# Gesundheitsdaten (Art. 4 Nr. 15 DSGVO)

Gesundheitsdaten sind personenbezogene Daten über die körperliche oder geistige Gesundheit einer Person, aus denen Informationen über deren Gesundheitszustand hervorgehen. Als besondere Kategorie unterliegen sie einem grundsätzlichen Verarbeitungsverbot.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/begriffe-und-definitionen/1.2.15-gesundheitsdaten
> Sprache: en



Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über deren Gesundheitszustand hervorgehen ([Art. 4 Nr. 15 DSGVO](https://dsgvo-gesetz.de/art-4-dsgvo/)). Der Begriff ist weit gefasst: Er erfasst Informationen zum früheren, gegenwärtigen und künftigen Gesundheitszustand einer Person ([Erwägungsgrund 35 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-35/)).

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Gesundheitsdaten sind personenbezogene Daten mit Bezug zur körperlichen oder geistigen Gesundheit, aus denen der Gesundheitszustand der betroffenen Person hervorgeht.
  * Der Begriff ist weit auszulegen und erfasst Informationen aus Arztpraxen und Krankenhäusern ebenso wie Daten von Fitness-Apps, Wearables oder apothekenpflichtigen Arzneimittelbestellungen.
  * Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO: ihre Verarbeitung ist grundsätzlich verboten und nur unter den eng gefassten Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig.
  * Mitgliedstaaten können für die Verarbeitung von Gesundheitsdaten zusätzliche Anforderungen festlegen (Art. 9 Abs. 4 DSGVO).
</Callout>

## 1. Überblick [#1-überblick]

Gesundheitsdaten bilden eine Unterkategorie der [personenbezogenen Daten](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.1-personenbezogene-daten) und gehören zugleich zu den besonders schutzwürdigen Informationen, die Art. 9 DSGVO einer verschärften Regelung unterwirft. Der Unionsgesetzgeber hat dem Begriff in Art. 4 Nr. 15 DSGVO eine eigenständige Definition gegeben, die durch Erwägungsgrund 35 DSGVO erheblich konkretisiert wird.

Kernmerkmal ist der doppelte Bezug: Das Datum muss sich auf die Gesundheit einer natürlichen Person beziehen **und** aus ihm muss eine Information über den Gesundheitszustand hervorgehen. Damit sind nicht nur klassische Krankenakten erfasst, sondern sämtliche Daten, aus denen sich mittelbar oder unmittelbar etwas über den körperlichen oder psychischen Zustand einer Person ableiten lässt.

## 2. Reichweite der Definition [#2-reichweite-der-definition]

### 2.1 Sachlicher Umfang [#21-sachlicher-umfang]

Erwägungsgrund 35 DSGVO listet exemplarisch auf, welche Informationen unter den Begriff fallen:

| Datenkategorie                               | Beispiele                                                                                                                                               |
| :------------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Angaben aus Gesundheitsdienstleistungen      | Anmeldedaten, Behandlungsunterlagen, Abrechnungsinformationen                                                                                           |
| Kennnummern und Symbole                      | Versicherungsnummer, Patientenkennung, Krankenversicherungskarte                                                                                        |
| Untersuchungs- und Testergebnisse            | Laborbefunde, Bildgebungsdaten, Biopsie-Ergebnisse                                                                                                      |
| Genetische und biologische Proben            | Aus Proben abgeleitete gesundheitliche Informationen (siehe auch [genetische Daten](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.13-genetische-daten)) |
| Krankheitsbezogene Angaben                   | Diagnosen, Behinderungen, Risikoprofile, Vorerkrankungen, klinische Behandlungen                                                                        |
| Physiologische und biomedizinische Parameter | Blutdruck, Puls, Blutzucker, von Medizinprodukten oder In-vitro-Diagnostika erfasste Werte                                                              |

Die Herkunft der Daten ist unerheblich: Ob sie von einem Arzt, einem Krankenhaus, einem Medizinprodukt oder einer Fitness-App stammen, ändert nichts an ihrer Einordnung als Gesundheitsdaten.

### 2.2 Zeitliche Dimension [#22-zeitliche-dimension]

Der Begriff ist nicht auf gegenwärtige Gesundheitsinformationen beschränkt. Er erfasst gleichermaßen Daten über den vergangenen Gesundheitszustand (z.B. frühere Erkrankungen, abgeschlossene Behandlungen) und Informationen über künftige Gesundheitsrisiken (z.B. genetisch bedingte Erkrankungswahrscheinlichkeiten, prädiktive Befunde).

### 2.3 Breite Auslegung in der Praxis [#23-breite-auslegung-in-der-praxis]

Der EuGH hat den Begriff konsequent weit ausgelegt. Danach erzeugt bereits die Bestellung apothekenpflichtiger, nicht verschreibungspflichtiger Arzneimittel in einem Online-Shop Gesundheitsdaten, weil aus den bestellten Produkten Rückschlüsse auf den Gesundheitszustand des Käufers möglich sind ([EuGH, Urt. v. 04.10.2024, C-21/23, Lindenapotheke](/docs/dsgvo-hub/rechtsprechung/1.4.31-eugh-lindenapotheke)). Nicht jede bloße Möglichkeit eines Gesundheitsbezugs genügt; es muss ein hinreichend konkreter Informationsgehalt über den Gesundheitszustand bestehen.

Auch Daten, die auf Social-Media-Plattformen über Nutzer gesammelt werden, können Gesundheitsdaten darstellen, wenn aus ihnen gesundheitsbezogene Schlüsse gezogen werden können. Der EuGH hat in diesem Zusammenhang klargestellt, dass der Betreiber eines sozialen Netzwerks diese Daten nicht allein deshalb verarbeiten darf, weil die betroffene Person entsprechende Informationen in einem öffentlichen Kontext geäußert hat ([EuGH, Urt. v. 04.10.2024, C-446/21, Schrems/Meta](/docs/dsgvo-hub/rechtsprechung/1.4.30-eugh-schrems-meta)).

<Callout type="warn">
  Auch von Wearables und Fitness-Apps erfasste Messwerte wie Puls, Blutdruck oder Schlafmuster sind Gesundheitsdaten, sobald sie einer identifizierbaren Person zugeordnet werden können. Anwendungen, die solche Daten verarbeiten, unterliegen damit dem Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO und benötigen einen Erlaubnistatbestand nach Art. 9 Abs. 2 DSGVO.
</Callout>

## 3. Einordnung in die DSGVO-Systematik [#3-einordnung-in-die-dsgvo-systematik]

Gesundheitsdaten sind eine der in Art. 9 Abs. 1 DSGVO enumerativ aufgezählten besonderen Kategorien personenbezogener Daten. Für sie gilt ein grundsätzliches Verarbeitungsverbot; eine Verarbeitung ist nur zulässig, wenn einer der Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO eingreift. Einschlägig im Gesundheitskontext sind insbesondere:

* die ausdrückliche Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO),
* die Verarbeitung zum Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c DSGVO),
* die Verarbeitung durch Angehörige von Gesundheitsberufen (Art. 9 Abs. 2 lit. h DSGVO) sowie
* Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i DSGVO).

Darüber hinaus eröffnet Art. 9 Abs. 4 DSGVO den Mitgliedstaaten die Möglichkeit, für Gesundheitsdaten zusätzliche Bedingungen festzulegen, was in Deutschland vor allem durch bereichsspezifische Regelungen im Sozialgesetzbuch und anderen Fachgesetzen erfolgt.

Nähere Einzelheiten zu den Zulässigkeitstatbeständen finden sich im [Überblick über die besonderen Kategorien personenbezogener Daten](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.1-sensible-datenkategorien).

<Cards>
  <Card title="Personenbezogene Daten" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.1-personenbezogene-daten" description="Art. 4 Nr. 1 DSGVO: Grundbegriff, dem Gesundheitsdaten als Unterkategorie unterfallen." />

  <Card title="Genetische Daten" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.13-genetische-daten" description="Art. 4 Nr. 13 DSGVO: Überschneidung bei aus biologischen Proben abgeleiteten Informationen." />

  <Card title="Biometrische Daten" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.14-biometrische-daten" description="Art. 4 Nr. 14 DSGVO: Weitere besondere Datenkategorie mit Körperbezug." />

  <Card title="Besondere Kategorien (Art. 9)" href="/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.1-sensible-datenkategorien" description="Überblick über Verarbeitungsverbot und Erlaubnistatbestände nach Art. 9 DSGVO." />

  <Card title="EuGH Lindenapotheke (C-21/23)" href="/docs/dsgvo-hub/rechtsprechung/1.4.31-eugh-lindenapotheke" description="Apothekenpflichtige Arzneimittelbestellungen als Gesundheitsdaten." />

  <Card title="EuGH Schrems/Meta (C-446/21)" href="/docs/dsgvo-hub/rechtsprechung/1.4.30-eugh-schrems-meta" description="Reichweite sensibler Daten bei personalisierter Werbung in sozialen Netzwerken." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.