Genetische Daten (Art. 4 Nr. 13 DSGVO)
Genetische Daten sind personenbezogene Daten zu ererbten oder erworbenen genetischen Eigenschaften einer Person, die Informationen über Physiologie oder Gesundheit liefern und besonders schützenswert sind.
Genetische Daten erfassen die erbliche und erworbene genetische Konstitution einer natürlichen Person. Weil sie eindeutige Rückschlüsse auf Physiologie und Gesundheitszustand ermöglichen, zählen sie zu den sensibelsten Kategorien personenbezogener Daten überhaupt. Das Datenschutzrecht behandelt sie deshalb mit einem grundsätzlichen Verarbeitungsverbot.
Das Wichtigste in Kürze
- Genetische Daten sind personenbezogene Daten über ererbte oder erworbene genetische Eigenschaften, die eindeutige Informationen zur Physiologie oder Gesundheit liefern und insbesondere aus einer biologischen Probe gewonnen werden (Art. 4 Nr. 13 DSGVO).
- Die Gewinnung erfolgt typischerweise durch Chromosomen-, DNS- oder RNS-Analyse oder gleichwertige Methoden (Erwägungsgrund 34 DSGVO).
- Genetische Daten gehören zu den besonderen Kategorien nach Art. 9 DSGVO; ihre Verarbeitung ist grundsätzlich verboten und nur unter den Ausnahmetatbeständen des Art. 9 Abs. 2 DSGVO zulässig.
- Mitgliedstaaten dürfen für genetische, biometrische und Gesundheitsdaten zusätzliche Bedingungen und Beschränkungen einführen (Art. 9 Abs. 4 DSGVO); in Deutschland greift insbesondere das Gendiagnostikgesetz (GenDG).
- Im Strafverfahren ist die DNA-Analyse auf das Identifizierungsmuster und das Geschlecht beschränkt (§ 81g Abs. 2 StPO).
1. Überblick
Art. 4 Nr. 13 DSGVO definiert genetische Daten als personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden Person gewonnen wurden.
Erwägungsgrund 34 DSGVO präzisiert, dass die Analyse dabei insbesondere durch Chromosomen-, Desoxyribonukleinsäure-(DNS)- oder Ribonukleinsäure-(RNS)-Analyse erfolgen kann oder durch die Analyse eines anderen Elements, durch das gleichwertige Informationen erlangt werden können (Erwägungsgrund 34 DSGVO).
Charakteristisch für genetische Daten ist ihre Einzigartigkeit: Sie sind für jede Person individuell und zugleich teilweise mit Blutsverwandten geteilt. Ein Testergebnis kann deshalb nicht nur Informationen über die betroffene Person, sondern auch über deren Familienangehörige offenbaren.
2. Reichweite der Definition
2.1 Codierende und nichtcodierende DNA
Die Definition erfasst sowohl den codierenden als auch den nichtcodierenden Bereich des Genoms. Der nichtcodierende Bereich wurde lange als biologisch bedeutungslos eingestuft; tatsächlich lassen sich daraus jedoch Informationen über Alter, äußere Merkmale wie Augen-, Haar- und Hautfarbe sowie geografische Herkunft ableiten. Solche Daten liefern eindeutige Informationen über die Physiologie einer Person und unterfallen damit der Definition des Art. 4 Nr. 13 DSGVO.
2.2 Analyse einer biologischen Probe
Ausgangspunkt der Datengewinnung ist regelmäßig eine biologische Probe, etwa Blut, Speichel oder Gewebematerial. Die Analyse der Probe kann auf verschiedenen Wegen erfolgen: klassische Chromosomenanalyse, DNS-Sequenzierung oder RNS-basierte Methoden, daneben sonstige Verfahren, die zu gleichwertigen genetischen Informationen führen.
Nicht schon die bloße Entnahme einer biologischen Probe, sondern erst die Analyse, aus der genetische Informationen gewonnen werden, begründet den Bezug zu Art. 4 Nr. 13 DSGVO. Solange eine Probe unanalysiert aufbewahrt wird, liegt noch kein genetisches Datum im Sinne der Norm vor.
2.3 Abgrenzung zu verwandten Datenkategorien
Genetische Daten stehen in engem Bezug zu biometrischen Daten und Gesundheitsdaten, alle drei bilden zusammen mit anderen sensiblen Kategorien das Schutzniveau des Art. 9 DSGVO. Die folgende Tabelle zeigt die wesentlichen Unterschiede:
| Merkmal | Genetische Daten | Biometrische Daten | Gesundheitsdaten |
|---|---|---|---|
| Grundlage | Ererbte/erworbene Geneigenschaften | Physische/physiologische/verhaltensbasierte Merkmale | Körperlicher/geistiger Gesundheitszustand |
| Typische Gewinnung | Analyse biologischer Probe (DNS, RNS) | Fingerabdruck, Iris, Gesicht, Stimme | Arztbefund, Laborwert, Diagnose |
| Familienrelevanz | Ja, teilweise mit Verwandten geteilt | Nein (individuell) | Nein (individuell) |
| Eigenständige DSGVO-Definition | Art. 4 Nr. 13 | Art. 4 Nr. 14 | Art. 4 Nr. 15 |
3. Einordnung als besondere Datenkategorie
Genetische Daten sind besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Ihre Verarbeitung ist grundsätzlich verboten. Eine Verarbeitung ist nur zulässig, wenn einer der abschließend aufgezählten Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO eingreift, etwa eine ausdrückliche Einwilligung, ein erhebliches öffentliches Interesse oder die Notwendigkeit für medizinische Zwecke.
Art. 9 Abs. 4 DSGVO eröffnet den Mitgliedstaaten die Möglichkeit, für genetische, biometrische und Gesundheitsdaten über das unionsrechtliche Schutzniveau hinaus zusätzliche Bedingungen und Beschränkungen einzuführen oder aufrechtzuerhalten (Art. 9 Abs. 4 DSGVO). Deutschland hat von dieser Öffnungsklausel Gebrauch gemacht: Das Gendiagnostikgesetz (GenDG) regelt genetische Untersuchungen und den Umgang mit genetischen Daten in medizinischen, versicherungs- und arbeitsrechtlichen Kontexten (GenDG). Zu den mitgliedstaatlichen Öffnungsklauseln im Überblick siehe 1.3.12.3 Öffnungsklausel für mitgliedstaatliches Recht.
4. Besonderheit im Strafverfahren
Das Strafverfahrensrecht enthält eine bereichsspezifische Regelung: Nach § 81g Abs. 2 StPO darf die molekulargenetische Untersuchung im Rahmen der erkennungsdienstlichen Behandlung ausschließlich zur Feststellung des DNA-Identifizierungsmusters sowie des Geschlechts der betroffenen Person vorgenommen werden (§ 81g StPO). Darüber hinausgehende Feststellungen sind ausdrücklich unzulässig. Diese Beschränkung verhindert, dass strafprozessuale DNA-Proben für weitergehende phänotypische oder gesundheitsbezogene Auswertungen genutzt werden.
Art. 4 Nr. 13 DSGVO
Legaldefinition genetischer Daten im Volltext.
Art. 9 DSGVO
Verarbeitungsverbot und Ausnahmen für besondere Kategorien.
Biometrische Daten
Art. 4 Nr. 14 DSGVO: Definition und Abgrenzung.
Gesundheitsdaten
Art. 4 Nr. 15 DSGVO: Gesundheitsbezogene Daten.
Personenbezogene Daten
Art. 4 Nr. 1 DSGVO: Grundbegriff als Oberkategorie.
Sensible Datenkategorien
Überblick Art. 9 DSGVO: System der besonderen Kategorien.
Öffnungsklausel Mitgliedstaaten
Art. 9 Abs. 4 DSGVO: Nationale Ergänzungsregeln.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO)
Was eine Datenpanne im Sinne der DSGVO ist, welche drei Verletzungsarten unterschieden werden und welche Meldepflichten an Aufsichtsbehörde und betroffene Personen ausgelöst werden.
Biometrische Daten (Art. 4 Nr. 14 DSGVO)
Biometrische Daten sind mit speziellen technischen Verfahren gewonnene Merkmale einer Person (Fingerabdruck, Gesichtsbild, Stimme u.a.), die ihre eindeutige Identifizierung ermöglichen und als besondere Kategorie nach Art. 9 DSGVO einem grundsätzlichen Verarbeitungsverbot unterliegen.