Zuletzt aktualisiert am 7. April 2026

Zusammenfassung: Der Tätigkeitsbericht des Bundesdatenschutzbeauftragten mahnt zu einem verantwortungsvollen Umgang mit Gesundheitsdaten. Die während der Pandemie etablierten Praktiken dürfen nicht zur Normalität werden. Unternehmen, die Gesundheitsdaten verarbeiten, müssen besondere Schutzmaßnahmen treffen und die Einhaltung der strengen Anforderungen des Art. 9 DSGVO kontinuierlich sicherstellen.

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat nun seinen Tätigkeitsbericht für 2021 vorgestellt. Insbesondere warnte er hierin vor dem zu leichten Umgang mit Gesundheitsdaten durch die Entwicklungen der Corona-Pandemie.

Gesetzliche Regelung zur Verarbeitung von Gesundheitsdaten wie Impfstatus

Zunächst stellt der Bundesdatenschutzbeauftragte fest, dass es in Anbetracht der Corona-Pandemie notwendig ist, gesetzliche Regelungen zur Verarbeitung von Gesundheitsdaten wie Impf- und Genesenenstatus oder Testergebnis festzulegen. Leitfaden ist dabei der Art. 9 II DSGVO. Auch in der Privatwirtschaft müssen die Anforderungen der DSGVO eingehalten werden.

Ist keine solche gesetzliche Grundlage vorhanden, kommt als Rechtfertigungstatbestand zur Verarbeitung dieser Daten nur noch die Einwilligung des Betroffenen in Betracht. Besonders in Beschäftigungsverhältnissen ergeben sich im Rahmen dieser wegen des Machtungleichgewichts bei der Freiwilligkeit Probleme. Gesetzliche Regelungen würden hier Rechtsklarheit, Rechtssicherheit und Einheitlichkeit schaffen.

Der Bundesdatenschutzbeauftragte Ulrich Kelber will für dieses Ziel weiterhin die beteiligten Bundesministerien beraten und auf eine gesetzliche Regelung hinwirken.

Gesundheitsdaten dürfen keine Eintrittskarten werden

Viele Maßnahmen der Pandemiebekämpfung haben bewirkt, dass Gesundheitsdaten quasi zu Eintrittskarten geworden sind. Die Kontrolle von Gesundheitsdaten wie Impf- und Genesenenstatus oder Testergebnis stellt eine Verarbeitung von Gesundheitsdaten dar und ist gemäß Art. 9 DSGVO nur unter besonderen Voraussetzungen und besonderen Schutzmaßnahmen für Betroffene zulässig.

Der Bundesdatenschutzbeauftragte kritisiert hierbei insbesondere, dass er bei den Entscheidungen zu den entsprechenden Verordnungen nicht beteiligt wurde. Außerdem sei in der Begründung zu den Entwürfen nicht auf Art. 9 DSGVO eingegangen worden. Positiv hebt er aber hervor, dass digitale Lösungen zum Nachweis die Risiken teilweise mildern. Er fordert, dass es zusätzlich eine „flankierende Maßgabe zur Wahrung der Vertraulichkeit durch die Kontrollierenden“ hätte geben müssen.

Auch wenn die Pandemielage als solche eine Ausnahmesituation im Sinne von Art. 9 II DSGVO darstellen könne, fehle doch der Hinweis darauf. Außerdem bestünde die Gefahr, dass der leichte Umgang mit Gesundheitsdaten infolgedessen immer häufiger werde.

Umgang mit Gesundheitsdaten in Testzentren

Das Fortschreiten der Pandemie hat auch dazu geführt, dass die vielerorts benötigten Tests nicht mehr nur durch Ärzte oder zumindest unter deren Aufsicht durchgeführt werden. Werden Gesundheitsdaten von dritten Teststellen verarbeitet, sind die Betroffenen zunächst nicht mehr durch die berufliche Schweigepflicht geschützt gewesen. Der Bundesdatenschutzbeauftragte sah hier eine Lücke, die es zu schließen galt. Schließlich verarbeiten die Testanbieter nicht nur Name, Adresse und die durch den Test erlangten Gesundheitsdaten, sondern besteht bei einem positiven Test auch die Pflicht zur Meldung an das zuständige Gesundheitsamt. Dabei ist nicht bekannt, inwiefern alle Testzentren auch datenschutzkonform arbeiten, zumal es bereits einige Pannen gab.

Erst auf einen Hinweis des Bundesdatenschutzbeauftragten hin im November 2021 wurden auch die Teststellen zur Verschwiegenheit verpflichtet.

Überprüfung von Gesundheitsdaten am Arbeitsplatz

Ebenfalls zur Pandemiebekämpfung dienend wurden zum Teil Regelungen wie 3G am Arbeitsplatz eingeführt. Auch hierbei kam es zu einer Verarbeitung von Gesundheitsdaten im großen Stil. Arbeitgebern kam plötzlich eine große und verantwortungsschwere Aufgabe zu. Von ihnen ist sorgfältig zu prüfen, welche Datenerhebung wann erforderlich ist und wie die Verarbeitung und Speicherung vorzunehmen ist. Hierbei sind viele grundsätzliche datenschutzrechtliche Prinzipien zu beachten. Die Speicherung ist bei einer Sichtkontrolle vor Zutritt am Arbeitsplatz beispielsweise regelmäßig nicht notwendig. Ansonsten sind auch diese Daten zu löschen, sobald ihr Zweck entfallen ist, was nicht unbedingt erst nach der maximalen Speicherfrist von sechs Monaten (§ 28b III 9 IfSG) der Fall ist.

Die Erfahrungen aus dieser Zeit haben gezeigt, dass eine sorgfältige und vorausschauende Datenschutzstrategie auch in Krisensituationen wichtig ist. Unternehmen, die bereits vor der Pandemie über funktionierende Datenschutzstrukturen verfügten, konnten die neuen Anforderungen deutlich schneller und rechtssicherer umsetzen als solche, die erstmals mit der systematischen Verarbeitung von Gesundheitsdaten konfrontiert waren.

Konfrontiert wurde man hier auch mit dem Problem, dass Impfnachweise, die nie als fälschungssichere Ausweise entworfen wurden, plötzlich genau diese Funktion übernahmen und es deshalb schnell Fälschungen gab.

Fazit

Auch wenn die Verarbeitung personenbezogener Daten in Form von Gesundheitsdaten in der Pandemie deutlich häufiger notwendig ist, Die strikte Einhaltung der Grundsätze der Datensparsamkeit, Zweckbindung und Speicherbegrenzung ist bei der Verarbeitung von Gesundheitsdaten besonders wichtig. mahnt der Bundesdatenschutzbeauftragte zur Vorsicht. Ein zu leichter Umgang mit Gesundheitsdaten würde einem Grundgedanken der DSGVO zuwiderlaufen. Insbesondere fordert er, dass Gesundheitsdaten nicht langfristig zur „Eintrittskarte“ werden dürfen.

Entwicklungen seit dem Tätigkeitsbericht 2021

Seit der Veröffentlichung des Tätigkeitsberichts 2021 hat sich die Lage beim Umgang mit Gesundheitsdaten weiterentwickelt. Mit dem Ende der akuten Pandemiephase sind viele der temporären Regelungen zur Verarbeitung von Impf- und Genesenenstatus ausgelaufen. Die grundsätzlichen datenschutzrechtlichen Fragestellungen bleiben jedoch relevant — insbesondere im Hinblick auf die zunehmende Digitalisierung des Gesundheitswesens.

Die Einführung der elektronischen Patientenakte (ePA), die seit 2025 für alle gesetzlich Versicherten im Opt-out-Verfahren eingerichtet wird, hat die Diskussion um den Schutz von Gesundheitsdaten erneut angefacht. Die zentrale digitale Speicherung sensibler Gesundheitsinformationen erfordert höchste Sicherheitsstandards und eine sorgfältige Abwägung zwischen dem Nutzen der Digitalisierung und dem Schutz der Privatsphäre.

Gesundheitsdaten im Beschäftigungskontext nach der Pandemie

Die während der Pandemie etablierten Praktiken zur Verarbeitung von Gesundheitsdaten am Arbeitsplatz haben Spuren hinterlassen. Viele Arbeitgeber haben während der Pandemie erstmals in größerem Umfang Gesundheitsdaten ihrer Beschäftigten verarbeitet. Nach dem Wegfall der gesetzlichen Grundlagen für die Verarbeitung von Impf- und Genesenenstatus sind diese Daten unverzüglich zu löschen gewesen.

Der Bundesdatenschutzbeauftragte hat in seinen nachfolgenden Berichten wiederholt darauf hingewiesen, dass die während der Pandemie gesammelten Gesundheitsdaten nicht für andere Zwecke weiterverwendet werden dürfen. Der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO gilt uneingeschränkt. Unternehmen, die pandemiebedingt erhobene Gesundheitsdaten ihrer Beschäftigten nicht fristgerecht gelöscht haben, riskieren empfindliche Bußgelder.

Empfehlungen für den Umgang mit Gesundheitsdaten im Unternehmen

Unternehmen sollten ihre internen Prozesse zum Umgang mit Gesundheitsdaten regelmäßig überprüfen und an die aktuelle Rechtslage anpassen. Folgende Grundsätze sollten dabei beachtet werden:

Erstens gilt der Grundsatz der Datenminimierung: Gesundheitsdaten sollten nur dann erhoben werden, wenn dies gesetzlich vorgeschrieben oder für einen konkreten, legitimen Zweck zwingend erforderlich ist. Zweitens muss die Verarbeitung von Gesundheitsdaten immer auf einer tragfähigen Rechtsgrundlage basieren — eine bloße Einwilligung ist im Beschäftigungskontext aufgrund des Machtungleichgewichts oft nicht ausreichend. Drittens sind besondere technische und organisatorische Schutzmaßnahmen zu ergreifen, etwa die verschlüsselte Speicherung, strenge Zugangsbeschränkungen und ein dokumentiertes Löschkonzept.

Datenschutz in der zunehmenden Digitalisierung des Gesundheitswesens

Die Digitalisierung des Gesundheitswesens schreitet mit hohem Tempo voran. Neben der elektronischen Patientenakte treiben auch Telemedizin, Gesundheits-Apps, digitale Gesundheitsanwendungen (DiGA) und KI-gestützte Diagnostik die Verarbeitung von Gesundheitsdaten in bisher ungekanntem Ausmaß voran. Jede dieser Anwendungen muss den strengen Anforderungen des Art. 9 DSGVO genügen.

Besondere Aufmerksamkeit verdient dabei der Einsatz von künstlicher Intelligenz in der Medizin. KI-Systeme, die auf Basis großer Datensätze trainiert werden, verarbeiten zwangsläufig personenbezogene Gesundheitsdaten. Die europäische KI-Verordnung (AI Act) klassifiziert KI-Systeme im Gesundheitsbereich als Hochrisiko-Systeme und stellt besondere Anforderungen an deren Transparenz, Nachvollziehbarkeit und menschliche Aufsicht.

Für Unternehmen im Gesundheitsbereich bedeutet dies, dass sie nicht nur die Anforderungen der DSGVO, sondern zunehmend auch die des AI Act und branchenspezifischer Regelungen wie dem Digitale-Versorgung-Gesetz (DVG) berücksichtigen müssen. Die Komplexität dieser regulatorischen Landschaft macht eine kontinuierliche fachliche Begleitung durch Datenschutzexperten wichtig.

Auch im Bereich der Forschung mit Gesundheitsdaten hat der Bundesdatenschutzbeauftragte Stellung bezogen. Die Nutzung von Gesundheitsdaten für wissenschaftliche Forschungszwecke ist unter bestimmten Voraussetzungen nach Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 BDSG zulässig. Dabei müssen jedoch angemessene Schutzmaßnahmen getroffen werden, insbesondere die Pseudonymisierung oder Anonymisierung der Daten, soweit der Forschungszweck dies zulässt. Der Spagat zwischen dem gesellschaftlichen Interesse an medizinischer Forschung und dem individuellen Recht auf den Schutz sensibler Gesundheitsdaten bleibt eine der zentralen Herausforderungen der Datenschutzpraxis.

Ein besonderes Augenmerk liegt auch auf dem grenzüberschreitenden Austausch von Gesundheitsdaten im Rahmen des geplanten europäischen Gesundheitsdatenraums (European Health Data Space, EHDS). Dieses Vorhaben der Europäischen Kommission soll den Austausch von Gesundheitsdaten zwischen den Mitgliedstaaten erleichtern und gleichzeitig hohe Datenschutzstandards gewährleisten. Die endgültige Ausgestaltung der Verordnung wird maßgeblichen Einfluss auf den künftigen Umgang mit Gesundheitsdaten in Europa haben.

Der Bundesdatenschutzbeauftragte hat wiederholt betont, dass Innovation und Datenschutz kein Widerspruch sein müssen. Eine datenschutzfreundliche Gestaltung von Anfang an (Privacy by Design) kann sogar das Vertrauen der Patienten und Nutzer stärken und damit die Akzeptanz digitaler Gesundheitslösungen fördern.

Die Bestellung eines fachkundigen externen Datenschutzbeauftragten kann Unternehmen dabei unterstützen, diese Anforderungen systematisch umzusetzen und gleichzeitig die Sensibilisierung der Mitarbeiter für den sorgsamen Umgang mit Gesundheitsdaten zu fördern.

Die besondere Rolle des Datenschutzbeauftragten im Gesundheitsbereich

Im Gesundheitsbereich kommt dem Datenschutzbeauftragten eine besonders wichtige Rolle zu. Er muss nicht nur über fundierte Kenntnisse des allgemeinen Datenschutzrechts verfügen, sondern auch die spezifischen Regelungen des Gesundheitsdatenschutzes kennen — von der ärztlichen Schweigepflicht über die Anforderungen der Telematikinfrastruktur bis hin zu den Besonderheiten bei klinischen Studien und Forschungsvorhaben. Gerade in diesem hochregulierten Bereich bietet ein externer Datenschutzbeauftragter mit Branchenerfahrung erhebliche Vorteile, da er bewährte Prozesse und Lösungsansätze aus vergleichbaren Einrichtungen einbringen kann und durch seine Spezialisierung laufend auf dem aktuellen Stand der rechtlichen und technischen Entwicklungen ist.

Sie haben Fragen zum Datenschutz in Ihrem Unternehmen? Unser Team an Experten steht Ihnen gerne zur Seite!