Sensible Gesundheitsdaten in der Praxis verarbeiten – was ist erlaubt?

Eine Patientin bittet darum, ihre aktuellen Laborwerte per E-Mail zu erhalten. Schnell ist klar: Es geht um hochsensible Informationen, die nicht wie gewöhnliche Kontaktdaten behandelt werden dürfen. Doch darf die Praxis diese Daten überhaupt ohne besondere Absicherung übermitteln? Bevor gehandelt wird, muss eindeutig feststehen, ob und unter welchen Bedingungen eine Verarbeitung zulässig ist.

Solche Situationen gehören zum Praxisalltag – sei es bei neuen Diagnoseverfahren, der Zusammenarbeit mit externen Laboren oder der Nutzung von Gesundheits-Apps. Immer wieder stellt sich die Frage, ob besondere Kategorien personenbezogener Daten verarbeitet werden dürfen. Unsere Schritt-für-Schritt-Anleitung bietet Ihnen eine klare Orientierung – rechtlich fundiert, verständlich erklärt und praxisnah aufbereitet nach den Vorgaben der DSGVO und der Arbeitshilfe.

Ein Ärztin sitzt mit Praxismitarbeiterinnen an einem Tisch (Bildquelle: KI-Modell Gemini 3)
Bei besonders sensiblen Patientendaten ist eine klare Abstimmung wichtig. Schritt-für-Schritt-Anleitungen helfen dabei, die rechtlichen Anforderungen sicher umzusetzen.

Warum besondere Kategorien von Daten besonders schutzbedürftig sind

Gesundheitsdaten zählen zu den sensibelsten Informationen, die eine Arztpraxis verarbeitet. Die DSGVO ordnet sie den „besonderen Kategorien personenbezogener Daten“ zu – in einer Gruppe mit genetischen, biometrischen oder weltanschaulich geprägten Angaben.

Im medizinischen Alltag betrifft das eine Vielzahl an Informationen: Diagnosen, Laborwerte, Medikationspläne oder Therapieempfehlungen. Diese Daten sind nicht nur für die Behandlung wichtig, sondern berühren zugleich höchst persönliche Lebensbereiche Ihrer Patienten.

Definition
Besondere Kategorien personenbezogener Daten sind u. a. Gesundheitsdaten, genetische und biometrische Angaben sowie Informationen über religiöse, politische oder sexuelle Orientierung.

Die Verarbeitung dieser Daten ist grundsätzlich untersagt. Erlaubt ist sie nur dann, wenn eine ausdrücklich geregelte Ausnahme greift. Dieses Prinzip – „Verbot mit Erlaubnisvorbehalt“ – stellt sicher, dass sensible Informationen nur unter klar definierten Bedingungen gespeichert, weitergegeben oder ausgewertet werden.

Wann ist die Verarbeitung rechtlich erlaubt?

Für Arztpraxen gilt: Die Verarbeitung sensibler Gesundheitsdaten ist nur in genau definierten Fällen zulässig. Entscheidend ist, dass eine klare Ausnahme greift, die den besonderen Schutz dieser Daten berücksichtigt. Ohne eine solche Grundlage darf keine Speicherung, Weitergabe oder Auswertung erfolgen.

Warnung
Fehlt eine passende Rechtsgrundlage, gilt die Verarbeitung automatisch als unzulässig – mit hohem Risiko für Beanstandungen und Bußgelder.

Typische Konstellationen, in denen die Verarbeitung erlaubt ist, sind zum Beispiel:

  • Ausdrückliche Einwilligung – etwa bei der Veröffentlichung von Patientenfotos auf der Website.
  • Medizinische Erforderlichkeit – wenn Befunde für Diagnose oder Therapie zwingend verarbeitet werden müssen.
  • Gesetzliche Pflichten – z. B. bei Abrechnungsunterlagen gegenüber Krankenkassen oder bei Meldepflichten nach Infektionsschutzgesetz.

Wichtig ist: Die Rechtsgrundlage muss immer zum konkreten Einzelfall passen. Es reicht nicht, pauschal auf „medizinische Gründe“ oder „gesetzliche Vorgaben“ zu verweisen. Jede Praxis sollte dokumentieren, welche Grundlage in welcher Situation genutzt wird – und diese Entscheidung nachvollziehbar begründen können.

Einwilligung als Rechtsgrundlage – aber nicht immer zulässig

In vielen Praxen wird die Einwilligung reflexartig genutzt, weil sie als sicherster Weg erscheint. Doch nicht immer ist sie die passende Lösung. Eine Einwilligung ist nur dann wirksam, wenn sie freiwillig, informiert, eindeutig, widerruflich und zweckgebunden erfolgt. Besonders in Abhängigkeitsverhältnissen – etwa bei Mitarbeitenden oder pflegebedürftigen Patienten – ist die Freiwilligkeit oft schwer nachweisbar.

Warnung
Eine Einwilligung darf nicht als „Allzwecklösung“ eingesetzt werden. Prüfen Sie zuerst, ob gesetzliche Pflichten oder medizinische Erforderlichkeit die bessere Grundlage darstellen.

Hinzu kommt: In bestimmten Bereichen ist eine Einwilligung gar nicht zulässig – etwa wenn eine gesetzliche Pflicht greift oder das öffentliche Interesse Vorrang hat. Ein Beispiel: Die Meldung von Infektionskrankheiten darf nicht von einer Einwilligung abhängig gemacht werden.

Häufige Fehler entstehen durch unklare oder unvollständig dokumentierte Einwilligungen. Fehlt die eindeutige Zweckangabe oder eine klare Widerrufsmöglichkeit, ist die Erklärung im Ernstfall unwirksam. Praxisnah gilt deshalb: Nur dort einsetzen, wo sie wirklich erforderlich ist – und immer sauber dokumentieren.

Verarbeitung ohne Einwilligung – wann sie erlaubt ist

In vielen Fällen ist eine Einwilligung nicht erforderlich, weil andere Rechtsgrundlagen greifen. Das ist insbesondere dann der Fall, wenn die Datenverarbeitung einem gesetzlich anerkannten Zweck dient – in der Regel der Erfüllung des Behandlungsvertrags, aber auch etwa im Rahmen medizinischer Notfallversorgung, bei arbeitsrechtlichen Verpflichtungen oder zur Gefahrenabwehr.

Typische Beispiele sind:

  • medizinische Zwecke wie Diagnostik, Behandlung oder Versorgung
  • arbeitsrechtliche oder sozialschutzbezogene Pflichten
  • lebenswichtige Interessen – z. B. bei Notfällen ohne Einwilligungsfähigkeit
  • Rechtsansprüche und deren Verteidigung
  • öffentliches Interesse im Gesundheitswesen – etwa bei Seuchenbekämpfung
  • Forschung, Statistik und Archivzwecke – unter bestimmten Schutzvorgaben

Entscheidend ist dabei: Die Datenverarbeitung muss zweckgebunden, verhältnismäßig und durch geeignete Schutzmaßnahmen abgesichert sein. Dazu zählen technische Vorkehrungen (z. B. Verschlüsselung), organisatorische Maßnahmen (z. B. Berechtigungskonzepte) oder auch vertragliche Regelungen wie Vertraulichkeitsvereinbarungen.

Definition
Eine Verarbeitung ohne Einwilligung ist zulässig, wenn sie gesetzlich erlaubt ist und der konkrete Zweck die besondere Verarbeitung rechtfertigt.

Besondere Aufmerksamkeit erfordern Konstellationen, in denen externe Partner oder digitale Systeme eingebunden sind – etwa Laborpraxen, KI-gestützte Tools oder Apps. Hier muss die gewählte Rechtsgrundlage klar dokumentiert und konkret nachvollziehbar sein – für interne Nachweise ebenso wie gegenüber Behörden oder Patienten.

Praxisbeispiel
Ein klassisches Praxisbeispiel ist die Notfallversorgung eines bewusstlosen Patienten: Auch ohne Einwilligung dürfen relevante Gesundheitsdaten an den Rettungsdienst weitergegeben werden, da dies lebenswichtige Interessen schützt.

Öffentliche Stellen: Besondere Prüfpflichten beachten

Arztpraxen in öffentlicher Trägerschaft – etwa kommunale MVZ oder Hochschulambulanzen – unterliegen verschärften Datenschutzvorgaben. Für sie gelten nicht nur die allgemeinen Regeln der DSGVO, sondern auch nationale Bestimmungen wie das Bundesdatenschutzgesetz oder landesrechtliche Regelungen. Das bedeutet: Jede Verarbeitung sensibler Gesundheitsdaten muss noch genauer begründet und dokumentiert werden.

Erlaubt ist die Verarbeitung nur dann, wenn sie einem klaren öffentlichen Auftrag dient – zum Beispiel der Gefahrenabwehr, der Umsetzung von Vorsorgeprogrammen oder dem Gemeinwohl. Besonders wichtig ist dabei eine nachvollziehbare Interessenabwägung: Die Vorteile für die öffentliche Aufgabe müssen die Risiken für die betroffene Person eindeutig überwiegen.

Warnung
Öffentliche Einrichtungen dürfen sich nicht auf allgemeine Formulierungen wie „im Interesse der Patientenversorgung“ stützen. Jede Verarbeitung muss mit Zweck, Umfang und Schutzmaßnahmen präzise belegt sein.

Praxisnah bedeutet das: Wenn eine kommunale Praxis Daten im Rahmen eines Impfprogramms an das Gesundheitsamt weitergibt, muss dokumentiert werden, auf welcher Rechtsgrundlage dies geschieht und welche Schutzvorkehrungen gelten. Ergänzende Maßnahmen wie Zugriffsrechte nur für bestimmte Mitarbeitende oder die Pflicht zur Pseudonymisierung erhöhen die Rechtssicherheit. Für Leitungsteams in öffentlichen Einrichtungen gilt daher: Transparente Entscheidungsfindung und schriftliche Nachweise sind unverzichtbar.

So prüfen Sie es in Ihrer Praxis

Ob eine Verarbeitung sensibler Daten zulässig ist, lässt sich mit einem einfachen Schema klären. Statt Gesetzestexte zu studieren, folgen Sie einer klaren Ja/Nein-Logik und sehen sofort, ob Sie auf der sicheren Seite sind. Der Entscheidungsbaum führt Sie Schritt für Schritt durch die typischen Situationen im Praxisalltag – schnell, eindeutig und ohne Umwege.

Besondere Kategorien von Daten prüfen

  • Checkliste mit klaren Ja/Nein-Fragen
  • Mit verständlichen Erläuterungen
  • Geeignet zur Nachweisführung

Jetzt bestellen

Schritt-für-Schritt-Anleitung: „Besondere Kategorien von Daten prüfen“

Die Arbeitshilfe „Besondere Kategorien von Daten prüfen“ unterstützt Sie gezielt bei der praktischen Umsetzung.

  • Klar entscheiden: Sie sehen sofort, ob die Datenverarbeitung erlaubt ist.
  • Fehler vermeiden: Sie prüfen jede Situation mit einer einfachen Ja/Nein-Logik.
  • Zeit sparen: Sie klären die Frage ohne langes Suchen oder Rückfragen.
  • Mehr Sicherheit: Sie handeln im Team einheitlich und wissen, wie Sie begründen können.
  • Direkt nutzen: Sie setzen den Entscheidungsbaum ohne Vorbereitung in Ihrer Praxis ein.
Vorschaubild der Arbeitshilfe „Besondere Kategorien von Daten prüfen“

Kompletten Artikel & Vorlage jetzt freischalten –
für Datenschutz, der in der Praxis funktioniert

  • Vollzugriff auf den gesamten Fachartikel inklusive konkreter Umsetzungstipps
  • Download der passenden Arbeitshilfe zur direkten Nutzung in Ihrer Praxis
  • Zugang zu allen praxiserprobten Vorlagen – Checklisten, Formulare, Anleitungen
Jetzt freischalten & Vorlage herunterladen