Die Verarbeitung personenbezogener Daten, wie etwa Name, Adresse, Religionszugehörigkeit, biometrische Daten oder gesundheitsbezogener Daten ist grundsätzlich untersagt. Personenbezogene Daten dürfen von nun an nicht mehr erhoben, erfasst, verändert oder abgefragt werden. Da die DSGVO damit sehr stark in sozial-ökonomische Prozesse eingreift, gibt es jedoch einige Möglichkeiten, die unter Umständen doch eine Verarbeitung solch sensibler Daten erlauben.
Bei allen Daten, die von Gesundheits- oder Fitness-Apps oder Wearables erfasst werden, handelt es sich nach der DSGVO um „Gesundheitsdaten“, die nicht verarbeitet werden dürfen – es sei denn, die betroffene Person willigt der Verarbeitung ausdrücklich zu oder wenn eine gesetzliche Grundlage für die Datenverarbeitung besteht.
Eine Einwilligung muss nicht in jedem Fall von einer betroffenen Person eingeholt werden: um bestimmte Krankheiten und Symptome fachgerecht zu behandeln, lässt die DSGVO (siehe: Artikel 9 Abs. 2 DSGVO) es zu, dass auf erforderlichen Daten zurückgegriffen werden darf. Auch im Fall von Epidemien, die sich ausbreiten, ist es auch nach der DSGVO möglich, Daten darüber zu erheben. Auch das Posten von getrackten Daten (z.B. Lauf-Apps) stellt eine Verbotsausnahme dar, da der Veröffentlichung der Daten im Vorfeld zugestimmt wurde.
Trotz der genannten Ausnahmen, sollte man sich als Unternehmen oder Institut, das in irgendeiner Form mit gesundheitsbezogenen Daten zu tun hat, nicht nur auf die DSGVO alleine verlassen – denn den Mitgliedstaaten der EU wird in Artikel 9 Abs. 2 der DSGVO das Recht eingeräumt, die Verarbeitung gesundheitsbezogener Daten „einwilligungsfest“ zu machen – dies würde bedeuten, dass eine Verarbeitung von Gesundheitsdaten trotz einer Einwilligung in diesen Ländern gegen das Recht verstößt.