Patient:innen-Einwilligung bei 3D-Hautanalyse, was Art. 9 DSGVO konkret verlangt
Biometrische Gesichts-Scans sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Wir gehen durch, welche Rechtsgrundlagen in Frage kommen, was die Einwilligung enthalten muss und wo die wichtigsten Stolperfallen für die dermatologische Praxis liegen. Kein Mustertext, sondern eine Anforderungs-Checkliste.
Aktualisiert am 25. Mai 2026 · 8 Min. Lesezeit
Ein 3D-Gesichts-Scan ist nach Art. 4 Nr. 14 DSGVO ein biometrisches Datum, weil er aus technisch-mathematischen Verfahren entsteht und die eindeutige Identifizierung einer natürlichen Person erlaubt. Damit fällt jede Hautanalyse-Aufnahme unter Art. 9 DSGVO (besondere Kategorien personenbezogener Daten). Verarbeitung ist grundsätzlich verboten, es sei denn, eine der Ausnahmen aus Art. 9 Abs. 2 greift. Wir gehen durch, was das für die Praxis bedeutet.
Welche Rechtsgrundlage kommt in Frage
Zwei Rechtsgrundlagen aus Art. 9 Abs. 2 sind in der dermatologischen Praxis praktikabel:
- Art. 9 Abs. 2 a DSGVO (ausdrückliche Einwilligung): Patient:in willigt nach umfassender Information explizit ein. Sauber, klar, jederzeit widerrufbar. Empfohlener Standard für die Hautanalyse, weil sie meist als IGeL-Leistung außerhalb der medizinisch notwendigen Versorgung läuft.
- Art. 9 Abs. 2 h DSGVO (Gesundheitsversorgung): Verarbeitung erforderlich für die medizinische Versorgung durch ärztliches Personal oder unter ärztlicher Verantwortung. Trägt, wenn die Hautanalyse Teil einer medizinisch indizierten Diagnostik ist (z. B. Verlaufs-Kontrolle bei Akne unter Isotretinoin). Aufklärung ist trotzdem Pflicht, formelle Einwilligung im engeren Sinn nicht zwingend.
In der Praxis-Realität ist die ausdrückliche Einwilligung der pragmatische Default. Sie deckt sowohl rein ästhetische als auch medizinisch indizierte Indikationen, und sie ist anschlussfähig an die Patient:innen-Erwartung an Transparenz.
Was die Einwilligung enthalten muss (Art. 7 DSGVO)
Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich abgegeben werden (Art. 4 Nr. 11 DSGVO) und für die besonderen Kategorien zusätzlich ausdrücklich erfolgen (Art. 9 Abs. 2 a). Konkret gehört in das Formular oder den digitalen Einwilligungs-Dialog:
- Wer verarbeitet: Praxis als Verantwortliche (Art. 4 Nr. 7 DSGVO), Software-Anbieter als Auftragsverarbeiter (Art. 28 DSGVO). Beide nennen.
- Welche Daten: ausdrückliche Benennung „biometrische Gesichts-Scans, RGB-, UV- und polarisierte Aufnahmen, 3D-Mesh-Geometrie, abgeleitete Score-Werte". Pauschale „Patienten-Daten" reicht nicht.
- Welcher Zweck: z. B. „dermatologische Befundung, Verlaufsdokumentation, Erstellung eines patient:innen-lesbaren Befunds". Konkret, nicht abstrakt.
- Speicherdauer: z. B. 24 Monate ab Scan, danach automatische Löschung. Genaue Dauer angeben, nicht „so lange wie nötig".
- Empfänger: Auftragsverarbeiter, Hersteller-Cluster (Hersteller des Scanners), ggf. AI-Subverarbeiter für Befund-Generierung. Mit Hosting-Ort.
- Drittland-Transfer: falls vorhanden, mit Rechtsgrundlage (z. B. EU-US Data Privacy Framework, Standardvertragsklauseln, Adäquanzbeschluss).
- Widerrufsrecht: jederzeit, Hinweis dass die Rechtmäßigkeit vor Widerruf unberührt bleibt, niedrigschwelliger Widerruf-Kanal (E-Mail-Adresse, Webseite).
- Datenrechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Datenportabilität (Art. 20), Beschwerde bei Aufsichtsbehörde.
- Folgen einer Verweigerung: z. B. „ohne Einwilligung kann der digitale Befund nicht erstellt werden, die ärztliche Beratung kann unabhängig davon stattfinden".
Formal kann die Einwilligung schriftlich oder elektronisch erfolgen. Wichtig ist die Dokumentation, der Verantwortliche (die Praxis) muss die Erteilung nachweisen können (Art. 7 Abs. 1 DSGVO).
BDSG-Zusatz-Anforderungen
Deutschland nutzt die Öffnungs-Klausel in Art. 9 Abs. 4 DSGVO und legt im BDSG zusätzliche Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Daten fest. § 22 BDSG benennt Schutzmaßnahmen, die getroffen sein müssen, beispielsweise technische und organisatorische Maßnahmen, Pseudonymisierung, Zugriffsbeschränkungen, Sensibilisierung der Beschäftigten und Auswahl-/Kontrollmaßnahmen für Auftragsverarbeiter. Diese Maßnahmen sind im Verfahrensverzeichnis und im AV-Vertrag mit der Software-Anbieterin zu dokumentieren.
Widerruf in der Praxis-Realität
Der Widerruf muss so einfach sein wie die Erteilung (Art. 7 Abs. 3 DSGVO). Ein digital erteilter Einwilligung muss digital widerrufbar sein. Praxis-relevante Konsequenzen:
- Der digitale Befund wird auf Wunsch gelöscht. Die Verarbeitung vor Widerruf bleibt rechtmäßig, der Befund war ja zum damaligen Zeitpunkt zulässig.
- Die Aufnahmen werden aus dem Storage entfernt, Cascade-Löschung über Backups innerhalb der nächsten Backup-Rotation. Dauer im Verfahrensverzeichnis dokumentieren.
- Die ärztliche Akte mit der schriftlichen Befund-Zusammenfassung bleibt unter den Aufbewahrungsfristen der Berufsordnung (typischerweise 10 Jahre nach § 10 MBO-Ä) erhalten, weil sie nicht der DSGVO-Einwilligung unterliegt sondern der gesetzlichen Dokumentations-Pflicht.
Typische Stolperfallen
- Pauschale Einwilligung beim Praxis-Eingang: Die Einwilligung für biometrische Daten muss spezifisch sein, eine Sammel-Einwilligung „in alle digitalen Anwendungen" ist nicht ausreichend ausdrücklich.
- Einwilligung als Bedingung für Behandlung: Die Einwilligung muss freiwillig sein. Wenn ohne Einwilligung keine ärztliche Versorgung erfolgt, ist Freiwilligkeit angreifbar. Sauber: ärztliche Versorgung läuft unabhängig, nur die digitale Befund-Komponente entfällt.
- Kein Hinweis auf den Auftragsverarbeiter: Patient:innen müssen wissen, wer technisch auf die Daten zugreift. Software-Anbieter mit Name und Hosting-Ort nennen.
- Veraltete Aufbewahrungs-Dauer: Bei Anpassung der Retention-Frist muss die Einwilligung erneuert oder zumindest informiert werden, je nach Eingriffs-Tiefe.
- Unklare Trennung Verantwortliche/Auftragsverarbeiter: Die Praxis bleibt Verantwortliche, die Software ist Auftragsverarbeiter. Verwechslung kostet im Streitfall.
Was Dermalia Ihrer Praxis liefert
Wir liefern Ihrer Praxis eine Einwilligungs-Vorlage als Anhang zum AV-Vertrag, die die obigen Anforderungen abdeckt und konkret auf 3D-Hautanalyse zugeschnitten ist. Sie bleibt in Ihrer Verantwortung, Sie müssen den Text auf Ihre Praxis-Spezifika anpassen (z. B. Praxis-Name, konkrete Indikationen, ggf. zusätzliche Subprozessoren auf Ihrer Seite). Wir bieten ausdrücklich keine Rechtsberatung an, eine externe Datenschutz-Beauftragte oder ein:e Fachanwält:in für Medizinrecht ist die richtige Instanz für die abschließende Prüfung.
Quellen und weiterführende Links
- Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten, Gesetzestext: dejure.org/DSGVO/9
- Art. 7 DSGVO Bedingungen für die Einwilligung: dejure.org/DSGVO/7
- § 22 BDSG, Verarbeitung besonderer Kategorien personenbezogener Daten: gesetze-im-internet.de/bdsg_2018/__22
- Bundesbeauftragter für den Datenschutz, Sensible Daten nach DSGVO: bfdi.bund.de
Stand: Mai 2026. Dieser Artikel ist orientierende Fachinformation für Praxen, keine Rechtsberatung im Einzelfall. Die abschließende Bewertung Ihrer Einwilligungs-Texte gehört in die Hand Ihrer Datenschutz-Beauftragten oder eines Fachanwalts für Medizinrecht.
Weiterführend