Art. 9 DSGVO — Besondere Kategorien personenbezogener Daten

Was regelt Art. 9 DSGVO?

Art. 9 DSGVO enthält eines der wichtigsten Verbote der europäischen Datenschutz-Grundverordnung: Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich untersagt. Dieses Verbot mit Erlaubnisvorbehalt geht deutlich über den Schutz „normaler“ personenbezogener Daten hinaus, wie sie in Art. 6 DSGVO geregelt werden.

Der Grund für diesen besonderen Schutz liegt auf der Hand: Informationen über Gesundheit, Religion, politische Überzeugungen oder die sexuelle Orientierung einer Person bergen ein erhebliches Diskriminierungspotenzial. Ein Missbrauch dieser Daten kann für Betroffene schwerwiegende Folgen haben — von sozialer Ausgrenzung bis hin zu beruflichen Nachteilen.

Art. 9 Abs. 1 DSGVO formuliert das Verbot wie folgt:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Erst Art. 9 Abs. 2 DSGVO enthält einen abschließenden Katalog von zehn Ausnahmetatbeständen, die eine Verarbeitung trotz des Verbots rechtfertigen können. Ohne eine dieser Ausnahmen ist jede Verarbeitung sensibler Daten rechtswidrig — unabhängig davon, ob eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt.

Für Unternehmen in Sachsen und ganz Deutschland bedeutet das: Wer sensible Daten verarbeitet — und das geschieht häufiger als gedacht —, muss sowohl eine Rechtsgrundlage nach Art. 6 als auch eine Ausnahme nach Art. 9 Abs. 2 DSGVO nachweisen können.

Welche Daten sind besonders geschützt?

Art. 9 DSGVO schützt einen abschließenden Katalog besonderer Datenkategorien. Diese Liste kann durch nationale Gesetzgeber nicht erweitert, wohl aber mit zusätzlichen Schutzmaßnahmen versehen werden (vgl. § 22 BDSG).

Die vollständige Liste besonderer Datenkategorien

Wichtig: Der Schutz greift nicht nur bei der direkten Erhebung dieser Daten, sondern auch wenn sie sich indirekt ableiten lassen. Ein Foto kann biometrische Daten enthalten, ein Essensplan religiöse Überzeugungen verraten, und eine Krankschreibung ist immer ein Gesundheitsdatum.

In der betrieblichen Praxis begegnen Unternehmen sensiblen Daten häufiger als vermutet: bei der Lohnabrechnung (Kirchensteuer = Religionszugehörigkeit), im Bewerbungsverfahren (Schwerbehinderung), bei der Arbeitszeiterfassung (Krankmeldungen) oder bei der Zutrittskontrolle (biometrische Systeme).

Die 10 Ausnahmetatbestände nach Art. 9 Abs. 2 DSGVO

Das Verbot aus Art. 9 Abs. 1 gilt nicht absolut. Art. 9 Abs. 2 lit. a bis j DSGVO nennt zehn Ausnahmen, die eine Verarbeitung besonderer Datenkategorien erlauben. Diese Ausnahmen sind abschließend — es gibt keine ungeschriebenen Erlaubnistatbestände.

a) Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a)

Die betroffene Person hat in die Verarbeitung ausdrücklich eingewilligt — und zwar für einen oder mehrere festgelegte Zwecke. Anders als bei Art. 6 Abs. 1 lit. a reicht eine konkludente Einwilligung nicht aus. Die Einwilligung muss sich explizit auf die sensiblen Datenkategorien beziehen. Zudem können EU- oder nationale Rechtsvorschriften bestimmen, dass das Verbot durch eine Einwilligung nicht aufgehoben werden kann.

b) Arbeitsrecht und Sozialschutz (Art. 9 Abs. 2 lit. b)

Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person Rechte aus dem Arbeitsrecht, dem Sozialversicherungsrecht oder dem Sozialschutz ausüben kann. In Deutschland konkretisiert § 26 BDSG (ab 2025: § 26 BDSG-neu) diese Ausnahme für Beschäftigungsverhältnisse. Typische Fälle: Lohnfortzahlung im Krankheitsfall, Schwerbehindertenmeldung, betriebliches Eingliederungsmanagement (BEM).

c) Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c)

Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person erforderlich, und die betroffene Person ist physisch oder rechtlich nicht in der Lage, eine Einwilligung zu erteilen. Beispiel: Bewusstlose Person in der Notaufnahme — Zugriff auf Gesundheitsdaten zur lebensrettenden Behandlung.

d) Verarbeitung durch Vereinigungen (Art. 9 Abs. 2 lit. d)

Stiftungen, Vereinigungen oder sonstige Organisationen ohne Gewinnerzielungsabsicht mit politischer, weltanschaulicher, religiöser oder gewerkschaftlicher Zielsetzung dürfen sensible Daten ihrer Mitglieder verarbeiten — allerdings nur ohne Übermittlung an Dritte und mit angemessenen Garantien.

e) Offensichtlich öffentlich gemachte Daten (Art. 9 Abs. 2 lit. e)

Die Verarbeitung bezieht sich auf Daten, die die betroffene Person offensichtlich selbst öffentlich gemacht hat. Beispiel: Ein Politiker äußert öffentlich seine Parteizugehörigkeit, eine Person teilt ihren Gesundheitszustand in sozialen Medien. Die Offensichtlichkeit ist wichtig — ein versehentlich öffentlich gewordenes Dokument fällt nicht darunter.

f) Rechtsansprüche und Gerichte (Art. 9 Abs. 2 lit. f)

Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich oder ein Gericht handelt im Rahmen seiner justiziellen Tätigkeit. Dies umfasst auch die vorgerichtliche Phase, etwa die Sammlung von Beweismitteln für einen Kündigungsschutzprozess.

g) Erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g)

Die Verarbeitung ist auf Grundlage von Unions- oder nationalem Recht aus Gründen eines erheblichen öffentlichen Interesses erforderlich. In Deutschland konkretisiert § 22 Abs. 1 Nr. 2 BDSG diese Ausnahme. Anwendungsfälle: Antidiskriminierung, Strafverfolgung, öffentliche Sicherheit.

h) Gesundheitsvorsorge und Arbeitsmedizin (Art. 9 Abs. 2 lit. h)

Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, Arbeitsmedizin, medizinischen Diagnostik oder Behandlung erforderlich. Die Verarbeitung muss durch Fachpersonal oder unter dessen Verantwortung erfolgen, das dem Berufsgeheimnis unterliegt. Beispiel: Betriebsärztliche Untersuchungen, arbeitsmedizinische Vorsorge nach ArbMedVV.

i) Öffentliche Gesundheit (Art. 9 Abs. 2 lit. i)

Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich — etwa zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, zur Gewährleistung hoher Qualitätsstandards bei Arzneimitteln oder zur Absicherung der Gesundheitsversorgung. Diese Ausnahme war besonders während der COVID-19-Pandemie relevant.

j) Archivierung, Forschung und Statistik (Art. 9 Abs. 2 lit. j)

Die Verarbeitung ist für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke erforderlich. Der Grundsatz der Datenminimierung muss gewahrt bleiben, und es sind angemessene Garantien vorzusehen (z. B. Pseudonymisierung).

Einwilligung bei sensiblen Daten — höhere Anforderungen als bei Art. 6

Wenn Sie sich auf die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO stützen möchten, müssen deutlich strengere Voraussetzungen erfüllt sein als bei einer „normalen“ Einwilligung nach Art. 6 Abs. 1 lit. a:

• Ausdrücklichkeit: Die Einwilligung muss sich explizit auf die sensiblen Daten beziehen. Ein allgemeines „Ich stimme der Datenverarbeitung zu“ genügt nicht.
• Spezifizierung: Die konkreten Datenkategorien (z. B. „Gesundheitsdaten“) und der Verarbeitungszweck müssen benannt werden.
• Freiwilligkeit: Im Arbeitsverhältnis ist die Freiwilligkeit besonders kritisch zu prüfen — ein Machtungleichgewicht kann die Wirksamkeit der Einwilligung ausschließen.
• Informiertheit: Die betroffene Person muss über die besonderen Risiken der Verarbeitung sensibler Daten informiert werden.
• Widerrufbarkeit: Der Widerruf muss ebenso einfach sein wie die Erteilung der Einwilligung.
• Dokumentation: Die Einwilligung muss nachweisbar dokumentiert werden — Schriftform ist dringend empfohlen.

Praxistipp: Im Beschäftigtendatenschutz sollten Sie bei sensiblen Daten nach Möglichkeit auf eine andere Rechtsgrundlage als die Einwilligung zurückgreifen, da deren Freiwilligkeit im Arbeitsverhältnis regelmäßig angezweifelt wird.

Gesundheitsdaten im Unternehmen

Gesundheitsdaten sind die in der Praxis am häufigsten verarbeiteten sensiblen Daten in Unternehmen. Fast jeder Arbeitgeber kommt damit in Berührung:

Krankmeldungen und Arbeitsunfähigkeit

Bereits die Information, dass ein Mitarbeiter krank ist, stellt ein Gesundheitsdatum dar — auch ohne Angabe der Diagnose. Die Verarbeitung stützt sich auf Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 BDSG und das Entgeltfortzahlungsgesetz. Die Diagnose selbst darf der Arbeitgeber grundsätzlich nicht erfahren.

Betriebliches Eingliederungsmanagement (BEM)

Bei mehr als sechs Wochen Arbeitsunfähigkeit innerhalb von zwölf Monaten ist der Arbeitgeber nach § 167 Abs. 2 SGB IX zum BEM verpflichtet. Im BEM-Verfahren werden zwangsläufig Gesundheitsdaten verarbeitet. Die Rechtsgrundlage ergibt sich aus Art. 9 Abs. 2 lit. b DSGVO. Die Teilnahme ist freiwillig, die Einwilligung des Mitarbeiters ist erforderlich, und die Daten dürfen nur zweckgebunden verwendet werden.

Arbeitsmedizinische Vorsorge

Betriebsärztliche Untersuchungen nach der ArbMedVV fallen unter Art. 9 Abs. 2 lit. h DSGVO. Der Betriebsarzt unterliegt der ärztlichen Schweigepflicht — der Arbeitgeber erhält nur das Ergebnis „geeignet/nicht geeignet/bedingt geeignet“, nicht die medizinischen Details.

Pandemie-bezogene Daten

Impfstatus, Testergebnisse und Quarantäneanordnungen sind Gesundheitsdaten. Deren Verarbeitung war und ist nur unter engen Voraussetzungen zulässig — je nach aktueller Rechtslage auf Basis von Art. 9 Abs. 2 lit. b, g oder i DSGVO.

Besondere Datenkategorien im Bewerbungsprozess

Der Bewerbungsprozess ist ein Minenfeld für Art. 9 DSGVO. Folgende sensible Daten können hier relevant werden:

• Schwerbehinderung: Die Frage danach ist nach dem AGG nur zulässig, wenn sie für die Tätigkeit relevant ist. Nach Begründung des Arbeitsverhältnisses darf der Arbeitgeber fragen, um Schutzrechte zu gewähren (Art. 9 Abs. 2 lit. b).
• Schwangerschaft: Die Frage nach einer Schwangerschaft ist grundsätzlich unzulässig (AGG, MuSchG).
• Religionszugehörigkeit: Nur bei konfessionellen Arbeitgebern (Kirchen, Caritas, Diakonie) unter engen Voraussetzungen zulässig — nach aktueller EuGH-Rechtsprechung nur für „verkündungsnahe“ Tätigkeiten.
• Gewerkschaftszugehörigkeit: Die Frage ist generell unzulässig.
• Gesundheitsdaten: Nur zulässig bei tätigkeitsbezogenen Anforderungen (z. B. Pilotentauglichkeit, Infektionsschutz in der Lebensmittelbranche).
• Bewerbungsfotos: Können biometrische Daten sowie Informationen über ethnische Herkunft enthalten — datenschutzrechtlich problematisch, aber in Deutschland üblich.

Empfehlung: Erstellen Sie ein standardisiertes Bewerbungsverfahren mit klaren Vorgaben, welche Fragen zulässig sind. Schulen Sie Personalverantwortliche im Umgang mit sensiblen Daten und dokumentieren Sie die datenschutzkonformen Prozesse.

Art. 9 und Videoüberwachung / Biometrie

Biometrische Zugangskontrollen und Videoüberwachungssysteme mit Gesichtserkennung verarbeiten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO — allerdings nur, wenn sie zur eindeutigen Identifizierung einer Person eingesetzt werden.

Biometrische Zutrittskontrolle

Fingerabdruckscanner, Iris-Scanner oder Gesichtserkennung am Eingang: Diese Systeme verarbeiten biometrische Daten nach Art. 9 Abs. 1 DSGVO. Eine Rechtsgrundlage kann sein:

• Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a) — problematisch im Arbeitsverhältnis wegen fehlender Freiwilligkeit
• Erforderlichkeit für das Beschäftigungsverhältnis (Art. 9 Abs. 2 lit. b) — nur wenn keine milderen Mittel verfügbar sind (z. B. Chipkarte)
• Erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g) — bei Hochsicherheitsbereichen

Die Datenschutzkonferenz (DSK) hat klargestellt: Eine biometrische Zutrittskontrolle ist nur verhältnismäßig, wenn kein milderes Mittel den gleichen Sicherheitszweck erfüllt. Ein Fingerabdruckscanner für das Büro eines Steuerberaters wäre unverhältnismäßig — für ein Kernkraftwerk dagegen angemessen.

Videoüberwachung mit Gesichtserkennung

Eine „normale“ Videoüberwachung ohne automatisierte Gesichtserkennung fällt nicht unter Art. 9 DSGVO, sondern unter Art. 6 DSGVO. Erst wenn die Aufnahmen für eine biometrische Identifizierung verwendet werden (z. B. automatischer Abgleich mit einer Datenbank), greift Art. 9.

Die Datenschutz-Folgenabschätzung (DSFA) ist bei biometrischen Systemen nach Art. 35 DSGVO zwingend erforderlich.

Technische Schutzmaßnahmen für sensible Daten

Art. 9 DSGVO verlangt zwar keine ausdrücklich benannten technischen Maßnahmen, jedoch ergibt sich aus dem Grundsatz der Verhältnismäßigkeit (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO) und aus § 22 Abs. 2 BDSG, dass für besondere Datenkategorien erhöhte Schutzmaßnahmen erforderlich sind.

§ 22 Abs. 2 BDSG — konkrete Anforderungen

Das BDSG verlangt bei der Verarbeitung sensibler Daten nach Art. 9 ausdrücklich angemessene und spezifische Maßnahmen. Dazu können gehören:

• Verschlüsselung: Sensible Daten müssen sowohl bei der Übertragung (TLS/SSL) als auch bei der Speicherung (AES-256) verschlüsselt werden
• Zugriffskontrolle: Strenge Berechtigungskonzepte nach dem Need-to-know-Prinzip — nur autorisiertes Personal darf auf sensible Daten zugreifen
• Pseudonymisierung: Wo immer möglich, sollten sensible Daten pseudonymisiert verarbeitet werden
• Protokollierung: Zugriffe auf sensible Daten müssen lückenlos protokolliert werden
• Sensibilisierung: Regelmäßige Schulung der Beschäftigten im Umgang mit sensiblen Daten
• Löschkonzept: Klare Aufbewahrungsfristen und automatisierte Löschroutinen
• Physische Sicherheit: Verschlossene Aktenschränke für Papierakten mit Gesundheitsdaten

Die technischen und organisatorischen Maßnahmen (TOMs) müssen für sensible Daten nachweislich höher sein als für reguläre personenbezogene Daten. Dokumentieren Sie dies in Ihrem Verarbeitungsverzeichnis.

Datenschutz-Folgenabschätzung (DSFA)

Die Verarbeitung besonderer Datenkategorien nach Art. 9 löst in vielen Fällen die Pflicht zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO aus. Insbesondere gilt dies bei:

• Umfangreicher Verarbeitung sensibler Daten
• Systematischer Überwachung (z. B. biometrische Zutrittskontrolle)
• Kombination aus sensiblen Daten und neuen Technologien
• Verarbeitung sensibler Daten besonders schutzbedürftiger Personen (Kinder, Patienten, Arbeitnehmer)

Bußgelder bei Verstößen gegen Art. 9 DSGVO

Verstöße gegen Art. 9 DSGVO zählen zu den schwerwiegendsten Datenschutzverletzungen und werden entsprechend hart sanktioniert:

Bußgeldrahmen

Nach Art. 83 Abs. 5 DSGVO drohen Bußgelder von bis zu:

• 20 Millionen Euro oder
• 4 % des weltweiten Jahresumsatzes

— je nachdem, welcher Betrag höher ist. Dies ist die höchste Bußgeldstufe der DSGVO.

Aktuelle Bußgeldbeispiele

Neben den Bußgeldern drohen:

• Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO — gerade bei sensiblen Daten können immaterielle Schäden erheblich sein
• Reputationsschäden: Datenschutzvorfälle mit Gesundheits- oder biometrischen Daten erzeugen besonders große mediale Aufmerksamkeit
• Untersagungsverfügungen der Aufsichtsbehörden — die Verarbeitung kann vollständig untersagt werden
• Strafrechtliche Konsequenzen: § 42 BDSG sieht bei vorsätzlicher unbefugter Verarbeitung sensibler Daten Freiheitsstrafen von bis zu drei Jahren vor

Warum professionelle Beratung? — DATUREX GmbH unterstützt Sie

Die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO stellt Unternehmen vor komplexe rechtliche und organisatorische Herausforderungen. Die DATUREX GmbH aus Dresden unterstützt Sie als externer Datenschutzbeauftragter bei allen Fragen rund um sensible Daten:

• Bestandsaufnahme: Welche sensiblen Daten verarbeiten Sie — bewusst und unbewusst?
• Rechtsgrundlagen-Check: Liegt für jede Verarbeitung eine tragfähige Ausnahme nach Art. 9 Abs. 2 vor?
• DSFA-Durchführung: Wir erstellen und begleiten Ihre Datenschutz-Folgenabschätzung
• TOM-Optimierung: Sind Ihre technischen und organisatorischen Maßnahmen für sensible Daten ausreichend?
• Einwilligungs-Management: Rechtssichere Einwilligungserklärungen für sensible Daten
• Schulungen: Sensibilisierung Ihrer Mitarbeiter für den Umgang mit besonderen Datenkategorien
• Dokumentation: Verarbeitungsverzeichnis mit korrekter Darstellung der Art.-9-Verarbeitungen

Unser Team kennt die Anforderungen der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) und unterstützt Unternehmen in ganz Sachsen bei der datenschutzkonformen Verarbeitung sensibler Daten.

→ Jetzt kostenlose Erstberatung vereinbaren

Weiterführende Informationen: Aufgaben des Datenschutzbeauftragten | TOMs im Datenschutz | Datenschutz-Folgenabschätzung | Beschäftigtendatenschutz | Einwilligungserklärung

Häufige Fragen zu Art. 9 DSGVO