Gesundheitsdaten (Art. 4 Nr. 15 DSGVO)
Gesundheitsdaten sind personenbezogene Daten über die körperliche oder geistige Gesundheit einer Person, aus denen Informationen über deren Gesundheitszustand hervorgehen. Als besondere Kategorie unterliegen sie einem grundsätzlichen Verarbeitungsverbot.
Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DSGVO). Der Begriff ist weit gefasst: Er erfasst Informationen zum früheren, gegenwärtigen und künftigen Gesundheitszustand einer Person (Erwägungsgrund 35 DSGVO).
Das Wichtigste in Kürze
- Gesundheitsdaten sind personenbezogene Daten mit Bezug zur körperlichen oder geistigen Gesundheit, aus denen der Gesundheitszustand der betroffenen Person hervorgeht.
- Der Begriff ist weit auszulegen und erfasst Informationen aus Arztpraxen und Krankenhäusern ebenso wie Daten von Fitness-Apps, Wearables oder apothekenpflichtigen Arzneimittelbestellungen.
- Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO: ihre Verarbeitung ist grundsätzlich verboten und nur unter den eng gefassten Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig.
- Mitgliedstaaten können für die Verarbeitung von Gesundheitsdaten zusätzliche Anforderungen festlegen (Art. 9 Abs. 4 DSGVO).
1. Überblick
Gesundheitsdaten bilden eine Unterkategorie der personenbezogenen Daten und gehören zugleich zu den besonders schutzwürdigen Informationen, die Art. 9 DSGVO einer verschärften Regelung unterwirft. Der Unionsgesetzgeber hat dem Begriff in Art. 4 Nr. 15 DSGVO eine eigenständige Definition gegeben, die durch Erwägungsgrund 35 DSGVO erheblich konkretisiert wird.
Kernmerkmal ist der doppelte Bezug: Das Datum muss sich auf die Gesundheit einer natürlichen Person beziehen und aus ihm muss eine Information über den Gesundheitszustand hervorgehen. Damit sind nicht nur klassische Krankenakten erfasst, sondern sämtliche Daten, aus denen sich mittelbar oder unmittelbar etwas über den körperlichen oder psychischen Zustand einer Person ableiten lässt.
2. Reichweite der Definition
2.1 Sachlicher Umfang
Erwägungsgrund 35 DSGVO listet exemplarisch auf, welche Informationen unter den Begriff fallen:
| Datenkategorie | Beispiele |
|---|---|
| Angaben aus Gesundheitsdienstleistungen | Anmeldedaten, Behandlungsunterlagen, Abrechnungsinformationen |
| Kennnummern und Symbole | Versicherungsnummer, Patientenkennung, Krankenversicherungskarte |
| Untersuchungs- und Testergebnisse | Laborbefunde, Bildgebungsdaten, Biopsie-Ergebnisse |
| Genetische und biologische Proben | Aus Proben abgeleitete gesundheitliche Informationen (siehe auch genetische Daten) |
| Krankheitsbezogene Angaben | Diagnosen, Behinderungen, Risikoprofile, Vorerkrankungen, klinische Behandlungen |
| Physiologische und biomedizinische Parameter | Blutdruck, Puls, Blutzucker, von Medizinprodukten oder In-vitro-Diagnostika erfasste Werte |
Die Herkunft der Daten ist unerheblich: Ob sie von einem Arzt, einem Krankenhaus, einem Medizinprodukt oder einer Fitness-App stammen, ändert nichts an ihrer Einordnung als Gesundheitsdaten.
2.2 Zeitliche Dimension
Der Begriff ist nicht auf gegenwärtige Gesundheitsinformationen beschränkt. Er erfasst gleichermaßen Daten über den vergangenen Gesundheitszustand (z.B. frühere Erkrankungen, abgeschlossene Behandlungen) und Informationen über künftige Gesundheitsrisiken (z.B. genetisch bedingte Erkrankungswahrscheinlichkeiten, prädiktive Befunde).
2.3 Breite Auslegung in der Praxis
Der EuGH hat den Begriff konsequent weit ausgelegt. Danach erzeugt bereits die Bestellung apothekenpflichtiger, nicht verschreibungspflichtiger Arzneimittel in einem Online-Shop Gesundheitsdaten, weil aus den bestellten Produkten Rückschlüsse auf den Gesundheitszustand des Käufers möglich sind (EuGH, Urt. v. 04.10.2024, C-21/23, Lindenapotheke). Nicht jede bloße Möglichkeit eines Gesundheitsbezugs genügt; es muss ein hinreichend konkreter Informationsgehalt über den Gesundheitszustand bestehen.
Auch Daten, die auf Social-Media-Plattformen über Nutzer gesammelt werden, können Gesundheitsdaten darstellen, wenn aus ihnen gesundheitsbezogene Schlüsse gezogen werden können. Der EuGH hat in diesem Zusammenhang klargestellt, dass der Betreiber eines sozialen Netzwerks diese Daten nicht allein deshalb verarbeiten darf, weil die betroffene Person entsprechende Informationen in einem öffentlichen Kontext geäußert hat (EuGH, Urt. v. 04.10.2024, C-446/21, Schrems/Meta).
Auch von Wearables und Fitness-Apps erfasste Messwerte wie Puls, Blutdruck oder Schlafmuster sind Gesundheitsdaten, sobald sie einer identifizierbaren Person zugeordnet werden können. Anwendungen, die solche Daten verarbeiten, unterliegen damit dem Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO und benötigen einen Erlaubnistatbestand nach Art. 9 Abs. 2 DSGVO.
3. Einordnung in die DSGVO-Systematik
Gesundheitsdaten sind eine der in Art. 9 Abs. 1 DSGVO enumerativ aufgezählten besonderen Kategorien personenbezogener Daten. Für sie gilt ein grundsätzliches Verarbeitungsverbot; eine Verarbeitung ist nur zulässig, wenn einer der Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO eingreift. Einschlägig im Gesundheitskontext sind insbesondere:
- die ausdrückliche Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO),
- die Verarbeitung zum Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c DSGVO),
- die Verarbeitung durch Angehörige von Gesundheitsberufen (Art. 9 Abs. 2 lit. h DSGVO) sowie
- Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i DSGVO).
Darüber hinaus eröffnet Art. 9 Abs. 4 DSGVO den Mitgliedstaaten die Möglichkeit, für Gesundheitsdaten zusätzliche Bedingungen festzulegen, was in Deutschland vor allem durch bereichsspezifische Regelungen im Sozialgesetzbuch und anderen Fachgesetzen erfolgt.
Nähere Einzelheiten zu den Zulässigkeitstatbeständen finden sich im Überblick über die besonderen Kategorien personenbezogener Daten.
Personenbezogene Daten
Art. 4 Nr. 1 DSGVO: Grundbegriff, dem Gesundheitsdaten als Unterkategorie unterfallen.
Genetische Daten
Art. 4 Nr. 13 DSGVO: Überschneidung bei aus biologischen Proben abgeleiteten Informationen.
Biometrische Daten
Art. 4 Nr. 14 DSGVO: Weitere besondere Datenkategorie mit Körperbezug.
Besondere Kategorien (Art. 9)
Überblick über Verarbeitungsverbot und Erlaubnistatbestände nach Art. 9 DSGVO.
EuGH Lindenapotheke (C-21/23)
Apothekenpflichtige Arzneimittelbestellungen als Gesundheitsdaten.
EuGH Schrems/Meta (C-446/21)
Reichweite sensibler Daten bei personalisierter Werbung in sozialen Netzwerken.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Biometrische Daten (Art. 4 Nr. 14 DSGVO)
Biometrische Daten sind mit speziellen technischen Verfahren gewonnene Merkmale einer Person (Fingerabdruck, Gesichtsbild, Stimme u.a.), die ihre eindeutige Identifizierung ermöglichen und als besondere Kategorie nach Art. 9 DSGVO einem grundsätzlichen Verarbeitungsverbot unterliegen.
Einzelthemen
Einzelne Themen der DSGVO, untergliedert nach Regelungsbereichen.