Grenze ist im Einzelfall zu ziehen. Für kommerzielle Unternehmen, die im Eigentum einer Tendenzorganisation stehen, greift die Privilegierung nicht.

Interne Verarbeitung. Die Privilegierung erfasst ausschließlich die interne Datenverarbeitung. Für Direktmarketing, Werbung oder Internetveröffentlichungen ist lit. a einschlägig. Privilegiert ist im Rahmen des Erforderlichen auch die Datenverarbeitung zwischen hierarchisch oder organisatorisch verbundenen Stellen (Bundes-, Landes-, regionale Ebene einer Partei; kirchliche Zusammenschlüsse; Dachverbände von Gewerkschaften).

Auftragsverarbeitung. Outsourcing nach Art. 28 DSGVO ist zulässig, die Privilegierung erstreckt sich aber nicht auf den Auftragsverarbeiter. Dieser muss seine eigene Rechtsgrundlage haben; die Zweckbindung an die Tendenz ist vertraglich abzusichern.

Garantien. Die Rechtsgrundlage in Satzung, Kirchengesetz oder sonstiger Norm muss geeignete Garantien vorsehen: strenge Zweckbindung, Abschottung, spezifische Beschwerdemöglichkeiten. Fehlen die Garantien, ist die Verarbeitung auch innerhalb einer Tendenzorganisation rechtswidrig.

2.5 Offenkundig öffentlich gemachte Daten (Abs. 2 lit. e)

Lit. e erlaubt die Verarbeitung sensibler Daten, wenn die betroffene Person sie „offensichtlich öffentlich gemacht" hat. Der Tatbestand ist restriktiv auszulegen (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 76; EuGH, Urt. v. 04.10.2024, C-446/21, Schrems/Meta, Rn. 77).

Öffentlichkeit. Geschlossene Gruppen, Klassenzimmer, abgegrenzte Diskussionsräume oder soziale Netzwerke mit begrenztem Adressatenkreis sind keine „Öffentlichkeit" iSd Vorschrift. Auch Posts in Social-Media-Gruppen entfalten nicht automatisch die Wirkung einer öffentlichen Bekanntgabe; die Beteiligten unterstellen regelmäßig eine „kontextuale Integrität".

Offenkundigkeit. Erforderlich ist ein eindeutig auf einen Willensakt der betroffenen Person zurückführbares Öffentlichmachen. Der EuGH verlangt eine ausdrückliche und eindeutig bestätigende Handlung, mit der die Person die Daten der breiten Öffentlichkeit zugänglich machen will.

Keine Unterwerfung durch bloßes Dasein. Das bloße Dasein im öffentlichen Raum oder die Teilnahme an einer Demonstration/Veranstaltung genügen nicht, um ein Öffentlichmachen anzunehmen. Auch in der Öffentlichkeit gemachte Äußerungen, die sich nicht an die Öffentlichkeit richten, werden nicht offenkundig gemacht. Pressemeldungen entfalten die Wirkung der lit. e nur, wenn die Angaben erkennbar vom Betroffenen selbst stammen (z.B. über autorisierte Zitate).

Weiterveröffentlichung und Profiling. Werden vom Betroffenen veröffentlichte Daten von Dritten weiterveröffentlicht, kann sich der Verantwortliche grundsätzlich auf die Erstveröffentlichung berufen. Das entfällt jedoch, wenn die Daten vor der Weiterveröffentlichung einer komplexen Auswertung (insbesondere einem Profiling nach Art. 4 Nr. 4 DSGVO) zugeführt worden sind. Auch Duldung der Veröffentlichung durch den Betroffenen genügt nicht.

Zugänglichkeit über Suchmaschinen stellt noch keine Offenkundigkeit dar (vgl. die Linie des EuGH in Urt. v. 13.05.2014, C-131/12, Google Spain).

2.6 Rechtsansprüche und justizielle Tätigkeit (Abs. 2 lit. f)

Lit. f erlaubt die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Gerichtshandlungen im Rahmen ihrer justiziellen Tätigkeit. Der Begriff „Rechtsansprüche" ist unionsrechtlich autonom und weit zu verstehen; er umfasst zivilrechtliche und öffentlich-rechtliche Rechtspositionen sowie Ansprüche in Verwaltungs- und außergerichtlichen Verfahren (ErwGr. 52 S. 3 DSGVO).

Reichweite des Anspruchsbegriffs. „Rechtsansprüche" ist unionsrechtlich autonom und weit zu verstehen: erfasst sind zivilrechtliche, öffentlich-rechtliche und prozessuale Positionen, auch im Strafverfahren (§§ 394 ff., 403 ff. StPO). Ansprüche können sich aus Gesetz, Vertrag, rechtsgeschäftsähnlichem Schuldverhältnis oder schädigendem Verhalten ergeben. Bei Versicherungsverträgen mit Schutzwirkung für Dritte erstreckt sich lit. f auch auf die Daten dieser Dritten. Eine bloße Rechtsbeziehung reicht nicht aus; erforderlich ist ein konkreter, den Anspruchsinhaber zu prozeduralem Handeln zwingender Konflikt. Der Anspruch muss nach Inhalt und Beteiligten bestimmt sein. Eine Rechtshängigkeit wird nicht verlangt; auch außergerichtliche Verfahren sind erfasst. Unerheblich ist, ob der Verantwortliche Gläubiger oder Schuldner ist.

Erforderlichkeit. Lit. f sieht keine Interessenabwägung mit den Betroffenenbelangen vor; umso genauer muss die Erforderlichkeit geprüft werden. Maßgeblich ist eine ex-ante-Beurteilung; eine spätere abweichende Gerichtsentscheidung ändert daran nichts. Bei streitigen Ansprüchen sind die Anforderungen an die Erforderlichkeit nicht zu überspannen; Beweismittel müssen vorgebracht werden können, auch wenn ihr Wert zunächst unklar ist. Erforderlich ist eine plausible Begründung der Beweiserheblichkeit im Zusammenhang mit dem Streitgegenstand. Grenze ist der willkürliche, sachlich nicht zum Streitgegenstand gehörende Vortrag. Im Zweifel ist eine Interessenabwägung durchzuführen; überwiegen schutzwürdige Betroffeneninteressen, ist die Verarbeitung zu unterlassen. Das Rechtsverfolgungsinteresse muss zum Zeitpunkt der Verarbeitung tatsächlich entstanden und nicht nur hypothetisch sein (vgl. EuGH, Urt. v. 11.12.2019, C-708/18, Asociaţia de Proprietari).

Rechtsanwälte. Rechtsanwälte dürfen im Rahmen der Mandatsführung sensible Daten auch von dritten Betroffenen verarbeiten und bei Gericht vortragen, soweit es für die Rechtsverfolgung erforderlich ist.

Folge für das Löschrecht. Solange die Daten zur Rechtsverfolgung benötigt werden, steht der betroffenen Person kein Löschanspruch zu (Art. 17 Abs. 3 lit. e DSGVO).

Gerichtshandlungen und Urteilsveröffentlichung. Sensible Daten dürfen erfasst werden, soweit sie für die Urteilsfindung zwingend sind (z.B. Gesundheitsdaten bei der Bemessung des Schmerzensgeldes, persönliche Verhältnisse beim Strafmaß; relevant wird dies z.B., wenn im Zivilverfahren über ein Ärzteentgelt der Behandlungsfehler im Streit steht). Bei der Veröffentlichung von Entscheidungen sind Anonymisierungsmöglichkeiten auszuschöpfen; gegebenenfalls ist zwischen für das Verständnis notwendigen und entbehrlichen Teilen zu differenzieren.

2.7 Erhebliches öffentliches Interesse (Abs. 2 lit. g)

Lit. g ist eine Öffnungsklausel für Unions- oder mitgliedstaatliches Recht, das aus Gründen eines erheblichen öffentlichen Interesses die Verarbeitung sensibler Daten ermöglicht. Das Ausfüllungsrecht muss verhältnismäßig sein, den Wesensgehalt des Rechts auf Datenschutz wahren und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsehen.

Die Anwendung verläuft zweistufig:

Das Interesse muss von besonderer Bedeutung sein; allgemeine öffentliche Zwecke genügen nicht, die Zwecke müssen in Bezug auf die sensitiven Daten spezifiziert werden. Die Darlegungslast für das erhebliche öffentliche Interesse liegt beim Verantwortlichen. Dem konkretisierenden Normgeber verbleibt allerdings ein weiter Gestaltungsspielraum.

Wesensgehalt. Das Ausfüllungsrecht muss den Wesensgehalt des Grundrechts auf Datenschutz wahren (Art. 52 Abs. 1 GRCh, Art. 19 Abs. 2 GG). Anlasslose Überwachung und pauschale Beschränkungen der Betroffenenrechte sind damit unvereinbar. Die Linie ist ständige EuGH-Rechtsprechung seit Digital Rights Ireland.

Der EuGH hat lit. g auch auf Suchmaschinenbetreiber angewandt, die bei Auslistungsanträgen die Verknüpfung sensibler Daten anhand der Informationsfreiheit (Art. 11 GRCh) prüfen müssen (EuGH, Urt. v. 24.09.2019, C-136/17, GC u.a./CNIL, Rn. 66 ff.).

2.8 Individuelle Gesundheitsversorgung (Abs. 2 lit. h i.V.m. Abs. 3)

Lit. h erfasst die Verarbeitung zur individuellen Gesundheitsversorgung: Gesundheitsvorsorge, Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit, medizinische Diagnostik, Versorgung oder Behandlung sowie Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich. Erfasst sind auch privatrechtlich gestaltete Verfahren der Kostenübernahme (Krankenkassenabrechnung, Heilmittelversorgung). § 22 Abs. 1 Nr. 1 lit. b BDSG setzt den Tatbestand für das deutsche Recht um.

Medizinische Versorgung. Erfasst sind Prävention, Diagnose, Behandlung und Nachsorge einschließlich Rehabilitation. Die Verarbeitung ist zunächst auf die jeweilige Einrichtung beschränkt (Arztpraxis, Apotheke, Krankenhaus, sonstige Einrichtungen der Gesundheitsversorgung). Einbezogen sind neben der Behandlung auch damit zusammenhängende Verwaltungsaufgaben: Abrechnung, Buchführung, Statistik. Der Behandlungsbegriff ist weit: Operationen und Injektionen ebenso wie die Verabreichung oder Verschreibung von Arzneimitteln und verbale Maßnahmen, Diagnostik und Therapie, fremdnützige Maßnahmen wie Blutspenden und wunscherfüllende Medizin. Mit der Behandlung ist regelmäßig eine individuelle Dokumentationspflicht verbunden (§ 630f BGB).

Verwaltung der gesundheitlichen Versorgung. Erfasst ist der gesamte organisatorische Rahmen der Gesundheitsdienstleistungen, insbesondere die Leistungsdaten nach §§ 294 ff. SGB V, aber auch privatrechtlich gestaltete Kostenübernahmeverfahren durch private Versicherer. Zu den einbezogenen Akteuren im deutschen System der gesetzlichen Krankenversicherung gehören insbesondere die Krankenkassen (§ 284 SGB V), die Kassen(zahn)ärztlichen Vereinigungen (§ 285 SGB V) und der Medizinische Dienst (§ 278 SGB V); erfasst sind Organisation, Planung, Abrechnung (§§ 295, 295a, 300 ff. SGB V), Abrechnungs- und Wirtschaftlichkeitsprüfung (§§ 106, 106a SGB V) sowie die Qualitätssicherung (§§ 72 Abs. 2, 135 ff., 299 SGB V). Die Abrechnung darf auch an private Dienstleister (Apothekenrechenzentren nach § 300 SGB V, Hausarztverbände nach § 295a Abs. 1 SGB V i.V.m. §§ 73b, 73c, 140a SGB V) ausgelagert werden. Bei der Aufgabenwahrnehmung sind Erforderlichkeit und Datensparsamkeit zu beachten; überindividuelle Aufgaben gelingen häufig mit pseudonymen oder anonymen Daten.

Arbeitsmedizin bildet ein Dreiecksverhältnis zwischen Arbeitgeber, Beschäftigten und medizinischem Personal ab. Neben lit. h ist regelmäßig auch lit. b einschlägig. Spezialrechtlich: Arbeitssicherheitsgesetz (ASiG, insbesondere § 3 Abs. 1 Nr. 2 ASiG), SGB V, SGB VII und SGB IX.

Grenzen. Verarbeitet ein Sozialleistungsträger Daten eigener Mitarbeiter im Rahmen von lit. h, muss das durch eine unabhängige Stelle erfolgen; eine Verwendung zur Beurteilung der Arbeitsfähigkeit ist untersagt.

Personelle Anforderung. Art. 9 Abs. 3 DSGVO schränkt lit. h ein: Die Verarbeitung darf nur durch Fachpersonal erfolgen, das einem Berufsgeheimnis unterliegt, oder durch eine andere nach Unions- oder mitgliedstaatlichem Recht zur Geheimhaltung verpflichtete Person. Das Berufsgeheimnis ist damit zugleich Beispiel einer „geeigneten Garantie" iSd lit. b und i. Einem Berufsgeheimnis im Sinne der Vorschrift unterliegen neben klassischen Heilberuflern (Ärzte, Apotheker, Psychologen) auch deren Gehilfen und mitwirkende Personen nach § 203 Abs. 3 StGB sowie, als institutionelle Parallele, die Träger des Sozialgeheimnisses nach § 35 SGB I, das für alle Sozialleistungsträger einschließlich ihres Hilfs- und technischen Personals (§ 80 SGB X) gilt. Für die Verarbeitung durch „eine andere Person" ist ein vergleichbares Schutzniveau erforderlich.

Abgrenzung. Lit. h zielt auf das individuelle Interesse an funktionierender Versorgung; lit. i dient dem genuin öffentlichen Gesundheitsinteresse; lit. j erfasst die medizinische Forschung. Überschneidungen in Randbereichen sind unschädlich. Zur vertragsbasierten Verarbeitung durch „Angehörige eines Gesundheitsberufs" ist das Verhältnis zu lit. a sorgfältig zu prüfen.

2.9 Öffentliche Gesundheitsbelange (Abs. 2 lit. i)

Lit. i ist lex specialis gegenüber lit. g für Verarbeitungen aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit. Beispiele im Normtext: Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei Gesundheitsversorgung und Arzneimitteln.

Der Begriff der öffentlichen Gesundheit ist unionsrechtlich über Art. 3 lit. c der Verordnung (EG) Nr. 1338/2008 definiert (ErwGr. 54 DSGVO). Erfasst sind Gesundheitszustand (einschließlich Morbidität und Behinderung), die den Gesundheitszustand beeinflussenden Determinanten, der Versorgungsbedarf, die Bereitstellung von Gesundheitsdienstleistungen, deren Finanzierung und die Ursachen der Mortalität. Die strategischen Ziele der Union ergeben sich aus Art. 168 AEUV: Förderung der Gesundheit, Schutz vor gesundheitlichen Gefahren und Unterstützung dynamischer Gesundheitssysteme.

Private Verarbeiter. Lit. i ist grundsätzlich ein Tatbestand für öffentliche Stellen. Private Unternehmen können ihn nur in Anspruch nehmen, wenn sie auf gesetzlicher Grundlage Aufgaben der öffentlichen Gesundheit wahrnehmen oder als beliehenes Unternehmen tätig werden. Die Verarbeitung darf nicht dazu führen, dass Dritte (Arbeitgeber, Versicherungs- oder Finanzunternehmen) die Daten zu anderen Zwecken weiterverarbeiten (ErwGr. 54 DSGVO).

Löschausschluss. Zwecke des öffentlichen Gesundheitsinteresses können dazu führen, dass der Betroffene seinen Löschanspruch nicht geltend machen kann (Art. 17 Abs. 3 lit. c DSGVO).

Nationales Ausfüllungsrecht: § 22 Abs. 1 Nr. 1 lit. c BDSG; bereichsspezifisch Arzneimittelgesetz (AMG, insbesondere §§ 54 ff. AMG), Medizinproduktegesetz (MPG, § 26 MPG), Krebsregistergesetze (Bundeskrebsregisterdatengesetz 2021; klinische Krebsregister nach § 65c SGB V), Infektionsschutzgesetz (insbesondere §§ 6 ff. IfSG) sowie die Gesetze über den öffentlichen Gesundheitsdienst der Länder (z.B. BayGDVG) und die Heilberufsordnungen. Im Spannungsfeld der Qualitätsstandards bei Gesundheitsversorgung, Arzneimitteln und Medizinprodukten: § 5 Musterberufsordnung Ärzte, §§ 72 Abs. 2, 135 ff., 299 SGB V, § 11a Nr. 2 ApoG.

2.10 Forschung, Statistik und Archiv (Abs. 2 lit. j)

Lit. j privilegiert Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke (Art. 89 Abs. 1 DSGVO). Die Vorschrift ist ebenfalls lex specialis gegenüber lit. g. Gegenüber der DSRL wurden die Regelungen zugunsten der Forschung verbessert: Nach Art. 89 Abs. 1 DSGVO gelten Forschungszwecke bei Vorliegen hinreichender Garantien „als nicht unvereinbar mit den ursprünglichen Zwecken"; die Forschungsfreiheit (Art. 13 GRCh, Art. 5 Abs. 3 GG) und der Datenschutz treten damit in ein Verhältnis der rechtlichen Gleichrangigkeit.

• Archivzwecke. Daten werden „archiviert", sobald sie für ihren ursprünglichen Zweck nicht mehr benötigt und nur zu Forschungs- und Dokumentationszwecken weiter aufbewahrt werden (ErwGr. 158 DSGVO). „Aufzeichnungen von bleibendem Wert" im Sinne der Archivgesetze (Bundesarchivgesetz, Landesarchivgesetze) sind Bezugspunkt. Die Dokumentation laufender oder abgeschlossener Verwaltungsverfahren, deren Daten für den Verwaltungsvollzug noch benötigt werden, ist keine Archivierung iSd lit. j; rein private Archive sind nicht erfasst.
• Wissenschaftliche Forschung. Weit zu verstehen: Grundlagenforschung, angewandte Forschung, privat finanzierte Forschung, technologische Entwicklung und Demonstration (ErwGr. 159 DSGVO). Maßstab sind wissenschaftliche Eigengesetzlichkeit, Methodik, Systematik, Beweisbedürftigkeit, Nachprüfbarkeit, Kritikoffenheit und Revisionsbereitschaft. Auch klinische Prüfungen (AMG) sind erfasst; Forschung wird nicht dadurch ausgeschlossen, dass ein Vorhaben zugleich Ausbildungs- oder Prüfungszwecken dient.
• Unabhängigkeit. Das Forschungsprivileg gilt nur für unabhängige Forschung. Kommerzielle Markt- und Meinungsforschung ist nicht erfasst; rein kommerziell ausgerichtete Pharma- oder Biotech-Forschung kann sich auf lit. j nicht stützen. Drittmittelfinanzierung macht ein Vorhaben nicht automatisch unselbstständig, solange die Erkenntnisbildung frei bleibt.
• Statistische Zwecke. Jede Verarbeitung, die auf statistische Ergebnisse zielt, wobei die Ergebnisse aggregiert und ohne Personenbezug sein müssen (ErwGr. 162 DSGVO). Scoring oder Profiling, die zu Einzelmaßnahmen gegenüber natürlichen Personen führen, fallen nicht unter lit. j.

Überschneidung mit lit. h und i. Bei der Verwendung von Gesundheitsdaten für Forschungszwecke kann neben lit. j auch auf lit. h oder i zurückgegriffen werden, wenn die Verarbeitung „im öffentlichen Interesse" „gesundheitsbezogenen Zwecken" dient (ErwGr. 53, 159 DSGVO).

Das Ausfüllungsrecht muss angemessene und spezifische Maßnahmen vorsehen. Art. 89 Abs. 1 DSGVO verlangt insbesondere technisch-organisatorische Maßnahmen zur Gewährleistung der Datenminimierung; die Pseudonymisierung wird als Beispiel genannt. Deutsche Umsetzung: §§ 27, 28 BDSG.

2.11 Geeignete Garantien und spezifische Maßnahmen

Die in lit. b, d, h und i ausdrücklich verlangten „geeigneten Garantien" und die in lit. g, i und j verlangten „angemessenen und spezifischen Maßnahmen" sind Relationsbegriffe. Ob sie eingehalten sind, hängt vom Verarbeitungskontext, den eingesetzten Techniken und der spezifischen Schutzbedürftigkeit ab.

Beispiele aus Normtext, Auslegung und Praxis:

• Berufsgeheimnisse (explizit in Abs. 3; übertragbar auf andere Tatbestände),
• Verschlüsselung, Pseudonymisierung (analog zu Art. 6 Abs. 4 lit. e, Art. 89 Abs. 1 DSGVO),
• bei biometrischen Daten: Minimierung der extrahierten Merkmale, sorgfältige Wahl des Speicherorts, Zugriffsbegrenzung auf ausgewähltes Personal, getrennte Datenbanken, Verschlüsselungs- und Schlüsselmanagement, Integritätscodes (Signaturen, Hashes),
• Aufwertung und Ausweitung von Betroffenenrechten über das Grundregime hinaus.

§ 22 Abs. 2 BDSG fasst diese Maßnahmen für das deutsche Recht in einem flexiblen Regelbeispielkatalog zusammen.

3 Entscheidungshilfe