Datenschutz bei genetischen Untersuchungen – Was Arztpraxen beachten müssen

Kaum ein Bereich personenbezogener Daten ist so sensibel wie genetische Untersuchungsergebnisse: Sie können nicht nur Rückschlüsse auf Herkunft, Geschlecht und äußere Merkmale zulassen, sondern auch auf mögliche Krankheitsrisiken. Angesichts dieser besonderen Schutzbedürftigkeit ist die Einhaltung der gesetzlichen Vorgaben unerlässlich. Verstöße gefährden nicht nur das Vertrauen der Patientinnen und Patienten, sondern können auch rechtliche Konsequenzen nach sich ziehen.

Aus datenschutzrechtlicher Sicht gilt deshalb: Neben der Datenschutz-Grundverordnung (DSGVO) müssen alle Arztpraxen und medizinischen Einrichtungen, die genetische Untersuchungen durchführen, unbedingt die speziellen Vorgaben des Gendiagnostikgesetzes (GenDG) kennen und umsetzen.

Das GenDG ergänzt die DSGVO und konkretisiert deren Regelungen, um die informationelle Selbstbestimmung Betroffener zu schützen und eine Benachteiligung aufgrund genetischer Eigenschaften zu verhindern (vgl. auch Informationen zum GenDG des Bundesministeriums für Gesundheit (BMG)).

Für Arztpraxen sind vor allem die §§ 8 und 12 GenDG relevant. Sie enthalten zentrale Vorgaben zur Einwilligung sowie zur Speicherung und Löschung genetischer Daten.

Einwilligung vor jeder Untersuchung

Die Einwilligung nach § 8 GenDG ist eine eigenständige, spezialgesetzliche Pflicht und nicht identisch mit der datenschutzrechtlichen Einwilligung nach Art. 7 DSGVO.

Das bedeutet: Auch wenn die Verarbeitung genetischer Daten nach DSGVO zulässig ist, muss vor jeder genetischen Untersuchung eine umfassende Information und wirksame Einwilligung nach GenDG erfolgen.

Die Einwilligung kann schriftlich oder elektronisch erteilt werden, muss aber nachweisbar dokumentiert sein. Sie umfasst nicht nur den Umfang der Untersuchung, sondern auch die Entscheidung, ob und inwieweit das Ergebnis mitgeteilt oder vernichtet werden soll.

Es ist sicherzustellen, dass die Vorgaben des § 8 GenDG – insbesondere die Pflicht zur Einholung einer umfassenden und wirksamen Einwilligung vor jeder genetischen Untersuchung – den Verantwortlichen in Arztpraxen bekannt und in den Prozessen verankert sind.

Exkurs elektronische Patientenalte (ePA): Für die ePA gilt zwar grundsätzlich das „Opt-out-Prinzip“, d. h. die Daten werden an die ePA übermittelt, sofern die betroffene Person nicht widerspricht. Für die besonders sensiblen und schutzwürdigen Ergebnisse genetischer Untersuchungen gilt jedoch: Gemäß § 347 Abs. 1 S. 3 SGB V (Fünftes Buch Sozialgesetzbuch) dürfen diese nur mit ausdrücklicher schriftlicher oder elektronischer Einwilligung an die ePA übermittelt werden. Diese Einwilligung ist stets separat neben der Einwilligung nach § 8 GenDG einzuholen.

Speicherung und Löschung – immer 10 Jahre?

Ergebnisse genetischer Untersuchungen sind nach § 12 GenDG grundsätzlich zehn Jahre aufzubewahren. Von dieser Aufbewahrungsfrist gibt es jedoch wichtige Ausnahmen und Sonderregeln:

Keine Speicherung bei Einwilligungsausschluss!

Wenn die betroffene Person bereits bei der Einwilligung nach GenDG festlegt, dass die Untersuchungsergebnisse nicht gespeichert werden sollen, müssen die Ergebnisse in jedem Fall vernichtet werden (§ 12 Abs. 1 Satz 2 Nr. 2). Eine Speicherung und Archivierung entsprechend der gesetzlichen Aufbewahrungsfristen muss und darf in diesen Fällen nicht erfolgen.

Widerruf der Einwilligung

In diesem Fall ist es entscheidend, zu welchem Zeitpunkt der Widerruf erklärt wird und ob der betroffenen Person die Ergebnisse der genetischen Untersuchung bereits bekannt sind (§ 12 Abs. 1 letzter Satz).

Wird die Einwilligung nach der Untersuchung widerrufen, müssen die Ergebnisse nach den Vorgaben des GenDG nur dann vernichtet werden, wenn sie der Person noch nicht bekannt sind. Nach Kenntnisnahme der Ergebnisse, besteht keine Pflicht zur Löschung. Eine Vernichtung hat in diesem Fall erst nach Ablauf der gesetzlichen Aufbewahrungsfrist von zehn Jahren zu erfolgen – auch wenn die betroffene Person eine frühere Vernichtung wünscht.

Verlängerte Speicherfrist

Um es für Verantwortliche noch komplizierter zu machen, sieht das GenDG in bestimmten Fällen vor, dass genetische Daten auch länger als zehn Jahre gespeichert werden müssen (§ 12 Abs. 1 Satz 3 GenDG).

Dies ist insbesondere immer dann der Fall, wenn die betroffene Person (schriftlich oder elektronisch) eine längere Aufbewahrung gegenüber dem Verantwortlichen verlangt. Daneben sieht das GenDG eine – im Ermessen der „verantwortlichen ärztlichen Person“ (siehe § 3 Nr. 5 GenDG) liegende – Verlängerung der Speicherfrist vor, wenn eine Vernichtung schutzwürdige Interessen der Patientin bzw. des Patienten beeinträchtigen würde.

Wichtig: Die Fristen gelten nur für Untersuchungsergebnisse, nicht für Probenmaterial. Dieses ist nach § 13 GenDG unverzüglich zu vernichten, sobald es nicht mehr benötigt wird oder die Einwilligung widerrufen wurde.

Fazit

Arztpraxen sollten nicht nur die DSGVO, sondern auch die speziellen Vorgaben des GenDG im Blick haben. Die §§ 8 und 12 GenDG stellen komplexe Anforderungen an den Umgang mit genetischen Daten, welche Verantwortlichen in Arztpraxen bekannt und in den Abläufen umgesetzt sein sollten. Neben dokumentierten Einwilligungsprozessen sollten Lösch- und Speicherfristen definiert und hierbei insbesondere sichergestellt werden, dass Widerrufe und individuelle Wünsche der Patientinnen und Patienten berücksichtigt werden. Dies erfordert Systeme und Prozesse, die eine flexible Anpassung an Sonderfälle ermöglichen – etwa verlängerte Speicherfristen oder sofortige Vernichtung. Nur so lässt sich ein rechtssicherer und vertrauensvoller Umgang mit genetischen Daten gewährleisten.

Lea Paschke | 7. Januar 2026 | Gesundheitsdatenschutz | Arztpraxen, BMG, Datenverarbeitung, Einwilligung, ePA, GenDG, Gendiagnostikgesetz, Genetische Untersuchungen, Patienten, SGB V, Speicherfrist, Untersuchungsergebnisse