Zum Inhalt springen

Art. 9 DSGVO: Gesundheitsdaten auf der Website richtig einordnen

2026-04-28

Art. 9 DSGVO: Gesundheitsdaten auf der Website richtig einordnen
7 Min. Lesezeit EN RechtDSGVOGesundheitArztpraxenDatenschutz

Eine Arztpraxis bietet ein Kontaktformular an und fragt nach Beschwerden. Eine Psychotherapie-Praxis bittet um eine kurze Schilderung der Situation. Eine Apotheke nimmt online Fragen zu Medikamenten entgegen. In solchen Fällen geht es nicht mehr nur um Name und E-Mail-Adresse. Es kann um Gesundheitsdaten nach Art. 9 DSGVO gehen.

Was der Paragraph regelt

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Art. 9 DSGVO beginnt mit einem Verbot. Bestimmte Daten sind so sensibel, dass sie nicht wie normale Kontakt- oder Adressdaten behandelt werden dürfen. Dazu gehören Gesundheitsdaten. Das können sehr direkte Angaben sein, etwa eine Diagnose, ein Medikament, eine Behandlung, ein Therapieanliegen oder ein Befund. Es können aber auch indirekte Angaben sein, wenn sie Rückschlüsse auf den Gesundheitszustand zulassen.

Wichtig ist: Art. 9 DSGVO ersetzt nicht Art. 6 DSGVO. Nach der Orientierung der Datenschutzkonferenz braucht eine Verarbeitung besonderer Kategorien regelmäßig beides: eine Grundlage nach Art. 6 DSGVO und zusätzlich eine Ausnahme nach Art. 9 Abs. 2 DSGVO. Für normale Menschen bedeutet das: Ein Kontaktformular mit Gesundheitsbezug ist nicht einfach nur ein Kontaktformular mit längerem Textfeld.

Die DSGVO kennt Ausnahmen vom Verbot. Dazu gehören etwa ausdrückliche Einwilligung, medizinische Diagnose, Gesundheitsversorgung, soziale Versorgung, öffentliches Interesse im Bereich der öffentlichen Gesundheit oder wissenschaftliche Forschung. Welche Ausnahme passt, hängt stark vom konkreten Zweck, vom Verantwortlichen und von den Schutzmaßnahmen ab.

Wer ist betroffen

Art. 9 DSGVO ist immer dann relevant, wenn eine Website Informationen erhebt, übermittelt oder strukturiert, die einen Gesundheitsbezug haben können. In unserer Zielgruppe betrifft das vor allem diese Bereiche:

Nicht jede Website in diesen Branchen verarbeitet automatisch Gesundheitsdaten. Eine reine Leistungsseite mit Telefonnummer, Öffnungszeiten und statischem Text ist anders zu bewerten als ein Formular, das Beschwerden, Diagnosen oder Dateien abfragt. Entscheidend ist die konkrete Funktion.

Typische Anwendungsfälle

Bei Arzt- und Zahnarztpraxen ist der Grenzbereich besonders schnell erreicht. Ein Feld wie “Ihre Nachricht” kann harmlos sein, wenn Patientinnen nur nach Öffnungszeiten fragen. Es kann aber Gesundheitsdaten enthalten, sobald dort Beschwerden, Medikamente, Befunde oder Behandlungswünsche beschrieben werden. Die Website sollte deshalb nicht unnötig dazu einladen, sensible Details in ein allgemeines Formular zu schreiben.

Bei Hausarztpraxen kommen oft Rezeptwünsche und Überweisungsanfragen hinzu. Schon die Information, dass eine bestimmte Person ein bestimmtes Medikament benötigt, kann einen Gesundheitsbezug haben. Für eine einfache Website ist deshalb ein klarer, datensparsamer Kontaktweg oft besser als ein umfangreiches medizinisches Formular, das alle Angaben direkt auf der Website sammelt.

Psychotherapie-Praxen und Heilpraktiker arbeiten häufig mit sensiblen Lebenssituationen. Ein Erstkontaktformular kann schnell Angaben zu psychischer Belastung, Diagnosen, familiären Umständen oder Behandlungszielen enthalten. Hier ist Zurückhaltung besonders wichtig: Die Website kann erklären, wie der Erstkontakt abläuft, muss aber nicht alle Details schon im Formular erfassen.

Bei Physiotherapie und Ergotherapie geht es oft um Beschwerden, ärztliche Verordnungen, Unfallfolgen oder Einschränkungen im Alltag. Auch das sind nicht einfach normale Servicedaten. Wenn ein Formular nur einen Rückrufwunsch sammelt, ist das weniger eingriffsintensiv als ein Formular, das Diagnose, Rezeptfoto und ausführliche Krankengeschichte abfragt.

Apotheken haben einen anderen Schwerpunkt. Sie verkaufen und beraten, bewegen sich aber ebenfalls in einem sensiblen Umfeld. Eine Anfrage zu Verfügbarkeit eines Produkts kann unproblematisch sein. Eine Frage zu Medikamenten, Schwangerschaft, chronischen Beschwerden oder Wechselwirkungen kann dagegen sehr schnell Gesundheitsdaten berühren.

Ausnahmen und Bagatellgrenzen

Art. 9 DSGVO enthält keine einfache Bagatellgrenze nach dem Motto: “ein bisschen Gesundheitsbezug ist egal”. Der praktische Unterschied liegt eher darin, ob überhaupt Gesundheitsdaten verarbeitet werden, ob die Verarbeitung notwendig ist und welche Ausnahme aus Art. 9 Abs. 2 DSGVO in Betracht kommt.

Häufig wird an Einwilligung gedacht. Eine ausdrückliche Einwilligung kann eine Rolle spielen, ist aber kein Allheilmittel. Sie muss informiert, freiwillig, spezifisch und nachweisbar sein. Außerdem bleibt die Frage, ob die Website die Daten überhaupt erheben muss. Datenschutz beginnt nicht erst bei der Checkbox, sondern bei der Entscheidung, welche Felder es gibt.

Für medizinische Versorgung kann Art. 9 Abs. 2 Buchstabe h DSGVO relevant sein. In Deutschland ergänzt § 22 BDSG diesen Rahmen und nennt unter anderem Gesundheitsvorsorge, medizinische Diagnostik, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich. Zugleich verlangt § 22 BDSG angemessene und spezifische Schutzmaßnahmen, zum Beispiel Zugangsbeschränkungen, Verschlüsselung, Pseudonymisierung oder Verfahren zur Überprüfung der technischen Maßnahmen.

Eine Datenschutz-Folgenabschätzung wird nicht bei jeder kleinen Website automatisch nötig. Die BfDI weist aber darauf hin, dass Art. 35 DSGVO sie verlangt, wenn eine Verarbeitung voraussichtlich ein hohes Risiko mit sich bringt. Die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten ist ausdrücklich ein typischer Fall. Für kleine Praxis-Websites ist deshalb die Frage wichtig, ob die Website wirklich Gesundheitsdaten in größerem Umfang selbst verarbeiten soll.

Konsequenzen bei Verstößen

Verstöße bei Gesundheitsdaten wiegen schwerer als viele normale Website-Fehler. Es geht nicht nur um einen unvollständigen Hinweistext, sondern um besonders schutzbedürftige Informationen. Mögliche Folgen sind Beschwerden bei Aufsichtsbehörden, Anordnungen zur Änderung von Prozessen, Bußgelder, Vertrauensverlust und zusätzlicher Abstimmungsaufwand mit Datenschutzberatung oder Kammer.

Für kleine Praxen ist der Vertrauensschaden oft besonders relevant. Patientinnen und Patienten erwarten gerade bei Gesundheitsfragen Zurückhaltung. Wenn eine Website sensible Daten zu offen abfragt, unsicher überträgt oder unklar erklärt, was damit passiert, wirkt das nicht professionell.

Praktische Umsetzung auf der Website

Für die Website-Struktur ist Datensparsamkeit der wichtigste Ausgangspunkt. Ein Kontaktformular muss nicht medizinische Details sammeln, wenn ein Rückruf genügt. Ein Terminwunsch muss nicht zwingend eine Diagnose abfragen. Eine Rezept- oder Befundanfrage sollte nicht nebenbei in einem allgemeinen Kontaktformular landen, wenn dafür ein Fachsystem oder ein anderer abgesicherter Prozess sinnvoller ist.

Wir strukturieren solche Websites an den Vorgaben von Art. 9 DSGVO ausgerichtet: klare Trennung zwischen allgemeinem Kontakt und sensiblen Anliegen, sparsame Formularfelder, deutliche Hinweise zur Nutzung des Formulars, sichere Übermittlung und keine dauerhafte Speicherung sensibler Inhalte auf unseren Systemen. Für echte Buchungs-, Videosprechstunden- oder Patientenportal-Workflows verweisen wir auf geeignete Fachsysteme oder binden vorhandene Anbieter nur als Widget oder Link ein.

Die Grenze bleibt wichtig: Wir entscheiden nicht, welche Rechtsgrundlage für Ihre konkrete Verarbeitung gilt. Wir bauen die Website so, dass sensible Daten nicht unnötig entstehen und dass die technischen Bausteine zu einer datensparsamen Struktur passen. Die rechtliche Einordnung des konkreten Formulars, Fachsystems oder Praxisprozesses klären Sie mit Datenschutzberatung, Kammer oder Datenschutzbeauftragten.

Häufige Fragen

Sind Gesundheitsdaten nur Diagnosen?

Nein. Auch Angaben zu Symptomen, Medikamenten, Behandlungen, Einschränkungen oder Therapieanliegen können Gesundheitsdaten sein, wenn sie Rückschlüsse auf den Gesundheitszustand zulassen.

Ist ein normales Kontaktformular in einer Praxis verboten?

Nicht automatisch. Entscheidend ist, was abgefragt wird, wozu das Formular auffordert und wie die Eingaben verarbeitet werden. Ein Rückrufformular mit wenigen Feldern ist anders zu bewerten als ein Formular mit Diagnose, Befund-Upload und Krankengeschichte.

Reicht eine Checkbox mit Einwilligung?

Eine Checkbox allein löst das Problem nicht. Zuerst muss geklärt werden, ob die Daten wirklich nötig sind, welche Grundlage passt und welche Schutzmaßnahmen erforderlich sind.

Sollten Gesundheitsdaten in einer Website-Datenbank gespeichert werden?

Für kleine Praxis-Websites ist Zurückhaltung sinnvoll. Oft ist es besser, sensible Inhalte gar nicht dauerhaft auf der Website-Infrastruktur zu speichern und stattdessen Fachsysteme oder direkte Praxisprozesse zu nutzen.

Wann wird eine Datenschutz-Folgenabschätzung wichtig?

Sie wird wichtig, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko hat. Die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten ist ein typischer Auslöser.

Wer sollte die konkrete Lösung prüfen?

Für verbindliche Aussagen sind Datenschutzbeauftragte, Datenschutzaufsichtsbehörden, Kammern oder qualifizierte Rechtsberatung zuständig. Die Website sollte datensparsam strukturiert sein, aber keine Einzelfall-Prüfung ersetzen.

Quellen

Hinweis: Für die Inhalte externer Links sind ausschließlich deren jeweilige Anbieter oder Betreiber verantwortlich.

  1. [1]
    GDPR.info : "Art. 9 GDPR - Processing of special categories of personal data"
    https://gdpr-info.eu/art-9-gdpr/
  2. [2]
    European Data Protection Board : "Article 9 (Processing of special categories of personal data)"
    https://www.edpb.europa.eu/gdpr-articles/article-9-processing-special-categories-personal-data_en
  3. [3]
    Gesetze im Internet / BMJ : "§ 22 BDSG - Verarbeitung besonderer Kategorien personenbezogener Daten"
    https://www.gesetze-im-internet.de/bdsg_2018/__22.html
  4. [4]
    Datenschutzkonferenz / ULD : "Kurzpapier Nr. 17: Besondere Kategorien personenbezogener Daten"
    https://www.datenschutzzentrum.de/artikel/1216-Kurzpapier-Nr.-17-Besondere-Kategorien-personenbezogener-Daten.html
  5. [5]
    BfDI : "Datenschutz-Folgenabschätzungen und Listen von Verarbeitungsvorgängen"
    https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutz-Folgenabschaetzungen.html
  6. [6]
    Information Commissioner's Office : "Special category data"
    https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/a-guide-to-lawful-basis/special-category-data/
  7. [7]
    European Data Protection Board : "Guidelines 03/2020 on the processing of data concerning health for scientific research"
    https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_en
  8. [8]
    European Data Protection Board : "Health"
    https://www.edpb.europa.eu/our-work-tools/our-documents/topic/health_en

Weiterlesen

§ 312j BGB: Wann Online-Bestellungen verbindlich werden

§ 312j BGB: Wann Online-Bestellungen verbindlich werden

2026-04-29

§ 4 PAngV: Wann Sie online Grundpreise angeben müssen

§ 4 PAngV: Wann Sie online Grundpreise angeben müssen

2026-04-24

Rechtssicher online: Was Ihre Website wirklich braucht

Rechtssicher online: Was Ihre Website wirklich braucht

2026-02-18

Kommentare

Noch keine Kommentare vorhanden.

Schreiben Sie den ersten Kommentar!

Kommentar schreiben

Um einen Kommentar zu verfassen, aktivieren Sie bitte die Kommentarfunktion in Ihren Datenschutz-Einstellungen.