Datenschutz HubEinzelthemenBesondere Kategorien personenbezogener Daten

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Grundlagen, Verbot der Verarbeitung und Systematik der Ausnahmen für sensible Daten nach Art. 9 DSGVO; Verhältnis zu Art. 6 DSGVO.

Als Markdown ansehen

Art. 9 DSGVO stellt für bestimmte, besonders grundrechtssensible Datenkategorien ein grundsätzliches Verarbeitungsverbot auf (Art. 9 Abs. 1 DSGVO) und durchbricht es nur für einen abschließenden Katalog von Zulässigkeitstatbeständen (Art. 9 Abs. 2 und 3 DSGVO). Zusätzlich öffnet Art. 9 Abs. 4 DSGVO nationalem Recht den Weg für weitergehende Anforderungen bei genetischen, biometrischen und Gesundheitsdaten.

Das Wichtigste in Kürze

  • Art. 9 Abs. 1 DSGVO ordnet für neun sensible Datenkategorien ein grundsätzliches Verarbeitungsverbot an; ein Verstoß ist nach Art. 83 Abs. 5 lit. a DSGVO bußgeldbewehrt.
  • Zulässig wird die Verarbeitung nur über einen der zehn abschließenden Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO (ergänzt um Abs. 3); greift keiner, entfaltet Art. 9 DSGVO Sperrwirkung.
  • Art. 9 DSGVO verdrängt Art. 6 DSGVO nicht, sondern überlagert ihn: erforderlich sind beide Rechtmäßigkeitsschichten kumulativ.
  • Ein „gemischter" Datensatz fällt schon dann insgesamt unter Art. 9 DSGVO, wenn er ein sensibles Datum enthält und eine Trennung nicht möglich ist.
  • Sensible Daten lösen zahlreiche Folgepflichten aus (Verzeichnis, DSFA, Datenschutzbeauftragter, Vertreterbenennung).

1 Überblick und Einordnung

1.1 Regelungsgegenstand

Art. 9 Abs. 1 DSGVO benennt neun Kategorien personenbezogener Daten, deren Verarbeitung grundsätzlich untersagt ist:

  • Daten, aus denen die rassische oder ethnische Herkunft hervorgeht,
  • Daten, aus denen politische Meinungen hervorgehen,
  • Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen,
  • Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht,
  • genetische Daten (Art. 4 Nr. 13 DSGVO),
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person (Art. 4 Nr. 14 DSGVO),
  • Gesundheitsdaten (Art. 4 Nr. 15 DSGVO),
  • Daten zum Sexualleben und
  • Daten zur sexuellen Orientierung.

Hintergrund des erhöhten Schutzregimes ist die typisierende Annahme, dass die Verarbeitung dieser Kategorien in besonderer Weise Grundrechte und Grundfreiheiten der betroffenen Person gefährden kann (ErwGr. 51 DSGVO). Der Verordnungsgeber selbst bezeichnet die Kategorie als „sensible Daten" (ErwGr. 10 S. 5 DSGVO); in der Kommentierung wird daneben synonym der Begriff „sensitive Daten" verwendet.

Der Schutzgedanke speist sich aus drei Quellen, die im Einzelfall unterschiedlich stark durchschlagen:

  • Informationelles Diskriminierungsverbot: die meisten Kategorien tragen ein erhöhtes Diskriminierungsrisiko (Art. 21 GRCh, Art. 14 EMRK). Ein Verstoß gegen Art. 9 DSGVO ist zugleich Indiz für eine Diskriminierung iSd Antidiskriminierungsrechts und kann Ansprüche nach dem AGG begründen.
  • Schutz höchstpersönlicher Merkmale: die aufgeführten Daten sind für die Betroffenen identitätsstiftend; ihre Korruption oder ihr Missbrauch hat ein großes individuelles oder gruppenbezogenes Schadenspotenzial.
  • Notlagenschutz: bei Gesundheits-, Sozial- und ähnlich belastenden Daten soll der Betroffene angstfrei professionelle Hilfe in Anspruch nehmen und sich hierfür offenbaren können. Diese Linie verbindet Art. 9 DSGVO mit dem Schutz der Berufsgeheimnisse (Art. 90 DSGVO, § 203 StGB).

Bewusst nicht in den Katalog aufgenommen sind dagegen Datenarten, die in der Praxis vergleichbar sensitiv sein können, etwa Standortdaten, Finanztransaktionsdaten, Angaben über Armut, Alter (§§ 8-10 AGG), Geschlecht oder Vermögen (Art. 21 Abs. 1 GRCh). Die Zuordnung nach Art. 9 DSGVO bleibt eine Pauschalisierung: Sie ist Indiz, nicht Beleg der Schutzbedürftigkeit im Einzelfall; umgekehrt sind auch nicht gelistete Datenarten über die allgemeinen Grundsätze (insbesondere Art. 5, 6 DSGVO) geschützt.

Details zum Katalog und zu den einzelnen Kategorien finden sich unter Sensible Datenkategorien (Art. 9 Abs. 1 DSGVO).

1.2 Rechtsfolge des Abs. 1

Die Rechtsfolge ist ein grundsätzliches Verarbeitungsverbot. Eine Verarbeitung ohne einschlägigen Zulässigkeitstatbestand ist rechtswidrig und löst die Bußgeldfolge aus Art. 83 Abs. 5 lit. a DSGVO aus (bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes). Die Kategorie der verarbeiteten Daten ist außerdem bei der Bemessung einer Geldbuße zu berücksichtigen (Art. 83 Abs. 2 lit. g DSGVO).

Das Verbot greift unabhängig davon ein, ob der Verantwortliche privat oder als Träger hoheitlicher Gewalt tätig wird, und knüpft an einen objektiven Maßstab: Auf die Auswertungsabsicht kommt es allenfalls zur Feststellung des Kontextes an, nicht als selbständiges Tatbestandsmerkmal.

Das Verarbeitungsverbot greift bereits dann ein, wenn ein Datensatz mindestens ein sensibles Datum enthält und sensible und nicht sensible Daten im Erhebungszeitpunkt nicht voneinander getrennt werden können (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 89). Wer „gemischte" Datenbestände verarbeitet, muss die Zulässigkeit am Maßstab des Art. 9 DSGVO messen, nicht nur an Art. 6 DSGVO.

1.3 Verhältnis zu Art. 6 DSGVO

Art. 9 DSGVO verdrängt Art. 6 DSGVO nicht, sondern überlagert ihn (ErwGr. 51 S. 5 DSGVO; EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 71 ff.). Wer sensible Daten verarbeiten will, muss beide Rechtmäßigkeitsschichten kumulativ bedienen:

Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO prüfen (Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse etc.).
Ausnahmetatbestand nach Art. 9 Abs. 2 oder 3 DSGVO prüfen: ohne ihn bleibt die Verarbeitung trotz Art. 6 DSGVO untersagt.
Ergänzendes Recht beachten: unions- oder mitgliedstaatliches Ausfüllungsrecht, das einzelne Tatbestände konkretisiert (z.B. § 22 BDSG) oder zusätzliche Beschränkungen aufstellt (Art. 9 Abs. 4 DSGVO).

Sperrwirkung entfaltet Art. 9 DSGVO umgekehrt dort, wo kein Ausnahmetatbestand greift: Ein Rückgriff auf die allgemeinen Erlaubnistatbestände des Art. 6 DSGVO scheidet dann aus (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 89).

1.4 Fernwirkungen in der DSGVO

Die Einordnung von Daten als besondere Kategorie wirkt sich an zahlreichen weiteren Stellen der DSGVO aus:

  • Kompatibilitätstest bei Zweckänderungen (Art. 6 Abs. 4 lit. c DSGVO),
  • zusätzliche Anforderungen an automatisierte Entscheidungen im Einzelfall (Art. 22 Abs. 4 DSGVO),
  • Pflicht zur Benennung eines Vertreters auch bei sonst freigestellten Verarbeitungen (Art. 27 Abs. 1 lit. a DSGVO),
  • Dokumentationspflicht im Verzeichnis von Verarbeitungstätigkeiten trotz der Bagatellgrenzen (Art. 30 Abs. 5 DSGVO),
  • Pflicht zur Datenschutz-Folgenabschätzung bei umfangreicher Verarbeitung (Art. 35 Abs. 3 lit. b DSGVO),
  • Pflicht zur Benennung eines Datenschutzbeauftragten bei Kerntätigkeit (Art. 37 Abs. 1 lit. c DSGVO).

Wer mit sensiblen Daten umgeht, trifft also nicht nur das Verbotsregime des Art. 9 DSGVO, sondern ein ganzes Bündel zusätzlicher Pflichten.

2 Systematik der Zulässigkeitstatbestände

Art. 9 Abs. 2 DSGVO enthält einen abschließenden Katalog von zehn Ausnahmen (lit. a-j); Art. 9 Abs. 3 DSGVO ergänzt ihn um personelle Anforderungen an das Fachpersonal im Gesundheitsbereich. Eine vertragliche Generalklausel parallel zu Art. 6 Abs. 1 lit. b DSGVO existiert nicht: wer sensible Daten im Zivilrechtsverhältnis verarbeitet, ist regelmäßig auf die ausdrückliche Einwilligung (lit. a) oder auf einen der sektoriellen Tatbestände (lit. h) angewiesen.

Der Katalog lässt sich in zwei Typen von Erlaubnistatbeständen einteilen:

  • Unmittelbar anwendbare Tatbestände (lit. a, c, d, e, f): sie bedürfen keiner weiteren Konkretisierung durch Unions- oder mitgliedstaatliches Recht und greifen direkt aus der DSGVO heraus.
  • Konkretisierungsbedürftige Öffnungsklauseln (lit. b, g, h, i, j): sie verlangen ergänzende Vorschriften mit „geeigneten Garantien" oder „angemessenen und spezifischen Maßnahmen". In Deutschland füllt dies vor allem § 22 BDSG aus; daneben treten bereichsspezifische Spezialgesetze.

2.1 Kategorien der Zulässigkeitstatbestände

Die Tatbestände lassen sich grob in vier Gruppen einteilen:

  • Autonomiebasiert: ausdrückliche Einwilligung (lit. a), offenkundig öffentlich gemachte Daten (lit. e).
  • Zum Schutz überragender Interessen: lebenswichtige Interessen (lit. c), Durchsetzung von Rechtsansprüchen und justizielle Tätigkeit (lit. f).
  • Sektorspezifisch: Arbeitsrecht und Sozialrecht (lit. b), Gesundheitsversorgung individuell (lit. h i.V.m. Abs. 3), öffentliche Gesundheit (lit. i), Forschung, Statistik und Archivzwecke (lit. j).
  • Tendenzbezogen oder öffentlich-rechtlich: Tätigkeit von Organisationen ohne Gewinnerzielungsabsicht (lit. d), erhebliches öffentliches Interesse (lit. g).

Ausführliche Darstellung der einzelnen Tatbestände: Zulässigkeitstatbestände (Art. 9 Abs. 2 und 3 DSGVO).

2.2 Geeignete Garantien und spezifische Maßnahmen

Mehrere Tatbestände (lit. b, g, h, i, j) verlangen, dass das einschlägige Unions- oder mitgliedstaatliche Recht „geeignete Garantien" bzw. „angemessene und spezifische Maßnahmen" zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht. Beispiele hierfür sind Berufsgeheimnisse, Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen und organisatorische Trennung. In Deutschland konkretisiert § 22 Abs. 2 BDSG diese Maßnahmen regelbeispielhaft.

2.3 Öffnungsklauseln für nationales Recht

Die Tatbestände der Abs. 2 lit. b, g, h, i und j enthalten jeweils eigene Öffnungsklauseln. Art. 9 Abs. 4 DSGVO erlaubt darüber hinaus allgemein, für genetische, biometrische und Gesundheitsdaten zusätzliche Bedingungen oder Beschränkungen vorzusehen. Details: Öffnungsklausel für mitgliedstaatliches Recht (Art. 9 Abs. 4 DSGVO).

3 Verhältnis zu angrenzenden Normen

3.1 Art. 10 DSGVO (Straftatendaten)

Daten über strafrechtliche Verurteilungen und Straftaten stehen außerhalb des Katalogs des Art. 9 DSGVO, unterliegen aber einem eigenen, ebenfalls erhöhten Schutzregime nach Art. 10 DSGVO. Beide Normen sind strukturell verwandt, aber nicht austauschbar.

3.2 Richtlinie (EU) 2016/680

Verarbeitungen durch zuständige Behörden zu Zwecken der Strafverfolgung richten sich nicht nach Art. 9 DSGVO, sondern nach Art. 10 der Richtlinie (EU) 2016/680 und dem jeweiligen mitgliedstaatlichen Umsetzungsrecht (§§ 45 ff. BDSG).

3.3 Zweckänderung (Art. 6 Abs. 4 DSGVO)

Die Weiterverarbeitung sensibler Daten zu geänderten Zwecken ist nicht schon allein wegen Art. 9 DSGVO ausgeschlossen. Sie ist möglich, wenn der geänderte Zweck mit dem ursprünglichen Zweck vereinbar ist (Art. 6 Abs. 4 DSGVO) und zusätzlich ein Ausnahmetatbestand nach Art. 9 Abs. 2 oder 3 DSGVO einschlägig ist. Der deutsche Gesetzgeber hat dieses Erfordernis in § 23 Abs. 2 BDSG klarstellend festgehalten.

3.4 Archiv-, Forschungs- und Statistikprivileg (Art. 89 DSGVO)

Auch sensible Daten fallen unter die Privilegierung des Art. 5 Abs. 1 lit. b Hs. 2 i.V.m. Art. 89 DSGVO, wobei die Anforderungen des mitgliedstaatlichen Ausfüllungsrechts (für Deutschland §§ 27, 28 BDSG) einzuhalten sind.

4 Praktischer Prüfaufbau

Daten identifizieren: Liegt mindestens ein sensibles Datum nach Art. 9 Abs. 1 DSGVO vor? Der Verarbeitungskontext (Zweck, Verknüpfungen, Auswertungstechniken) ist dabei mitzudenken, insbesondere bei Daten der „Hervorgehen"-Gruppe.
Ausnahmetatbestand wählen: Welcher der Tatbestände aus Art. 9 Abs. 2 oder 3 DSGVO passt zur Verarbeitung? Sind mehrere denkbar, ist die spezifischere Regelung vorrangig.
Rechtsgrundlage nach Art. 6 DSGVO: Der Ausnahmetatbestand ersetzt die Rechtmäßigkeitsprüfung nach Art. 6 DSGVO nicht.
Nationales Ausfüllungsrecht: Greifen zusätzliche Anforderungen (§ 22 BDSG, § 26 BDSG, Fachgesetze wie GenDG, IfSG, SGB V, TPG, PAuswG)?
Garantien und Maßnahmen: Sind die geforderten spezifischen Maßnahmen umgesetzt (Berufsgeheimnis, Pseudonymisierung, Zugriffskonzept, DSFA, erweiterte Betroffenenrechte)?
Dokumentation und Folgepflichten: Art. 30 Abs. 5, Art. 35 Abs. 3 lit. b, Art. 37 Abs. 1 lit. c DSGVO beachten.

Zusammenfassung: Die Verarbeitung sensibler Daten ist rechtmäßig, wenn (1) ein Ausnahmetatbestand aus Art. 9 Abs. 2 oder 3 DSGVO eingreift, (2) eine Rechtsgrundlage nach Art. 6 DSGVO besteht und (3) die geforderten Garantien und Maßnahmen, gegebenenfalls ergänzt um bereichsspezifisches nationales Recht, tatsächlich umgesetzt sind.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Unternehmensinterne Organisation der Datenschutz-Folgenabschätzung

Wer macht im Unternehmen was bei einer DSFA? Rollen und Zuständigkeiten von Fachbereich, Datenschutzbeauftragtem, mitwirkenden Einheiten, Betroffenen und Auftragsverarbeitern, mit Vorschlag für ein internes Verfahren nach Art. 35 DSGVO.

Sensible Datenkategorien (Art. 9 Abs. 1 DSGVO)

Die neun Kategorien besonderer personenbezogener Daten, ihre zweigliedrige Struktur und die Rolle des Verarbeitungskontexts.

Auf dieser Seite

1 Überblick und Einordnung1.1 Regelungsgegenstand1.2 Rechtsfolge des Abs. 11.3 Verhältnis zu Art. 6 DSGVO1.4 Fernwirkungen in der DSGVO2 Systematik der Zulässigkeitstatbestände2.1 Kategorien der Zulässigkeitstatbestände2.2 Geeignete Garantien und spezifische Maßnahmen2.3 Öffnungsklauseln für nationales Recht3 Verhältnis zu angrenzenden Normen3.1 Art. 10 DSGVO (Straftatendaten)3.2 Richtlinie (EU) 2016/6803.3 Zweckänderung (Art. 6 Abs. 4 DSGVO)3.4 Archiv-, Forschungs- und Statistikprivileg (Art. 89 DSGVO)4 Praktischer Prüfaufbau