Gesundheitsdatenschutz 2026: Zwischen EuGH, EHDS, Forschung, KI und Betroffenenrechten

Gesundheitsdaten: Was ist das eigentlich?

Am Anfang vieler Folgefragen steht folgende Grundfrage: Was genau sind eigentlich Gesundheitsdaten? Rechtlich ist der Ausgangspunkt Art. 4 Nr. 15 DSGVO. Danach sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und Informationen über deren Gesundheitszustand offenbaren.

In der Rechtsprechung zeigt sich jedoch, dass dieser Begriff weit verstanden wird. Gesundheitsdaten sind nicht nur klassische medizinische Informationen wie Diagnosen, Befunde oder Laborwerte. Erfasst sein können auch Daten, aus denen sich durch Zuordnung, Vergleich oder Schlussfolgerung etwas über den Gesundheitszustand einer Person ableiten lässt. Das zeigt die aktuelle EuGH-Linie. Der Gerichtshof versteht Gesundheitsdaten wie dargestellt; entscheidend ist nicht nur, wie medizinisch eine Angabe auf den ersten Blick erscheint, sondern ob sie im konkreten Kontext Rückschlüsse auf Gesundheit zulässt. Das kann etwa im digitalen Gesundheitsmarkt schon dann relevant werden, wenn Bestell-, Nutzungs- oder Kontextdaten mit Arzneimitteln, Therapien oder medizinischen Leistungen verknüpft sind.

Damit steigt die praktische Reichweite des Begriffs erheblich. Daran schließt sich unmittelbar die Frage an, wann Daten noch personenbezogen sind und wann sie ihren Personenzug verlieren.

Anonymisierung: Wann sind Daten wirklich anonym?

Wo der Begriff der Gesundheitsdaten weit gezogen wird, gewinnt die Abgrenzung zwischen personenbezogenen, pseudonymisierten und anonymen Daten besondere Bedeutung. Denn davon hängt ab, ob die DSGVO anwendbar ist. Für eine Anonymisierung ist entscheidend, ob eine Person mit vernünftigerweise einsetzbaren Mitteln noch identifiziert werden kann.

Gerade im Gesundheitsbereich ist diese Abgrenzung besonders komplex. Gesundheitsdatensätze sind häufig sehr informationsreich. Diagnosen, Behandlungsverläufe, Zeitpunkte, seltene Erkrankungen oder die Verknüpfbarkeit mit anderen Datensätzen können dazu führen, dass Re-Identifizierungsrisiken auch dann bestehen, wenn Namen oder direkte Identifikatoren entfernt wurden.

Die Diskussion ist inzwischen auch gesetzgeberisch abgebildet. Die Europäische Kommission versucht im Rahmen des Digital Omnibus, die unionsrechtliche Linie zum Personenbezug aufzugreifen und in der DSGVO-Definition personenbezogener Daten nachzuzeichnen. Die Datenschutzaufsicht warnt davor, dass aus einer Klarstellung eine ungewollte Verengung des Personenbezugs werden könnte.

Gerade diese Abgrenzung ist auch für das rechtliche Teilen von Daten von zentraler Bedeutung.

Daten teilen im Allgemeininteresse: Data Governance Act und Datentreuhand

Mit dem Data Governance Act war die Hoffnung verbunden, neue vertrauensbasierte Strukturen für das Teilen von Daten zu schaffen. Wenn sensible Daten weder schrankenlos freigegeben noch vollständig blockiert werden sollen, braucht es Modelle, die kontrollierte und legitime Datennutzung ermöglichen.

Der DGA setzt dabei vor allem auf zwei Ideen: auf Datenvermittlungsdienste als neutrale Intermediäre und auf Datenaltruismusorganisationen, über die Daten freiwillig für Zwecke von allgemeinem Interesse bereitgestellt werden können. In der Debatte werden solche Modelle oft unter dem Schlagwort „Datentreuhand“ zusammengefasst.

Allerdings zeigt sich in der Praxis bislang ein eher ernüchterndes Bild. Gerade der Datenaltruismus hat bislang keinen sichtbaren Durchbruch erlebt. Die Zahl an anerkannten altruistischen Datenorganisationen bleibt gering, und auch im Gesundheitsbereich sind noch keine breit etablierten Strukturen entstanden, die das Teilen sensibler Daten in großem Umfang tragen würden.

Diese Zurückhaltung bleibt auf europäischer Ebene nicht ohne Reaktion. Die Kommission schlägt inzwischen vor, die DGA-Architektur deutlich zu entschlacken: weniger regulatorische Lasten, mehr Flexibilität, stärkere Integration in andere Datenrechtsakte. Dahinter steht offenbar die Annahme, dass die ursprüngliche Regulierungsstruktur zu schwerfällig war, um einen tragfähigen Markt oder belastbare Gemeinwohlmodelle hervorzubringen.

Nicht mehr nur die Frage, ob vertrauenswürdige Datenteilung sinnvoll ist, steht im Raum, sondern auch, wie stark die dazugehörigen Modelle reguliert sein müssen, damit sie sowohl funktionsfähig als auch vertrauenswürdig bleiben.

ePA, Forschung und Sekundärnutzung

Kaum ein Bereich zeigt deutlicher als die ePA, wie stark sich das Gesundheitsdatenschutzrecht derzeit von einer bloßen Verbots- und Erlaubnisstruktur hin zu einer Infrastruktur- und Governancefrage entwickelt. Die elektronische Patientenakte ist neben einem Instrument zur Versorgung zugleich eine potenzielle Datenquelle für Forschung, Qualitätssicherung und andere Formen der Sekundärnutzung.

Damit rückt auch das Forschungsprivileg der DSGVO in den Vordergrund. Die DSGVO kennt besondere Regelungen für Forschung. Sie eröffnet die Verarbeitung sensibler Daten zu Forschungszwecken unter bestimmten Bedingungen und versieht sie mit Schutzmechanismen.

In Deutschland spielt dabei das Gesundheitsdatennutzungsgesetz eine Schlüsselrolle. Es baut Strukturen auf, die Gesundheitsdaten besser für gemeinwohlorientierte Zwecke zugänglich machen sollen, etwa über das Forschungsdatenzentrum Gesundheit und über koordinierte Zugangsverfahren. Hinzu kommt die ePA mit Opt-out-Elementen, die zeigt, dass das System zunehmend mit gesetzlich strukturierten Nutzungsmodellen arbeitet.

Auf europäischer Ebene wird diese Entwicklung durch den EHDS aufgegriffen und verstärkt. Der europäische Gesundheitsdatenraum will nicht nur Primärnutzung in der Versorgung erleichtern, sondern auch die Sekundärnutzung von Gesundheitsdaten für Forschung, Innovation, Regulierung und Politikgestaltung in geordnete Bahnen lenken.

Damit entsteht schrittweise ein mehrstufiges Regime: Die DSGVO liefert die datenschutzrechtlichen Leitplanken, das nationale Recht organisiert den Zugang, und der EHDS europäisiert den Datenraum und möchte ein europäisches Netz für die Daten aufbauen. Weitere Vorhaben wie das Forschungsdatengesetz oder das Medizinregistergesetz deuten an, dass diese Architektur noch verdichtet werden soll. Damit rücken auch die Infrastrukturen in den Blick, in denen diese Daten verarbeitet werden.

Sozialdaten und Cloud im Gesundheitswesen

Neben dem allgemeinen Datenschutzrecht greifen hier auch sozialrechtliche Spezialregeln. Das gilt insbesondere dort, wo Gesundheitsdaten zugleich als Sozialdaten verarbeitet werden, etwa im Kontext von Krankenkassen, Pflegekassen oder sozialrechtlich eingebundener Versorgung.

Besonders deutlich wird das bei der Verarbeitung in Cloud-Umgebungen. Mit den einschlägigen SGB-Regelungen, insbesondere § 393 SGB V, hat der Gesetzgeber den Cloud-Einsatz im Gesundheitswesen nicht einfach allgemein freigegeben, sondern an besondere IT-sicherheitsrechtliche Anforderungen geknüpft. Cloud-Nutzung wird damit als eigenständiges Regulierungsproblem behandelt. Für Leistungserbringer bedeutet das: Wer Gesundheits- oder Sozialdaten in cloudbasierten Infrastrukturen verarbeiten will, muss nicht nur die DSGVO und die Regeln zur Auftragsverarbeitung beachten, sondern zusätzlich sozialrechtliche Spezialvorgaben und formalisierte Sicherheitsanforderungen erfüllen. Gerade die C5-Nachweise zeigen, dass der Gesetzgeber hier einen stark standardisierten Sicherheitsrahmen etablieren will. Je sensibler die Daten, desto größer das Bedürfnis nach nachweisbaren Sicherheitsgarantien. Zugleich erhöht sich dadurch die regulatorische Komplexität für die Praxis erheblich.

KI im Gesundheitssektor: Datenschutzfragen der nächsten Welle

Datenschutzrechtlich beginnt die Prüfung mit einer einfachen, aber folgenreichen Feststellung: Gesundheitsdaten bleiben auch im KI-Kontext besondere Kategorien personenbezogener Daten. Das bedeutet, dass ihre Nutzung für Training, Feintuning, Einsatz oder Weiterentwicklung von KI-Systemen nicht schon deshalb zulässig ist, weil sie technisch nützlich oder wirtschaftlich attraktiv erscheint.

Vielmehr braucht es für jeden Verarbeitungsschritt eine tragfähige Rechtsgrundlage. Sobald Gesundheitsdaten betroffen sind, reicht die allgemeine Prüfung nach Art. 6 DSGVO nicht aus; zusätzlich muss eine Ausnahme nach Art. 9 DSGVO tragen.

Besonders komplex wird es bei KI as a Service. Werden Patientendaten in externe cloudbasierte KI-Dienste eingepflegt, stellen sich sofort Fragen nach Rollenverteilung, Zweckbindung, Auftragsverarbeitung, Sicherheitsarchitektur und möglicher Weiterverwendung durch den Anbieter. Parallel dazu wächst mit dem AI Act ein weiteres Normregime heran, das viele KI-Systeme im Gesundheitsbereich zusätzlich als Hochrisikosysteme reguliert. Datenschutzrecht und KI-Regulierung greifen ineinander und verschärfen gemeinsam die Anforderungen.

Betroffenenrechte unter Druck

Mit der wachsenden Komplexität der Gesundheitsdatenverarbeitung steigt auch die Bedeutung der Betroffenenrechte. Sie sind das zentrale Gegengewicht zu immer weiter ausgebauten Nutzungs-, Zugangs- und Auswertungsregimen.

Besonders wichtig bleibt das Auskunftsrecht. Gerade im Gesundheitsbereich entscheidet es oft darüber, ob Betroffene überhaupt nachvollziehen können, welche Daten über sie verarbeitet werden, in welchem Zusammenhang dies geschieht und an wen sie weitergegeben wurden. Die neuere EuGH-Rechtsprechung stärkt dieses Recht eher: Die erste Kopie medizinischer Unterlagen ist grundsätzlich kostenlos, Gründe für das Auskunftsverlangen müssen nicht genannt werden, und die Auskunft muss so erteilt werden, dass die betroffene Person die Verarbeitung tatsächlich verstehen und überprüfen kann. Medizinische Daten sind oft über verschiedene Systeme verteilt, in fachlich komplexe Dokumentationszusammenhänge eingebettet und Gegenstand mehrerer Nutzungszusammenhänge gleichzeitig.

Zugleich zeigen aktuelle europäische Erkenntnisse, dass die praktische Umsetzung des Auskunftsrechts vielfach noch defizitär ist. Das Problem liegt also heute häufig nicht im Fehlen des Rechts, sondern in seiner tatsächlichen Handhabung.

Neben dem Auskunftsrecht bleiben auch Berichtigung, Löschung, Einschränkung und Widerspruch bedeutsam. Ohne wirksame Transparenz laufen diese Rechte jedoch leicht leer. Gerade im Gesundheitsbereich entscheidet sich daher an den Betroffenenrechten, ob die zunehmende Datennutzung noch als kontrollierbar wahrgenommen wird.

Darin spiegeln sich zugleich mehrere Grundfragen des gesamten Gesundheitsdatenrechts.

Querschnittsthemen und Leitfragen

Wer die einzelnen Entwicklungen zusammennimmt, erkennt schnell, dass der Gesundheitsdatenschutz heute als echtes Mehrebenensystem verstanden werden muss. Die DSGVO bildet weiterhin die Grundarchitektur. Daneben konkretisiert sektorspezifisches nationales Recht viele Fragen der Verarbeitung, Nutzung und Infrastruktur. Zugleich tritt mit EHDS, DGA, Data Act, AI Act und Digital Omnibus eine neue EU-Datenregulierung hinzu, die den Schwerpunkt zunehmend auf Zugang, Interoperabilität, Sekundärnutzung und Governance legt.

Gerade daraus ergeben sich die wiederkehrenden Grundprobleme, die alle Themen des Beitrags miteinander verbinden. Da sind zunächst die Begriffsabgrenzungen: Was sind Gesundheitsdaten, wann sind Daten anonym, wie verhalten sich Gesundheitsdaten, Sozialdaten und Forschungsdaten zueinander? Daran schließen Fragen der Datenteilung an: Unter welchen Bedingungen sollen sensible Daten im Allgemeininteresse nutzbar gemacht werden? Unmittelbar damit verbunden ist die Problematik der Zweckänderung: Daten werden häufig für Versorgung erhoben, sollen später aber für Forschung, Qualitätssicherung oder KI weiterverwendet werden.

Schließlich rückt Governance immer stärker in den Vordergrund. Immer öfter geht es nicht nur darum, ob Daten verarbeitet werden dürfen, sondern auch darum, welche Stellen Zugang vermitteln, welche Verfahren gelten, welche Infrastrukturen Datenflüsse organisieren und unter welchen Sicherungen dies geschieht.

Fazit

Das Gesundheitsdatenrecht gehört derzeit zu den dynamischsten Feldern des Datenschutzrechts. Das gilt nicht nur für klassische Datenschutzfragen, sondern ebenso für neue Zugangs- und Governance-Strukturen, für Sekundärnutzung, für Cloud-Verarbeitung, für KI-Systeme und für die praktische Durchsetzung von Betroffenenrechten. An kaum einem anderen Bereich zeigt sich derzeit deutlicher, wie Grundrechtsschutz, Forschungsinteresse, Innovationsdruck und regulatorische Steuerung miteinander verflochten sind.

Führt diese Verdichtung zu mehr Rechtssicherheit für Praxis und Forschung — oder vor allem zu neuer Komplexität? Viel spricht dafür, dass beides zugleich geschieht. Die Regeln werden präziser, institutionalisierter und europäisch anschlussfähiger; zugleich steigen aber die Anforderungen an Einordnung, Governance und rechtskonforme Umsetzung.