Sensible Datenkategorien (Art. 9 Abs. 1 DSGVO)

Art. 9 Abs. 1 DSGVO zählt die besonderen Kategorien personenbezogener Daten abschließend auf und stellt deren Verarbeitung grundsätzlich unter Verbot. Die Vorschrift ist keiner dynamischen Erweiterung durch Auslegung zugänglich: Was nicht aufgezählt ist, ist kein sensibles Datum, auch wenn es im Einzelfall besonders grundrechtssensibel wirkt.

1 Überblick

1.1 Rechtsfolge und teleologischer Hintergrund

Das Verarbeitungsverbot knüpft an eine typisierende Annahme erhöhter Schutzbedürftigkeit an: Sensible Daten sind ihrem Wesen nach grundrechtsrelevant, weil mit ihrer Verarbeitung erhebliche Risiken für Grundrechte und Grundfreiheiten verbunden sein können (ErwGr. 51 S. 1 DSGVO). Die Schutzgüter sind dabei vielschichtig und reichen über das Diskriminierungsverbot (Art. 21 GRCh) hinaus:

• Anspruch auf Achtung des Privatlebens (Art. 7 GRCh, Art. 8 Abs. 1 EMRK),
• Schutz personenbezogener Daten als eigenständiges Grundrecht (Art. 8 GRCh),
• Gedanken-, Gewissens- und Religionsfreiheit (Art. 10 GRCh),
• Meinungs- und Versammlungsfreiheit (Art. 11, 12 GRCh),
• Koalitionsfreiheit (Art. 28 GRCh),
• Recht auf Achtung der körperlichen und geistigen Unversehrtheit (Art. 3 Abs. 1 GRCh),
• Anspruch auf soziale Sicherheit und auf Gesundheitsschutz (Art. 34, 35 GRCh) und
• Menschenwürde (Art. 1 GRCh).

Dogmatisch verbindet Art. 9 DSGVO damit zwei Ansätze: das moderne Grundrecht auf Datenschutz (Art. 8 GRCh) und die ältere Sphärentheorie des Persönlichkeitsrechts, die den Schutz der Intim- und Privatsphäre bzw. den Kernbereich privater Lebensgestaltung in den Mittelpunkt stellt. Das BVerfG hatte bereits 1983 im Volkszählungsurteil festgehalten, dass es „unter den Bedingungen der automatischen Datenverarbeitung kein ‚belangloses' Datum mehr" geben kann; der Schutzbereich erstreckt sich also auf alle personenbezogenen Daten. Art. 9 DSGVO anerkennt aber, dass Inhalt und Art der Daten für Umfang und Intensität des Schutzes maßgeblich bleiben.

Zusätzlich spielt das Recht auf Nichtwissen vor allem bei genetischen Daten und Gesundheitsdaten eine Rolle: Die Betroffenen können darüber entscheiden, ob sie sich mit dem Wissen um ihren Gesundheitszustand oder ihre genetische Disposition belasten wollen. Genetische Daten vermitteln darüber hinaus regelmäßig Informationen über genetisch verwandte Personen; auch deren Schutzbedürfnisse sind mitzudenken.

1.2 Zweigliedrige Struktur des Katalogs

Der Katalog zerfällt in zwei Gruppen, die sich sprachlich und systematisch unterscheiden:

Bei der ersten Gruppe geht es darum, bereits die „Quelldaten" zu erfassen, aus denen sich sensible Informationen ergeben können, also auch scheinbar allgemeine Daten wie Name, Wohnort oder Likes, wenn sich aus ihnen mit hinreichender Wahrscheinlichkeit Rückschlüsse auf die Kategorien ziehen lassen.

Bei der zweiten Gruppe sieht der Verordnungsgeber die Schutzbedürftigkeit unmittelbar im Aussagegehalt der Daten begründet. Die Legaldefinitionen der Art. 4 Nr. 13-15 DSGVO relativieren diese Trennung jedoch, indem sie auch bei Gesundheitsdaten auf den generierbaren Informationsgehalt abstellen.

1.3 Rolle des Verarbeitungskontexts

Ob ein Datum tatsächlich unter eine der Kategorien fällt, lässt sich nur unter Berücksichtigung des Verarbeitungskontexts beantworten. Maßgeblich sind dabei:

• Verarbeitungszweck und eingesetzte Techniken,
• Verknüpfungsmöglichkeiten mit anderen Datenbeständen,
• arbeitsteiliges Zusammenspiel mehrerer Akteure,
• Wahrscheinlichkeit, mit der sensible Informationen generiert werden können, und
• Auswertungsabsicht (als ein Element des Kontexts, nicht als alleiniger Maßstab).

Der EuGH vertritt einen objektiv-weiten Ansatz: Art. 9 Abs. 1 DSGVO greift auch dann, wenn der Verantwortliche nicht das Ziel verfolgt, sensible Informationen zu gewinnen, und unabhängig davon, ob die Informationen den Nutzer selbst oder eine andere Person betreffen (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 68 ff.).

2 Die einzelnen Kategorien

2.1 Rassische und ethnische Herkunft

Der Verordnungsgeber verwendet den Begriff „Rasse" in ausdrücklicher Distanzierung von jeglichen Rassentheorien (ErwGr. 51 S. 2 DSGVO). Erfasst sind Daten, aus denen sich Rückschlüsse auf die Zugehörigkeit zu einer ethnischen Gruppe oder auf physiognomische Merkmale ergeben, zum Beispiel:

• Augenfarbe, Haartyp, Hautfarbe,
• Muttersprache, Geburtsort,
• unter bestimmten Umständen Name oder Wohnort.

Begrifflich trennt die Vorschrift nicht streng zwischen beiden Merkmalen, wohl aber im Zugriff: „Rassische Herkunft" zielt auf biologische Abstammung und vererbbare Eigenschaften, „ethnische Herkunft" stärker auf kulturelle Zugehörigkeit (Sprache, Geschichte, Tradition, gemeinsame Werte, Zusammengehörigkeitsgefühl einer Menschengruppe). Aus dem Namen lässt sich nur im Ausnahmefall auf eine entsprechende Zugehörigkeit schließen; Gleiches gilt für Sprache, Geburts- oder Wohnort. Nicht erfasst sind Nationalität oder Staatsangehörigkeit. Auch die Zugehörigkeit zu einer sozialen Schicht fällt nicht unter Art. 9 DSGVO.

Die Breite des Ausgangsbegriffs führt dazu, dass die Ab- und Eingrenzung sich am Diskriminierungsverbot (Art. 21 GRCh) und an der Pflicht zur Achtung kultureller Vielfalt (Art. 22 GRCh) orientieren muss. Nicht jede Abbildung einer Person im Netz ist schon eine Verarbeitung sensibler Daten.

2.2 Politische Meinungen

Geschützt werden Rückschlüsse auf die politische Einstellung einer Person, Zustimmung wie Ablehnung. Grundrechtlicher Hintergrund sind das Diskriminierungsverbot (Art. 21 GRCh) und die Meinungs- und Versammlungsfreiheit (Art. 11, 12 GRCh). Mit überindividueller Perspektive tritt der Schutz demokratischer Prozesse hinzu, der besonders bei datengestützter Wahlbeeinflussung relevant wird.

Beispiele für einschlägige Quelldaten:

• parteipolitisches Engagement, Demonstrationsteilnahme,
• Konsum einschlägiger Medien oder Posts,
• Mitgliedschaft in bestimmten Online-Gruppen, Likes,
• Tracking auf Parteiwebseiten und politischen Medien.

2.3 Religiöse und weltanschauliche Überzeugungen

Umfasst sind sowohl positive Bekenntnisse als auch atheistische oder agnostische Überzeugungen; der Begriff ist kohärent zu Art. 10 GRCh zu verstehen. Anhänger von Naturreligionen, Atheisten, Anthroposophen, Christen, Muslime, Buddhisten oder Mitglieder weltanschaulicher Organisationen haben den gleichen Anspruch darauf, dass Angaben zu ihrer Überzeugung nur unter besonderen Bedingungen verarbeitet werden. Auch der Kirchenaustritt lässt Rückschlüsse auf eine religiöse Überzeugung zu.

Beispiele sind:

• religiöse oder weltanschauliche Kommunikationsbeiträge,
• Betätigung in einer religiösen Gemeinschaft,
• Bezug religiöser Literatur, Mitgliedschaft in einschlägigen Online-Gruppen,
• Kirchenmitgliedschaft (auch dort, wo sie auf gesetzlicher Grundlage von Steuerbehörden verarbeitet wird),
• Ausdruck der Überzeugung durch Kleidung oder Gegenstände.

Der bloße Kauf eines religiösen Buchs reicht dagegen nicht aus; die zugrunde liegende Überzeugung wird dadurch noch nicht erkennbar.

Anders als politische Meinungen, die sich auf aktuelle konkrete Fragen und Ereignisse beziehen, zielen religiöse und weltanschauliche Überzeugungen eher auf Grundsätzliches. Bloße Einstellungen (Vegetarier) sind keine Weltanschauung, wohl aber allgemeine politisch-gesellschaftliche Einordnungen mit einem damit verbundenen Menschen- und Gesellschaftsbild (Pazifist, Kommunist, Monarchist).

Aus Name, Geburts- oder Wohnort lässt sich heute zumeist keine Wahrscheinlichkeit für eine bestimmte religiöse oder weltanschauliche Überzeugung mehr ableiten; die jeweilige Überzeugung ist frei wandelbar und wird datenschutzrechtlich gerade geschützt.

2.4 Gewerkschaftszugehörigkeit

Hintergrund sind die Koalitionsfreiheit (Art. 28 GRCh) und das Diskriminierungsverbot (Art. 21 GRCh). Verboten ist die Verarbeitung aller Daten, aus denen die Zugehörigkeit zu einer Gewerkschaft mit hinreichender Wahrscheinlichkeit hervorgeht, unabhängig von der Ausrichtung der Gewerkschaft. Bloßer Besuch einer Gewerkschaftsveranstaltung reicht für sich genommen nicht aus, da er auch reinem Interesse geschuldet sein kann.

2.5 Genetische Daten

Art. 4 Nr. 13 DSGVO definiert genetische Daten als personenbezogene Daten zu ererbten oder erworbenen genetischen Eigenschaften, die eindeutige Informationen über Physiologie oder Gesundheit liefern. Typische Quellen sind Chromosomen-, DNS- oder RNS-Analysen (ErwGr. 34 DSGVO).

Besonderheiten:

• Körperproben sind nicht generell datenschutzrechtliche „Daten", stehen aber in gefährdungsbehafteten Kontexten (z.B. Biobanken) unter eigenem Schutzregime.
• Genetische Daten vermitteln regelmäßig auch Informationen über genetisch verwandte Personen; die spezifischen Schutzerfordernisse für Dritte sind mitzudenken.
• Das Gendiagnostikgesetz (GenDG) stellt für Einwilligungen in genetische Untersuchungen zusätzliche, über Art. 9 Abs. 2 lit. a DSGVO hinausgehende Anforderungen (§ 8 Abs. 1 GenDG).

2.6 Biometrische Daten zur eindeutigen Identifizierung

Art. 4 Nr. 14 DSGVO nennt drei Voraussetzungen:

1. Art der Daten: physische, physiologische oder verhaltenstypische Merkmale einer natürlichen Person.
2. Verarbeitungsmethode: Gewinnung mit speziellen technischen Verfahren.
3. Zweck: eindeutige Identifizierung.

Der Grund für die Aufnahme in den Schutzkatalog ist spezifisch datenschutzrechtlich: Biometrische Merkmale sind mit modernen Mitteln einfach zu erlangen, vom Betroffenen nicht beeinflussbar und erlauben die systematische Zusammenführung von Daten zu umfassenden Persönlichkeitsprofilen. Dem soll Art. 9 DSGVO entgegenwirken.

Nicht jede Videoaufnahme eines Gesichts ist deshalb schon eine Verarbeitung biometrischer Daten. Lichtbilder fallen nur dann unter Art. 9 DSGVO, wenn sie mit technischen Verfahren verarbeitet werden, die eine eindeutige Identifizierung oder Authentifizierung ermöglichen (ErwGr. 51 S. 3 DSGVO; EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, 29.01.2020, Rn. 76, 87 ff.). Entsprechendes gilt für genetische oder sonstige biometrische Daten: Erst der Einsatz der spezifischen technischen Verarbeitung macht sie zu sensiblen Daten iSd Art. 9 DSGVO.

Da genetische Daten regelmäßig eine eindeutige Zuordnung zu einer Person erlauben und für diese merkmalsbestimmend sind, liegen genetische und biometrische Daten in der Praxis häufig gemeinsam vor.

Die Konformität biometrischer Merkmale auf Reisedokumenten mit Art. 7 und 8 GRCh ist unionsrechtlich anerkannt, allerdings nur, wenn die nationale Regelung eine strenge Zweckbegrenzung und einen hohen technischen Sicherheitsstandard vorsieht.

2.7 Gesundheitsdaten

Die Legaldefinition in Art. 4 Nr. 15 DSGVO ist weit angelegt und erfasst alle Daten, die sich auf die körperliche oder geistige Gesundheit beziehen und aus denen Informationen über den (auch zukünftigen) Gesundheitszustand hervorgehen. Einbezogen sind Daten, die im Zuge der Anmeldung für und Erbringung von Gesundheitsleistungen entstehen (ErwGr. 35 DSGVO). Das Begriffsverständnis knüpft an die Gesundheitsdefinition der WHO an, die Gesundheit als Zustand völligen psychischen, physischen und sozialen Wohlbefindens (und nicht nur als Freisein von Krankheit und Gebrechen) versteht.

Eine Besonderheit liegt in der multipolaren Funktion von Gesundheitsdaten: Medizinische Leistungserbringung, Abrechnung, externalisierte IT und Sekundärnutzungen (Behörden, Forschung) führen zu komplexen Beziehungsgeflechten mit hoher struktureller Komplexität. Der Kreis der Akteure, die ein berechtigtes Interesse an solchen Daten geltend machen, ist groß; entsprechend hoch sind die Anforderungen an Zweckbindung und Schutzmaßnahmen.

Einschlägige Beispiele:

• Ergebnisse medizinischer Untersuchungen (Laborwerte, Röntgenbilder, Blutgruppe), Arbeitsunfähigkeitsfeststellungen, Krankheitstage, Impfstatus,
• Gewicht, Größe, (vermeintliche) Schönheitsfehler sowie weitere differenzierungsfähige körperliche oder seelische Merkmale,
• Ereignisse wie Operationen, Unfälle, Krankheiten (akut oder chronisch, körperlich oder seelisch, sichtbar oder unsichtbar),
• medizinische Bewertungen wie die Einstufung als schwerbehindert oder eine ärztliche Krankschreibung für den Arbeitgeber,
• Vorliegen einer Schwangerschaft, Beeinträchtigungen der Arbeitsfähigkeit,
• Einnahme von Stoffen mit gesundheitlicher Wirkung (z.B. Alkohol, Drogen, Medikamente),
• Aufenthalt in gesundheitsrelevanten Einrichtungen: allgemeinen Krankenhäusern, Aids-, Krebs- oder Kurkliniken, Pflegeheimen, Arzt- oder Heilpraxen, psycho-sozialen Wohngruppen, Maßregelvollzugsanstalten,
• Bestands-, Verkehrs- und Inhaltsdaten der Telekommunikation zwischen Betroffenen und Gesundheitseinrichtungen,
• Daten aus Smart-Health-Anwendungen, soweit sie kumulativ Rückschlüsse auf den Gesundheitszustand zulassen.

Sozialdaten nach § 35 SGB I i.V.m. §§ 67 ff. SGB X können zugleich Gesundheitsdaten sein (medizinische Diagnosen, behandelnde Ärzte, Mutterschaften), aber auch eine spezifische Form des Versicherungsschutzes wie die Teilnahme an einem strukturierten Behandlungsprogramm (§§ 53 Abs. 3, 137f SGB V).

Nicht jede potenziell gesundheitsrelevante Angabe wird zum Gesundheitsdatum. Informationen über Gewohnheiten (z.B. Alkoholkonsum, Sportaktivität) fallen für sich genommen nicht unter Art. 9 DSGVO; die Kombination mit anderen Daten kann das Ergebnis allerdings kippen lassen. Nicht erfasst ist auch die Zugehörigkeit zu einer bestimmten Krankenkasse oder Krankenversicherung bzw. der Umstand einer Beihilfeberechtigung; bei Krankenversicherungen vorliegende Angaben über Arbeitgeber, Einkommen oder Konfession sind für sich genommen keine Gesundheitsdaten. Auch eine kontextfreie Adresse (z.B. einer Drogenberatungsstelle) oder die Live-Fernsehübertragung einer Verletzung werden nicht automatisch zum Gesundheitsdatum. Gibt jemand fälschlich an, krank zu sein, so liegt in der Regel kein Gesundheitsdatum vor.

2.8 Sexualleben und sexuelle Orientierung

Erfasst sind Informationen zu sexuellen Aktivitäten (Häufigkeit, Art, Sexualpartner) sowie zur sexuellen Ausrichtung (hetero-, bi-, homo-, trans- oder asexuell). Grundrechtlich tragen diese Kategorie das Diskriminierungsverbot (Art. 21 GRCh) und der Anspruch auf Achtung des Privatlebens (Art. 7 GRCh).

Einbezogen sind insbesondere:

• der Umstand einer Geschlechtsumwandlung,
• die Zugehörigkeit zur Kategorie eines „dritten Geschlechts",
• das Bestehen einer eingetragenen Lebenspartnerschaft,
• die Kundeneigenschaft in einem Sexshop oder einschlägigen Versandhandelsunternehmen,
• der Kauf oder die Einnahme von Aphrodisiaka oder Verhütungsmitteln,
• der Konsum erotischer oder pornografischer Literatur, Filme oder vergleichbarer Utensilien,
• Angaben aus Dating-Apps oder Dating-Seiten,
• Daten über Ehegatten, Lebensgefährten oder Partner, wenn daraus Rückschlüsse auf das Sexualleben oder die sexuelle Orientierung ableitbar sind (vgl. EuGH, Urt. v. 01.08.2022, C-184/20, Vyriausioji tarnybinės etikos komisija).

Auch die Ablehnung bestimmter sexueller Praktiken kann als Angabe über die sexuelle Ausrichtung bewertet werden. Die Angabe „verheiratet" oder „ledig" fällt dagegen nicht unter die Kategorie.

Systematisch gehört die Kategorie zur Gruppe der Inhaltsdaten. Die Formulierung „zum" Sexualleben bzw. „zur" sexuellen Orientierung öffnet den Tatbestand aber für mittelbar ableitbare Angaben. In Grenzbereichen (Familienstand, Kauf von Verhütungsmitteln, Mitgliedschaft auf zielgruppenspezifischen Plattformen) ist kontextbezogen zu prüfen, ob mit hinreichender Wahrscheinlichkeit entsprechende Rückschlüsse entstehen.

3 Abgrenzung und Sonderfragen

3.1 Gemischte Datensätze

Werden sensible und nicht sensible Daten zusammen erhoben und ist eine Trennung zum Erhebungszeitpunkt nicht möglich, fällt der gesamte Datensatz unter Art. 9 DSGVO, sobald er mindestens ein sensibles Datum enthält (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 89).

3.2 Kontextabhängige Mehrfachzuordnung

Ein Datum kann Rückschlüsse auf mehrere Kategorien zugleich zulassen. Das kann bedeutsam werden, wenn für eine Kategorie strengere Vorgaben gelten als für eine andere, etwa weil Art. 9 Abs. 4 DSGVO nur für genetische, biometrische und Gesundheitsdaten zusätzliche nationale Beschränkungen erlaubt.

3.3 Teleologische Reduktion in „belanglosen" Kontexten

Der offene Anwendungsbereich vor allem der Inhaltsdaten-Gruppe wird punktuell durch eine teleologische Reduktion korrigiert, etwa beim Foto eines Brillenträgers in alltäglichen Zusammenhängen. Eine teleologische Reduktion beim KI-Modelltraining hat das OLG Köln in einem Eilverfahren vorgenommen (OLG Köln, Urt. v. 23.05.2025, I-15 U 132/24). Solche Korrekturen bleiben Ausnahmen und ersetzen keine Einzelfallprüfung.

3.4 Grenzen des Katalogs: nicht erfasste Risikodaten

Der Katalog ist abschließend und damit einer Analogie nicht zugänglich. Das hat zur Folge, dass bestimmte, in der modernen Datenverarbeitung hochsensible Kategorien außerhalb von Art. 9 DSGVO bleiben, obwohl sie vergleichbare Eingriffspotenziale haben:

• Standortdaten, die zur Erstellung umfassender Verhaltens-, Sozial- und Persönlichkeitsprofile genutzt werden können,
• Finanztransaktionsdaten, deren Auswertungspotenzial mit der Digitalisierung des Zahlungsverkehrs deutlich zunimmt,
• Daten über Armut, soziale Auffälligkeiten oder moralische Überzeugungen,
• Diskriminierungsmerkmale außerhalb des AGG-Katalogs (Alter, Geschlecht, Vermögen).

Für diese Kategorien greift der verschärfte Schutz des Art. 9 DSGVO nicht. Sie sind aber über die allgemeinen Grundsätze (Art. 5, 6 DSGVO) sowie über Folgepflichten (DSFA-Risikoanalyse, TOM nach Art. 32 DSGVO) zu schützen.

4 Praxisrelevante Leitlinien

4.1 Schritt-für-Schritt-Prüfung

4.2 Typische Fallstricke

• Online-Tracking zu politischen, religiösen oder gesundheitsbezogenen Webseiten wird als Verarbeitung sensibler Daten behandelt, auch ohne erkennbare Auswertungsabsicht.
• Videoüberwachung mit biometrischer Auswertung (z.B. Gesichtserkennung) ist regelmäßig Verarbeitung biometrischer Daten iSd Art. 9 DSGVO, auch wenn nicht identifizierte Personen „unabsichtlich" erfasst werden.
• Online-Apotheken müssen Bestelldaten als Gesundheitsdaten behandeln (siehe oben).
• „Öffentliche" Social-Media-Daten werden nicht automatisch aus dem Schutzregime entlassen; zusätzlich zu Art. 9 gelten Art. 5 und 6 DSGVO.