Besondere Kategorien von Daten und gesetzliche Schutzanforderungen

Grundsätzlich hat der Arbeitgeber kein Recht, die spezifische Diagnose oder die Art der Erkrankung eines Mitarbeiters zu erfahren. Sein berechtigtes Interesse beschränkt sich auf die Information, ob der Mitarbeiter arbeitsunfähig ist und wie lange dieser Zustand voraussichtlich andauern wird. Diese Grenze ist im Arbeitsrecht streng gezogen, um Diskriminierung aufgrund von chronischen Krankheiten oder Behinderungen zu verhindern. Die einzige Ausnahme bilden Situationen, in denen die Kenntnis der Krankheit zwingend erforderlich ist, um die Sicherheit am Arbeitsplatz zu gewährleisten oder um Infektionsschutzmaßnahmen nach dem Infektionsschutzgesetz umzusetzen, was jedoch meist über den Betriebsarzt und nicht direkt über die Personalabteilung erfolgt.

In der Praxis bedeutet dies, dass bei der Einreichung einer Arbeitsunfähigkeitsbescheinigung (AU) der Teil für den Arbeitgeber keine Diagnose enthalten darf. Sollte ein Vorgesetzter dennoch Druck ausüben oder informelle Informationen über die Krankheit in der Personalakte speichern, stellt dies einen schwerwiegenden Verstoß gegen Art. 9 DSGVO dar. Unternehmen sollten ihre Führungskräfte regelmäßig darin schulen, Gespräche über Krankheiten so zu führen, dass keine unzulässigen Gesundheitsdaten erhoben werden. Ein dokumentierter Prozess für das Betriebliche Eingliederungsmanagement (BEM) ist hierbei das wichtigste Instrument, um die Fürsorgepflicht des Arbeitgebers mit den strengen Datenschutzvorgaben rechtssicher in Einklang zu bringen.

Die Freiwilligkeit der Einwilligung ist insbesondere in Abhängigkeitsverhältnissen, wie sie zwischen Arbeitgeber und Arbeitnehmer bestehen, ein kritischer Punkt. Die Aufsichtsbehörden gehen oft davon aus, dass eine Einwilligung im Arbeitsverhältnis nur in Ausnahmefällen wirklich freiwillig ist, da der Mitarbeiter Nachteile für seine Karriere befürchten könnte, wenn er die Unterschrift verweigert. Damit eine Einwilligung dennoch Bestand hat, muss sie für den Betroffenen einen echten Vorteil bringen (z. B. Teilnahme an einem optionalen Gesundheitsförderungsprogramm) und jederzeit ohne negative Konsequenzen widerrufbar sein. Zudem muss die Einwilligungserklärung grafisch hervorgehoben und sprachlich eindeutig von anderen Erklärungen getrennt sein.

Um die Rechtswirksamkeit sicherzustellen, muss das Unternehmen nachweisen können, dass der Betroffene über alle Risiken der Datenverarbeitung aufgeklärt wurde. Dies umfasst Informationen über die Empfänger der Daten, die Dauer der Speicherung und den genauen Zweck der Verarbeitung. Eine pauschale Einwilligung „für alle Gesundheitszwecke“ ist unwirksam. Stattdessen muss die Einwilligung granular gestaltet sein, sodass der Nutzer beispielsweise der Speicherung seiner Allergien für die Betriebskantine zustimmen kann, aber die Übermittlung seiner Fitnessdaten an die Versicherung ablehnt. Die Beweislast für das Vorliegen dieser Voraussetzungen liegt nach der DSGVO vollständig beim Verantwortlichen, also beim Unternehmen oder der Institution.

Obwohl die Erhebung der Religionszugehörigkeit für den Abzug der Kirchensteuer gesetzlich vorgeschrieben ist, bleibt sie ein hochsensibles Datum im Sinne von Artikel 9 DSGVO. Die Rechtsgrundlage für diese Verarbeitung findet sich in Art. 9 Abs. 2 Buchst. b) DSGVO in Verbindung mit den nationalen Steuergesetzen. Das bedeutet jedoch nicht, dass der Arbeitgeber diese Information für andere Zwecke nutzen darf. Die Information über die Kirchensteuerpflicht darf ausschließlich im Lohnabrechnungssystem verarbeitet werden und darf für Führungskräfte oder andere Abteilungen nicht sichtbar sein. Eine Zweckentfremdung, etwa bei der Auswahl von Mitarbeitern für Projekte oder bei Beförderungen, wäre ein eklatanter Rechtsverstoß.

Die technische Umsetzung erfordert hier eine strikte Zugriffskontrolle. Nur Mitarbeiter der Lohnbuchhaltung sollten Zugriff auf dieses Feld in der Datenbank haben. Sobald ein Mitarbeiter aus der Kirche austritt oder das Arbeitsverhältnis endet, müssen diese Daten gemäß den steuerlichen Aufbewahrungsfristen gesperrt und nach deren Ablauf gelöscht werden. In Streitfällen vor Arbeitsgerichten wird oft genau geprüft, ob Religionsdaten in informellen Listen außerhalb der gesicherten HR-Systeme zirkuliert sind. Die Rechtsprechung ist hier unnachgiebig, da die Offenlegung der Religionszugehörigkeit den Kernbereich der weltanschaulichen Freiheit berührt und Diskriminierungspotenzial birgt, das der Gesetzgeber unter allen Umständen verhindern will.

Anbieter von Fitness-Apps verarbeiten fast ausschließlich Gesundheitsdaten, von Herzfrequenz-Messungen bis hin zu Schlafmustern. Da diese Daten meist auf Basis einer Einwilligung verarbeitet werden, müssen die Apps extrem hohe Anforderungen an die Transparenz erfüllen. Ein bloßes „Click-wrap“-Verfahren, bei dem der Nutzer bei der Installation pauschal zustimmt, reicht für sensible Daten oft nicht aus. Es wird eine ausdrückliche Bestätigung benötigt, die den Nutzer darauf hinweist, dass seine biologischen Messwerte verarbeitet werden. Zudem müssen diese Daten durch Verschlüsselung vor unbefugtem Zugriff geschützt werden, insbesondere wenn sie auf Servern außerhalb der EU gespeichert werden (Drittlandstransfer).

Ein kritischer Punkt bei Fitness-Apps ist das sogenannte Profiling. Wenn aus den Bewegungsdaten Rückschlüsse auf Krankheiten oder Schwangerschaften gezogen werden, ohne dass der Nutzer dies explizit genehmigt hat, liegt ein massiver Verstoß vor. Anbieter müssen zudem sicherstellen, dass Daten beim Löschen des Accounts tatsächlich restlos aus allen Backups entfernt werden. Die Aufsichtsbehörden haben in den letzten Jahren mehrere Großverfahren gegen App-Entwickler eingeleitet, die Gesundheitsdaten an Werbenetzwerke weitergegeben haben. Solche Praktiken führen im Jahr 2026 zu Bußgeldern in Millionenhöhe und zum sofortigen Entzug der Betriebserlaubnis in den App-Stores, was die wirtschaftliche Existenz der Anbieter gefährden kann.

Ja, sobald ein Verein Daten über Allergien, Behinderungen oder die Sporttauglichkeit (z. B. durch ärztliche Atteste) speichert, unterliegt er den strengen Regeln von Artikel 9 DSGVO. Viele kleine Vereine unterschätzen dies und speichern solche sensiblen Informationen in einfachen Excel-Listen auf privaten Laptops der Vorstandsmitglieder. Dies stellt ein erhebliches Haftungsrisiko dar. Auch ehrenamtlich geführte Organisationen müssen gewährleisten, dass sensible Daten nur für den unmittelbaren Zweck (z. B. Sicherheit beim Training oder Teilnahme an Wettkämpfen) genutzt werden und vor dem Zugriff durch unbefugte Vereinsmitglieder geschützt sind.

Die Empfehlung für Vereine lautet, Gesundheitsdaten nur dann zu erheben, wenn es für den Sportbetrieb absolut notwendig ist. Diese Dokumente sollten verschlossen aufbewahrt oder in passwortgeschützten Dateien gespeichert werden. Zudem sollte im Aufnahmeantrag eine separate Einwilligungserklärung für diese Datenkategorie enthalten sein. Sollte ein Verein diese Daten für Versicherungszwecke an einen Verband weitergeben, muss dies dem Mitglied gegenüber offengelegt werden. Die Erfahrung zeigt, dass Mitglieder sehr sensibel reagieren, wenn Informationen über ihren Gesundheitszustand im Vereinsheim „Tratsch-Thema“ werden, was nicht selten zu Schadensersatzansprüchen gegen den Vorstand führt.

Kirchliche Krankenhäuser und soziale Einrichtungen unterliegen oft nicht der staatlichen DSGVO direkt, sondern eigenen kirchlichen Datenschutzgesetzen (z. B. dem KDG der katholischen Kirche oder dem DSG-EKD der evangelischen Kirche). Diese Gesetze sind jedoch gemäß Art. 91 DSGVO so gestaltet, dass sie das Schutzniveau der staatlichen Verordnung nicht unterschreiten dürfen. In vielen Bereichen sind sie sogar noch strenger, insbesondere was die Verschwiegenheitspflicht und die Aufsichtsstrukturen angeht. Patienten haben in diesen Einrichtungen die gleichen Rechte auf Auskunft, Berichtigung und Löschung ihrer Gesundheitsdaten wie in staatlichen Kliniken.

Der operative Ablauf in kirchlichen Einrichtungen erfordert daher eine doppelte Prüfung: Die Einhaltung des kirchlichen Rechts und die Kompatibilität mit den allgemeinen europäischen Standards. Ein wichtiger Unterschied liegt oft in der Struktur der Aufsichtsbehörden; kirchliche Einrichtungen haben ihre eigenen Datenschutzbeauftragten auf Diözesan- oder Landeskirchenebene. Für die Patienten bedeutet dies, dass sie sich bei Beschwerden an spezialisierte kirchliche Aufsichtsorgane wenden können. Die technische Sicherung der Patientendaten (elektronische Patientenakte) folgt jedoch den gleichen IT-Sicherheitsstandards wie im restlichen Gesundheitswesen, um die Interoperabilität und den Schutz vor Cyberangriffen zu gewährleisten.

Der Einsatz von Fingerabdruckscannern oder Gesichtserkennung zur Zeiterfassung ist ein hochumstrittenes Thema. Da biometrische Daten eindeutige Identifikatoren sind, fallen sie unter Artikel 9. Die Rechtsprechung ist hier sehr restriktiv: Ein Arbeitgeber darf diese Technologie nur einsetzen, wenn es keine weniger einschneidenden Mittel gibt, die den gleichen Zweck erfüllen (Verhältnismäßigkeitsprinzip). Da eine Zeiterfassung auch problemlos mit Chipkarten oder PIN-Codes möglich ist, wird die Erforderlichkeit von biometrischen Daten für diesen Zweck meist verneint, es sei denn, es handelt sich um Hochsicherheitsbereiche, in denen eine Identitätstäuschung ausgeschlossen werden muss.

Unternehmen, die dennoch Biometrie einführen wollen, benötigen entweder eine Kollektivvereinbarung (Betriebsvereinbarung) oder die ausdrückliche, freiwillige Einwilligung jedes einzelnen Mitarbeiters. Selbst mit Einwilligung bleibt das Risiko bestehen, dass ein Gericht die Verarbeitung als unverhältnismäßig einstuft. Technisch sollte in solchen Fällen niemals der eigentliche Fingerabdruck gespeichert werden, sondern lediglich ein mathematischer Hash-Wert (Template), aus dem das Bild des Fingers nicht rekonstruiert werden kann. Die Durchführung einer Datenschutz-Folgenabschätzung ist hier absolut zwingend und muss dokumentieren, warum die gewählte Methode trotz der hohen Risiken für die Persönlichkeitsrechte gewählt wurde.

Bei einem Unternehmenskauf (M&A) sind Gesundheits- und Religionsdaten besonders kritische Posten in der Due Diligence. Der Käufer darf diese Daten nicht ohne Weiteres übernehmen, da der ursprüngliche Zweck der Erhebung meist an das spezifische Arbeitsverhältnis mit dem Alt-Inhaber gebunden war. Insbesondere wenn sensible Daten in Datenräumen zur Prüfung bereitgestellt werden, müssen diese zwingend anonymisiert sein. Eine Offenlegung von Klarnamen und Diagnosen gegenüber dem potenziellen Käufer wäre ein massiver Datenschutzverstoß, der schon vor dem Abschluss des Deals zu behördlichen Strafen führen kann.

Nach dem Vollzug der Fusion müssen die Betroffenen gemäß Art. 13 oder 14 DSGVO über den neuen Verantwortlichen informiert werden. Wenn der neue Eigentümer die Daten für andere Zwecke nutzen will, benötigt er in der Regel neue Einwilligungen. Ein besonderes Problem stellt die Integration von IT-Systemen dar. Wenn sensible Daten aus einem gut gesicherten System in ein weniger geschütztes System des Käufers migriert werden, liegt eine Verletzung der Datensicherheit vor. Die Planung der Datenmigration muss daher Teil der DSFA sein, um sicherzustellen, dass das Schutzniveau für Gesundheitsdaten über den gesamten Transaktionsprozess hinweg stabil bleibt.

Fotos, auf denen Personen bei der Ausübung ihrer Religion (z. B. Gebet, Prozession, Gottesdienst) zu sehen sind, können als Religionsdaten eingestuft werden, da sie eine eindeutige Zuordnung zur Glaubensgemeinschaft ermöglichen. Die Veröffentlichung solcher Bilder auf Webseiten oder in sozialen Medien erfordert daher eine sorgfältige Abwägung. Während bei öffentlichen Großveranstaltungen oft die Panoramafreiheit oder berechtigte Interessen greifen, ist bei kleineren, intimen religiösen Feiern fast immer eine ausdrückliche Einwilligung der abgebildeten Personen erforderlich. Dies gilt insbesondere für Kinder, deren Daten einen noch höheren Schutz genießen.

Religionsgemeinschaften sollten für solche Veröffentlichungen klare Richtlinien aufstellen. In der Einwilligungserklärung muss explizit darauf hingewiesen werden, dass die Bilder weltweit abrufbar sind und eine Löschung nach der Verbreitung im Internet nur schwer möglich ist. Sollte eine Person ihre Einwilligung widerrufen, muss das Bild umgehend entfernt oder die Person unkenntlich gemacht werden. In der Praxis hat sich bewährt, bei Veranstaltungen „fotofreie Zonen“ einzurichten oder Fotografen deutlich zu kennzeichnen, damit Personen, die nicht erkannt werden möchten, die Möglichkeit haben, sich dem Medium zu entziehen, ohne von der religiösen Praxis ausgeschlossen zu werden.

Die ärztliche oder seelsorgliche Schweigepflicht (§ 203 StGB) besteht unabhängig von der DSGVO fort und ist oft noch strenger. Während die DSGVO die Datenverarbeitung regelt, schützt die Schweigepflicht das Vertrauensverhältnis zwischen Berufsgeheimnisträgern und ihren Klienten. Ein Verstoß gegen die Schweigepflicht ist strafbar und kann neben Bußgeldern auch zu Freiheitsstrafen führen. Für medizinisches Personal oder Geistliche bedeutet dies, dass sie auch dann schweigen müssen, wenn die DSGVO eine Datenübermittlung (z. B. auf Basis eines berechtigten Interesses) theoretisch zulassen würde, sofern keine ausdrückliche Entbindung von der Schweigepflicht vorliegt.

In der IT-Umsetzung führt dies dazu, dass Systeme so konzipiert sein müssen, dass sie das Berufsgeheimnis technisch abbilden. Dies bedeutet beispielsweise, dass IT-Administratoren eines Krankenhauses zwar die Datenbank warten dürfen, aber keinen Einblick in die medizinischen Freitexte der Patientenakten haben dürfen (administrative Trennung). Jede Übermittlung von sensiblen Daten an Dritte (z. B. Abrechnungszentren) erfordert eine rechtssichere Grundlage in beiden Rechtsbereichen – dem Datenschutzrecht und dem Strafrecht. Die Harmonisierung dieser Pflichten ist eine der komplexesten Aufgaben für Compliance-Abteilungen im Gesundheits- und Sozialwesen.