Alle Systeme betriebsbereit · 99,98% Verfügbarkeit
← Alle Beiträge
DSGVO11 Min. · 17.06.2026

Gesundheitsdaten im Fahrdienst: Was Art. 9 DSGVO wirklich verlangt

Diagnosen, Verordnungen, Fahrtziele — warum WhatsApp-Gruppen ein Bußgeldrisiko sind und was stattdessen gilt.

Ein Fahrdienst verarbeitet mehr sensible Daten, als den meisten Betrieben bewusst ist. Schon die simple Information „Herr M. fährt dienstags zur Dialyse" verrät eine Diagnose. Ein Fahrtziel wie „Onkologisches Zentrum" ebenso. Und die Verordnung Muster 4 enthält medizinische Angaben im Klartext. All das fällt unter Artikel 9 der DSGVO — die besonderen Kategorien personenbezogener Daten. Für diese Daten gelten strengere Regeln als für Name und Adresse. Wer sie nicht kennt, riskiert Bußgelder, die einen kleinen Betrieb ernsthaft treffen können.

Warum Fahrdaten Gesundheitsdaten sind

Artikel 9 Absatz 1 DSGVO verbietet die Verarbeitung von „Daten zur Gesundheit" zunächst grundsätzlich — und erlaubt sie nur unter bestimmten Ausnahmen. Der Knackpunkt für Fahrdienste: Gesundheitsdaten sind nicht nur die Diagnose selbst, sondern jede Information, aus der sich ein Rückschluss auf den Gesundheitszustand ziehen lässt.

  • Die regelmäßige Fahrt zur Dialyse verrät eine Niereninsuffizienz.
  • Das Ziel „Psychiatrische Tagesklinik" verrät eine psychische Erkrankung.
  • Der Vermerk „mit Rollstuhl" oder „liegend" verrät eine Mobilitätseinschränkung.

Es reicht also nicht, die Diagnose wegzulassen. Der Kontext selbst ist bereits schützenswert.

Auf welcher Rechtsgrundlage Sie überhaupt verarbeiten dürfen

Für Fahrdienste kommen in der Praxis vor allem zwei Ausnahmen aus Artikel 9 Absatz 2 in Betracht:

  1. Buchstabe h — Verarbeitung für die Versorgung im Gesundheitsbereich. Da die Krankenbeförderung Teil der medizinischen Versorgung ist, greift diese Ausnahme für die Durchführung der Fahrt.
  2. Buchstabe a — ausdrückliche Einwilligung der betroffenen Person. Sie ist dort nötig, wo die Verarbeitung über die reine Durchführung hinausgeht.

Wichtig: Die Rechtsgrundlage muss dokumentiert sein. Im Zweifel fragt die Aufsichtsbehörde nicht, ob Sie sorgfältig gearbeitet haben — sondern ob Sie es belegen können.

Der Elefant im Raum: WhatsApp und private Chatgruppen

Viele Betriebe koordinieren Fahrten über WhatsApp-Gruppen. Das ist bequem, aber datenschutzrechtlich hochproblematisch. Gleich mehrere Punkte sind kritisch:

  • Drittlandübermittlung: Die Betreiberdaten liegen teils außerhalb der EU. Für Gesundheitsdaten ist das ohne besondere Garantien unzulässig.
  • Kein Auftragsverarbeitungsvertrag: Mit einem privaten Messenger schließen Sie keinen AV-Vertrag nach Artikel 28 DSGVO ab.
  • Keine Zugriffskontrolle: Jeder in der Gruppe sieht jede Nachricht — auch der Fahrer, der die betreffende Fahrt gar nicht durchführt.
  • Keine Löschkonzepte: Nachrichten bleiben auf den Geräten aller Teilnehmer, praktisch unbegrenzt.

Das ist kein theoretisches Risiko. Aufsichtsbehörden haben in vergleichbaren Fällen bereits Bußgelder verhängt.

Was stattdessen gilt: die vier Pflichten

Wer Fahrdaten rechtssicher verarbeiten will, braucht vier Dinge:

1. Zugriff nach dem Need-to-know-Prinzip

Ein Fahrer sieht seine eigenen Fahrten — und nur diese. Der Disponent sieht die Gesamtlage, aber nicht mehr Details als nötig. Rollenbasierte Zugriffskontrolle ist bei Gesundheitsdaten keine Kür, sondern Pflicht.

2. Verschlüsselung in Übertragung und Speicherung

Daten müssen sowohl auf dem Transportweg (TLS) als auch im Ruhezustand (Verschlüsselung der Datenbank) geschützt sein. Ein unverschlüsselter Excel-Anhang per E-Mail erfüllt das nicht.

3. Auftragsverarbeitungsvertrag mit jedem Dienstleister

Sobald ein externer Anbieter — etwa eine Software — Gesundheitsdaten in Ihrem Auftrag verarbeitet, brauchen Sie einen AV-Vertrag nach Artikel 28. Seriöse Anbieter legen ihn unaufgefordert vor.

4. Löschkonzept und Protokollierung

Sie müssen festlegen, wann welche Daten gelöscht werden — und jeden Zugriff protokollieren, um im Prüfungsfall Auskunft geben zu können.

Der pragmatische Weg

Datenschutz im Fahrdienst ist kein Hexenwerk, aber er verträgt keine Bastellösungen aus Chatgruppen und Excel-Tabellen. Ein System, das Zugriffsrechte, Verschlüsselung, Protokollierung und Löschkonzepte von Haus aus mitbringt und den AV-Vertrag beilegt, nimmt Ihnen den größten Teil der Arbeit ab. Genau das ist der Ansatz von MITA Base: Datenschutz nicht als nachträglicher Aufwand, sondern als Voreinstellung.

Der beste erste Schritt ist ein ehrlicher Blick auf die eigenen Abläufe: Wo verlassen Gesundheitsdaten heute das Haus, ohne dass jemand die Kontrolle darüber hat? Jede WhatsApp-Gruppe, jeder E-Mail-Anhang, jeder Zettel im Handschuhfach ist ein Kandidat. Wer diese Wege schließt, hat den größten Teil des Risikos bereits beseitigt.

Genug gelesen. Sehen Sie es laufen.

30 Minuten Demo mit Ihren echten Abläufen — kein Verkaufsdruck, versprochen.

🇩🇪 Hosting Frankfurt · DSGVO Art. 9 · AV-Vertrag inkl.