Gesundheitsdatenschutz 2026: Zwischen EuGH, EHDS, Forschung, KI und Betroffenenrechten

Gesundheitsdaten: Was ist das eigentlich?

Am Anfang vieler Projekte steht die Frage: Fallen die Daten, die wir verarbeiten, unter das Verarbeitungsverbot von Art. 9 Abs. 1 DSGVO? Was genau sind eigentlich Gesundheitsdaten? Ausgangspunkt bei der Beantwortung dieser Fragen ist Art. 4 Nr. 15 DSGVO. Danach sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und Informationen über deren Gesundheitszustand offenbaren.

Der EuGH versteht diese Definition weit. Gesundheitsdaten sind daher nicht nur „klassische“ medizinische Informationen wie etwa Diagnosen, Befunde oder Laborwerte. Erfasst sein können sämtliche Daten, aus denen sich beispielsweise durch Zuordnung, Vergleich oder Schlussfolgerung etwas über den Gesundheitszustand einer Person ableiten lässt. Maßgeblich ist im konkreten Fall, ob ein Datum im individuellen Verarbeitungskontext Rückschlüsse auf die Gesundheit einer natürlichen Person zulässt. Das kann zum Teil schon dann der Fall sein, wenn Bestell-, Nutzungs- oder Kontextdaten mit Arzneimitteln, Therapien oder medizinischen Leistungen verknüpft werden – und zwar auch dann, wenn diese auf Vorrat oder für Dritte bestellt oder genutzt werden. Damit steigt die praktische Relevanz des Verarbeitungsverbots erheblich – und der Bedarf für einen entsprechenden Ausnahmetatbestand.

Anonymisierung: Wann sind Daten wirklich anonym?

Wo der Begriff der Gesundheitsdaten weit gezogen wird, gewinnt die Abgrenzung zwischen personenbezogenen, pseudonymisierten und anonymen Daten besondere Bedeutung. Denn davon hängt ab, ob die DSGVO im Einzelfall anwendbar ist.

Maßgeblich für die Beurteilung der Zuverlässigkeit einer Anonymisierung ist, ob eine Person unter Einsatz vernünftigerweise verfügbarer Mittel noch identifiziert werden kann. Gerade im Gesundheitsbereich ist diese Abgrenzung besonders komplex. Denn Gesundheitsdatensätze sind häufig sehr informationsreich. Diagnosen, Behandlungsverläufe, MRT- oder CT-Aufnahmen, seltene Erkrankungen oder die Verknüpfbarkeit mit anderen Datensätzen können dazu führen, dass Re-Identifizierungsmöglichkeiten weiterbestehen, wenn Namen oder andere direkte Identifikatoren entfernt wurden.

In diesem Zusammenhang sind zwei Entwicklungen besonders relevant:

Zum einen hat der EuGH Ende 2025 klargestellt, dass Daten, die für eine Stelle (z. B. für einen verantwortliches Krankenhaus) personenbezogen sind, für einen Empfänger (z. B. für ein datenverarbeitendes Labor) anonym sein können. Entscheidend ist jedoch, dass das Risiko einer Identifizierung de facto unbedeutend ist, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, weil sie z. B. einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde.

Zum anderen hat die Europäische Kommission im Rahmen des Digitalomnibus vorgeschlagen, die Legaldefinition des Personenbezugs noch einmal enger zu fassen.

Für Verantwortliche ist es zentral, diese Entwicklungen engmaschig zu verfolgen, da sie bereits heute Auswirkungen bspw. auf das Dienstleistermanagement und die Vertragsgestaltung haben. Das betrifft neben datenverarbeitenden Gesundeinheitseinrichtungen, die Daten an Fremdlabore zur Auswertung geben, vor allem auch die Hersteller von Arzneimitteln oder Medizinprodukten, die klinische Prüfungen durchführen oder arbeitsteilig (Gesundheits-)Daten verarbeiten.

ePA, Forschung und Sekundärnutzung

Die ePA verdeutlicht wie kaum ein anderes Beispiel, dass die Digitalisierung des Gesundheitswesens in Deutschland an Dynamik gewinnt. Sie ist nicht nur ein Instrument der Versorgung, sondern zugleich eine potenzielle Datenquelle für Forschung, Qualitätssicherung und weitere Formen der Sekundärnutzung.

Damit rückt auch das Forschungsprivileg der DSGVO in den Vordergrund. Die DSGVO kennt besondere Regelungen für Forschung. Sie eröffnet die Verarbeitung sensibler Daten zu Forschungszwecken unter bestimmten Bedingungen und versieht sie mit Schutzmechanismen.

In Deutschland spielt dabei das Gesundheitsdatennutzungsgesetz eine Schlüsselrolle. Es baut Strukturen und Prozesse auf, die Gesundheitsdaten besser für gemeinwohlorientierte Zwecke zugänglich machen sollen, etwa über das Forschungsdatenzentrum Gesundheit und koordinierte Zugangsverfahren.

Auf europäischer Ebene wird diese Entwicklung durch den EHDS verstärkt. Die entsprechende Verordnung nicht nur die grenzüberschreitende Primärnutzung erleichtern, sondern auch die Sekundärnutzung von Gesundheitsdaten für Forschung, Innovation, Regulierung und Politikgestaltung rechtssicher strukturieren.

KI im Gesundheitssektor: Datenschutzfragen der nächsten Welle

Gesundheitsdaten bleiben auch im KI-Kontext besondere Kategorien personenbezogener Daten. Das bedeutet, dass ihre Nutzung für Training, Feintuning, Einsatz oder Weiterentwicklung von KI-Systemen nicht schon deshalb zulässig ist, weil sie technisch nützlich oder wirtschaftlich attraktiv erscheint. Vielmehr braucht es für jeden Verarbeitungsschritt eine tragfähige Rechtsgrundlage. Sobald Gesundheitsdaten betroffen sind, reicht die allgemeine Prüfung nach Art. 6 DSGVO nicht aus; zusätzlich muss eine Ausnahme nach Art. 9 DSGVO einschlägig sein.

Besonders komplex wird es bei AI-as-a-Service. Werden Patientendaten in externe cloudbasierte KI-Dienste eingepflegt, stellen sich sofort Fragen nach Rollenverteilung, Zweckbindung, Auftragsverarbeitung, Sicherheitsarchitektur und möglicher Weiterverwendung durch den Anbieter. Parallel dazu wächst mit dem AI Act ein weiteres Normregime heran, das viele KI-Systeme im Gesundheitsbereich zusätzlich als Hochrisikosysteme reguliert. Datenschutzrecht und KI-Regulierung greifen hier ineinander und verschärfen gemeinsam die Anforderungen.

Betroffenenrechte unter Druck

Mit der wachsenden Komplexität der Gesundheitsdatenverarbeitung steigt auch die Bedeutung der Betroffenenrechte. Sie sind das zentrale Gegengewicht zu immer weiter ausgebauten Nutzungs-, Zugangs- und Auswertungsregimen.

Besonders wichtig bleibt das Auskunftsrecht. Gerade im Gesundheitsbereich entscheidet es oft darüber, ob Betroffene überhaupt nachvollziehen können, welche Daten über sie verarbeitet werden, in welchem Zusammenhang dies geschieht und an wen sie weitergegeben wurden. Die neuere EuGH-Rechtsprechung stärkt dieses Recht eher: Die erste Kopie medizinischer Unterlagen ist grundsätzlich kostenlos, Gründe für das Auskunftsverlangen müssen nicht genannt werden, und die Auskunft muss so erteilt werden, dass die betroffene Person die Verarbeitung tatsächlich verstehen und überprüfen kann. Medizinische Daten sind oft über verschiedene Systeme verteilt, in fachlich komplexe Dokumentationszusammenhänge eingebettet und Gegenstand mehrerer Nutzungszusammenhänge gleichzeitig.

Neben dem Auskunftsrecht bleiben auch Berichtigung, Löschung, Einschränkung und Widerspruch bedeutsam. Ohne wirksame Transparenz laufen diese Rechte jedoch leicht leer. Gerade im Gesundheitsbereich entscheidet sich daher an den Betroffenenrechten, ob die zunehmende Datennutzung noch als kontrollierbar wahrgenommen wird.

Sozialdaten und Cloud im Gesundheitswesen

Mit dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens hat der Gesetzgeber den Cloud-Einsatz im Gesundheitswesen an besondere IT-sicherheitsrechtliche Anforderungen geknüpft (§ 393 SGB V). Für Leistungserbringer bedeutet das: Wer Gesundheits- oder Sozialdaten in cloudbasierten Infrastrukturen verarbeiten will, muss nicht nur die DSGVO und die Regeln zur Auftragsverarbeitung beachten, sondern zusätzlich sozialrechtliche Spezialvorgaben und formalisierte Sicherheitsanforderungen erfüllen. Je sensibler die Daten, desto größer das Bedürfnis nach nachweisbaren Sicherheitsgarantien. Zugleich erhöht sich dadurch die regulatorische Komplexität für die Praxis erheblich.

Fazit

Der Gesundheitsdatenschutz wandelt sich von einem primär verbotsorientierten Schutzregime zu einem komplexen, mehrstufigen Steuerungsrahmen. Für die Praxis bedeutet das eine Verschiebung der Prüfungslogik: Im Vordergrund steht nicht mehr allein die Frage der Zulässigkeit einzelner Verarbeitungen, sondern die rechtssichere Ausgestaltung von Datenzugang, Interoperabilität, Sekundärnutzung und Governance-Strukturen. Insgesamt erhöht sich die regulatorische Dichte erheblich. Immer öfter geht es nicht nur darum, ob Daten überhaupt verarbeitet werden dürfen, sondern darum, welche Stellen Zugang vermitteln, welche Verfahren einzuhalten sind und welche Maßnahmen getroffen werden müssen.