Die Verarbeitung von Gesundheitsdaten einer natürlichen Person ist grundsätzlich nach Art. 9 Abs. 1 DSGVO untersagt. Dies gilt auch für die Verarbeitung personenbezogener Daten, aus denen beispielsweise die rassische/ethnische Herkunft oder politische Meinungen hervorgehen, sowie u.a. für die Verarbeitung von genetischen Daten und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person.

Von diesem Verbot ausgenommen werden nach Art. 9 Abs. 2 DSGVO die folgenden Fälle:

  • ausdrückliche Einwilligung des Betroffenen,
  • arbeits-/sozialrechtliche Rechte/Pflichten,
  • Schutz lebenswichtiger Interessen,
  • Verarbeitung aufgrund geeigneter Garantien durch politisch, weltanschaulich, religiös, gewerkschaftlich ausgerichtete Stiftung, Vereinigung, sonstige Organisation ohne Gewinnerzielungsabsicht,
  • Betroffener hat Daten offensichtlich öffentlich bekannt gemacht,
  • Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte,
  • erhebliches öffentliches Interesse,
  • Gesundheitsvorsorge oder Arbeitsmedizin, für Beurteilung der Arbeitsfähigkeit, für medizinische Diagnostik, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich von Berufsgeheimnisträgern bzw. gesetzliche Geheimhaltungspflicht,
  • öffentliche Gesundheit, wie u.a. dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten,
  • öffentliches Interesse: Archivzwecke.

In jedem Fall ist eine Verarbeitung von Gesundheitsdaten nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist. Zudem müssen bei der Verarbeitung in Anlehnung an § 48 Abs. 2 BDSG geeignete Garantien für den Betroffenen vorgesehen sein. Dies können insbesondere die folgenden Garantien sein:

  • spezifische Anforderungen an Datensicherheit oder Datenschutzkontrolle,
  • Festlegung von besonderen Aussonderungsprüffristen,
  • Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
  • Zugangsbeschränkung zu personenbezogenen Daten innerhalb der verantwortlichen Stelle,
  • von anderen Daten getrennte Verarbeitung,
  • Pseudonymisierung personenbezogener Daten,
  • Verschlüsselung personenbezogener Daten,
  • spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.