GesetzePreiseDokuBenchmarks

§ 22 – Verarbeitung besonderer Kategorien personenbezogener Daten

BDSG · Bundesdatenschutzgesetz

(1)Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig 1.durch öffentliche und nichtöffentliche Stellen, wenn sie a)erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen,
b)zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
c)aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist; ergänzend zu den in Absatz 2 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten, oder
d)aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist,
2.durch öffentliche Stellen, wenn sie a)zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist,
b)zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist oder
c)aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist
und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen der Nummer 1 Buchstabe d und der Nummer 2 die Interessen der betroffenen Person überwiegen.
(2)In den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören: 1.technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,
2.Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
3.Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
4.Benennung einer oder eines Datenschutzbeauftragten,
5.Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
6.Pseudonymisierung personenbezogener Daten,
7.Verschlüsselung personenbezogener Daten,
8.Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
9.zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
10.spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

Quelle: Gesetze im Internet (www.gesetze-im-internet.de), gemeinfrei gem. § 5 UrhG · aktuelle Fassung

Zitierende Gerichtsentscheidungen

  • BVerwG, Urt. v. 06.03.2026 – 6 C 7.24ECLI:DE:BVerwG:2026:060326U6C7.24.0

    1. Von einer privaten Krankenversicherung angebotene Vorsorge- und Präventivprogramme wie etwa Coaching-Angebote bei Diabetes, Asthma oder Rückenleiden sind von dem Begriff der Gesundheitsvorsorge im Sinne der in Art. 9 Abs. 2 Buchst. h DSGVO geregelten Ausnahme von dem Verbot der Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 1 DSGVO) umfasst. 2. Als durch Art. 9 Abs. 2 Buchst. h DSGVO geforderte Rechtsgrundlage für die Datenverarbeitung verstößt § 22 Abs. 1 Nr. 1 Buchst. b BDSG weder gegen das unionsrechtliche Normwiederholungsverbot noch gegen Bestimmtheitsanforderungen. 3. § 22 Abs. 1 Nr. 1 Buchst. b BDSG fordert nicht, dass die mit der Verarbeitung der besonders sensiblen Daten befassten Mitarbeiter einer privaten Krankenversicherung neben § 203 Abs. 1 Nr. 7 StGB zusätzlich einer spezifisch berufsrechtlich geregelten Geheimhaltungspflicht unterliegen.

  • BGH, Urt. v. 27.03.2025 – I ZR 222/19ECLI:DE:BGH:2025:270325UIZR222.19.0

    Arzneimittelbestelldaten III Bietet ein Apotheker apothekenpflichtige Arzneimittel über die Internet-Plattform "Amazon-Marketplace" (Amazon) an und erfolgt die Bestellabwicklung dergestalt, dass im Anschluss an die Bestellung und die Übermittlung der Bestelldaten der Apotheker die Bestellung freigibt, das Arzneimittel verpackt und versendet, bringt der Apotheker und nicht Amazon das Arzneimittel im Sinne von § 43 Abs. 1 AMG in den Verkehr.

  • BGH, Urt. v. 27.03.2025 – I ZR 223/19ECLI:DE:BGH:2025:270325UIZR223.19.0

    Arzneimittelbestelldaten II 1. Bestellt ein Kunde über den Account eines Apothekers bei der Internet-Plattform "Amazon-Marketplace" (Amazon) apothekenpflichtige Medikamente, findet eine Erhebung und Verarbeitung von Gesundheitsdaten im Sinne von § 4 Abs. 1 BDSG aF statt. 2. Die Verarbeitung der Bestelldaten ohne ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 Buchst. a DSGVO stellt einen Verstoß gegen eine Marktverhaltensregelung gemäß § 3a UWG dar, für die der Apotheker gemäß § 8 Abs. 2 UWG wettbewerbsrechtlich verantwortlich ist und gegen den ein Mitbewerber im Wege der Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorgehen kann.

  • BAG, Urt. v. 21.08.2024 – 5 AZR 169/23ECLI:DE:BAG:2024:210824.U.5AZR169.23.0
  • BAG, Urt. v. 25.07.2024 – 8 AZR 225/23ECLI:DE:BAG:2024:250724.U.8AZR225.23.0

    Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.

  • BSG, Urt. v. 06.03.2024 – B 6 KA 23/22 RECLI:DE:BSG:2024:060324UB6KA2322R0

    1. Die gesetzlichen Regelungen im Quartal 1/2019 der Pflicht zur Durchführung des Versichertenstammdatenabgleichs und zur Anbindung von Vertrags(zahn)ärzten und Einrichtungen an die Telematikinfrastruktur widersprechen nicht den Vorgaben der Datenschutz-Grundverordnung (juris: EUV 2016/679). 2. Die Honorarkürzung der vertragsärztlichen Leistungen um ein Prozent im Quartal 1/2019 wegen unterbliebener Durchführung des Versichertenstammdatenabgleichs verletzt nicht die Berufsausübungsfreiheit.

  • BAG, Beschl. v. 09.05.2023 – 1 ABR 14/22ECLI:DE:BAG:2023:090523.B.1ABR14.22.0

    1. Die Aufgabe des Betriebsrats nach § 80 Abs. 1 Nr. 4 BetrVG iVm. § 176 SGB IX (juris: SGB 9 2018), die Eingliederung schwerbehinderter Menschen zu fördern, erfasst auch die Gruppe der schwerbehinderten und ihnen gleichgestellten leitenden Angestellten. 2. Soweit § 26 Abs. 1 Satz 1 BDSG (juris: BDSG 2018) vorsieht, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Erfüllung eines sich aus dem Gesetz ergebenden Rechts der Interessenvertretung der Beschäftigten erforderlich ist, stellt die Norm eine Rechtsgrundlage iSv. Art. 6 Abs. 3 iVm. Abs. 1 Unterabs. 1 Buchst. c DSGVO (juris: EUV 2016/679) dar. Der Umstand, dass § 26 Abs. 1 Satz 1 BDSG (juris: BDSG 2018) den Vorgaben der Öffnungsklausel in Art. 88 DSGVO (juris: EUV 2016/679) nicht genügt, ist insoweit unerheblich.

  • BSG, Urt. v. 20.01.2021 – B 1 KR 15/20 RECLI:DE:BSG:2021:200121UB1KR1520R0
  • BSG, Urt. v. 20.01.2021 – B 1 KR 7/20 RECLI:DE:BSG:2021:200121UB1KR720R0

    1. Die gesetzlichen Regelungen zur elektronischen Gesundheitskarte stehen in Einklang mit den Vorgaben der Datenschutz-Grundverordnung (juris: EUV 2016/679), ungeachtet der Frage, ob sie im Rahmen der gesetzlichen Krankenversicherung unmittelbar Anwendung findet, und verletzen die Versicherten weder in ihrem Grundrecht auf informationelle Selbstbestimmung noch in ihren Grundrechten nach der EU-Grundrechte-Charta (juris: EUGrdRCh). 2. Der Gesetzgeber hat mit den durch das Patientendaten-Schutz-Gesetz (PDSG) neu gefassten Regelungen des SGB V zur elektronischen Gesundheitskarte und zur Telematikinfrastruktur ausreichende Vorkehrungen zur Gewährleistung einer angemessenen Datensicherheit getroffen und ist dabei auch seiner Beobachtungs- und Nachbesserungspflicht nachgekommen. 3. Die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit der elektronischen Gesundheitskarte und der Telematikinfrastruktur ist durch die zuständigen Aufsichtsbehörden zu überwachen und können die Versicherten im Rahmen der speziellen datenschutzrechtlichen Rechtsbehelfe gerichtlich überprüfen lassen, ohne dass hierdurch die gesetzliche Obliegenheit zur Nutzung der elektronischen Gesundheitskarte und deren Verfassungsmäßigkeit tangiert werden.

  • BAG, Beschl. v. 09.04.2019 – 1 ABR 51/17ECLI:DE:BAG:2019:090419.B.1ABR51.17.0

    Umfasst ein allgemeiner Auskunftsanspruch des Betriebsrats nach § 80 Abs. 2 Satz 1 BetrVG eine besondere Kategorie personenbezogener Daten (sensitive Daten im datenschutzrechtlichen Sinn), ist Anspruchsvoraussetzung, dass der Betriebsrat zur Wahrung der Interessen der von der Datenverarbeitung betroffenen Arbeitnehmer angemessene und spezifische Schutzmaßnahmen trifft.

Diese Seite zeigt die aktuelle Fassung (Quelle: Gesetze im Internet (www.gesetze-im-internet.de), gemeinfrei gem. § 5 UrhG). Für tagesaktuelle, zitiersichere Abfragen lässt sich § 22 BDSG und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich § 22 BDSG direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.