Datenschutz HubEinzelthemenBesondere Kategorien personenbezogener Daten

Öffnungsklausel für mitgliedstaatliches Recht (Art. 9 Abs. 4 DSGVO)

Reichweite der nationalen Öffnungsklausel für genetische, biometrische und Gesundheitsdaten; Umsetzung in BDSG und bereichsspezifischem Recht.

View as Markdown

Art. 9 Abs. 4 DSGVO erlaubt den Mitgliedstaaten, zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, soweit die Verarbeitung genetischer, biometrischer oder Gesundheitsdaten betroffen ist. Die Öffnungsklausel verschafft dem nationalen Gesetzgeber Spielraum in einem Bereich, in dem die DSGVO besonders stark mit bereichsspezifischem Fachrecht verschränkt ist.

Das Wichtigste in Kürze

  • Art. 9 Abs. 4 DSGVO öffnet nationalem Recht den Weg nur für drei der neun Kategorien: genetische, biometrische und Gesundheitsdaten.
  • Nach der praktisch belastbaren Linie trägt die Klausel Verschärfungen, keine Absenkungen des Schutzniveaus; erweiternde Regelungen sind auf die Öffnungsklauseln des Art. 9 Abs. 2 DSGVO zu stützen.
  • Im deutschen Recht setzen vor allem § 22 BDSG (mit §§ 23, 26, 27, 28 BDSG) und zahlreiche Fachgesetze (GenDG, SGB, IfSG, TPG, AMG, AO, PAuswG) die Klausel um.
  • Die Rechtsanwendung muss drei Ebenen prüfen: DSGVO, Bundesrecht und Landesrecht.
  • Nationale Verschärfungen dürfen den freien Datenverkehr im Binnenmarkt nicht beeinträchtigen (ErwGr. 53 DSGVO).

1 Überblick

1.1 Regelungsgegenstand und Reichweite

Art. 9 Abs. 4 DSGVO knüpft nur an drei der neun Kategorien aus Art. 9 Abs. 1 DSGVO an: genetische Daten, biometrische Daten zur eindeutigen Identifizierung und Gesundheitsdaten. Für die übrigen Kategorien (z.B. politische Meinungen, Gewerkschaftszugehörigkeit) besteht keine entsprechende allgemeine Öffnung; dort ist der Mitgliedstaat auf die tatbestandsspezifischen Öffnungsklauseln in Art. 9 Abs. 2 DSGVO (lit. b, g, h, i, j) verwiesen.

1.2 Eigenständiger Anwendungsbereich neben Abs. 3

Wird die Verarbeitung auf Art. 9 Abs. 2 lit. h DSGVO gestützt, konkretisiert Art. 9 Abs. 3 DSGVO die personellen Anforderungen (Berufsgeheimnis, Geheimhaltungspflichten). Art. 9 Abs. 4 DSGVO behält daneben einen eigenständigen Anwendungsbereich: Er erlaubt Anforderungen, die über das Berufsgeheimnis hinausgehen, etwa die in § 22 Abs. 2 BDSG normierten technisch-organisatorischen Maßnahmen, soweit sie auch auf lit. h erstreckt werden.

1.3 Richtungssinn: Verschärfung, ggf. auch Erleichterung

Ob Art. 9 Abs. 4 DSGVO nur Verschärfungen oder auch Erleichterungen der Rechtmäßigkeitsanforderungen trägt, ist umstritten.

Argumente gegen Erleichterungen:

  • Wortlaut: „Bedingungen, einschließlich Beschränkungen" legt Verschärfungen, nicht Absenkungen nahe.
  • ErwGr. 53 DSGVO: Der freie Datenverkehr innerhalb der Union dürfe nicht durch nationale Vorschriften beeinträchtigt werden. Eine Absenkung national würde die Harmonisierung konterkarieren.
  • ErwGr. 54 S. 4 DSGVO: Die Regelungsmöglichkeit bezieht sich auf Verarbeitung und ihre Bedingungen, nicht auf die Rechte der Betroffenen.

Gegenposition. Teile der Literatur halten auch befugniserweiternde Regelungen für zulässig, wenn weiterhin angemessene Garantien bestehen, etwa zur Vereinfachung der Sekundärnutzung von Gesundheitsdaten in der Forschung. Die Vorschrift ist voraussetzungslos formuliert, was für diese Sichtweise herangezogen wird.

Praktisch belastbare Linie. Unabhängig von der dogmatischen Streitfrage muss jede nationale Regelung nach Art. 9 Abs. 4 DSGVO geeignet, erforderlich und angemessen zum verfolgten Schutzzweck sein. Eine verfassungs- und unionsrechtlich belastbare Erleichterung der Rechtmäßigkeitsanforderungen lässt sich allenfalls in engem Rahmen und mit kompensierenden Garantien konstruieren. Die sichere Strategie für die Praxis bleibt, Art. 9 Abs. 4 DSGVO als Ermächtigung zur Verschärfung zu lesen; erweiternde Regelungen sollten vorrangig auf die tatbestandsspezifischen Öffnungsklauseln des Abs. 2 gestützt werden.

Grenzüberschreitende Verarbeitungen: Nationale Verschärfungen dürfen den freien Verkehr personenbezogener Daten innerhalb der Union nicht beeinträchtigen (ErwGr. 53 S. 5 DSGVO). Wer internationale Strukturen aufbaut, muss den Binnenmarktvorbehalt im Blick behalten.

2 Deutsche Umsetzung

2.1 Zentrale Norm: § 22 BDSG

Die zentrale Umsetzungsnorm für Art. 9 Abs. 2 lit. b, g, h und i DSGVO ist § 22 BDSG; § 22 Abs. 1 Nr. 1 lit. b BDSG setzt zugleich die Vorgaben des Art. 9 Abs. 3 DSGVO um. § 22 Abs. 2 BDSG normiert die geforderten „geeigneten Garantien" beispielhaft und flexibel: der Katalog wirkt orientierend und lässt dem Verantwortlichen Raum für kontextgerechte Umsetzung. Die „überschießenden" Anforderungen des § 22 Abs. 2 BDSG gegenüber dem Schutzniveau des Art. 9 Abs. 3 DSGVO werden auf die Öffnungsklausel des Art. 9 Abs. 4 DSGVO gestützt.

2.2 Weiterverarbeitung: § 23 Abs. 2 BDSG

Für die Weiterverarbeitung sensibler Daten stellt § 23 Abs. 2 BDSG klar: Neben den allgemeinen Voraussetzungen des § 23 Abs. 1 BDSG (Umsetzung von Art. 6 Abs. 4 DSGVO) ist stets auch ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO oder nach § 22 BDSG erforderlich. Die kumulative Prüfung wird damit ausdrücklich für Zweckänderungen fortgeschrieben.

2.3 Beschäftigtenkontext: § 26 Abs. 3 BDSG

§ 26 Abs. 3 BDSG regelt die Verarbeitung sensibler Daten für Zwecke des Beschäftigungsverhältnisses und stützt sich teilweise auf Art. 9 Abs. 2 lit. b DSGVO. Er verschärft die Wirksamkeitsanforderungen an die Einwilligung im Beschäftigungskontext und ordnet für besondere Kategorien eine Interessenabwägung an. Zu beachten ist die Einbindung in die nach Art. 88 DSGVO geltenden Grenzen nationaler Beschäftigtendatenschutzvorschriften.

2.4 Forschung, Statistik und Archiv: §§ 27, 28 BDSG

§§ 27, 28 BDSG sind (auch) in Umsetzung von Art. 9 Abs. 2 lit. j DSGVO ergangen und konkretisieren die geeigneten Garantien bei Verarbeitungen für wissenschaftliche oder historische Forschungszwecke sowie zu statistischen und Archivzwecken.

2.5 Bereichsspezifische Vorschriften

Art. 9 Abs. 4 DSGVO wird in Deutschland vor allem durch sektorales Fachrecht ausgefüllt. Die wichtigsten Felder:

  • Genetische Daten: Gendiagnostikgesetz (GenDG), insbesondere § 8 GenDG für die Einwilligung in genetische Untersuchungen, mit Anforderungen, die über Art. 9 Abs. 2 lit. a DSGVO hinausgehen. Daneben: §§ 81e-81h StPO für die molekulargenetische Untersuchung im Strafverfahren, § 3a ESchG für die Präimplantationsdiagnostik und § 1598a BGB für die Feststellung der biologischen Vaterschaft.
  • Gesundheitsdaten: Sozialgesetzbücher (SGB I, V, VI, VII, X, XI), Infektionsschutzgesetz (insbesondere §§ 6 ff. IfSG), Transplantationsgesetz (§ 7 TPG), Arzneimittelgesetz (AMG), Medizinproduktegesetz (MPG), Transfusionsgesetz (§ 14 TFG), Krebsregistergesetze des Bundes und der Länder, Abgabenordnung (§ 30 AO) sowie eine kaum überschaubare Zahl weiterer Spezialgesetze. § 213 VVG (Erhebung von Gesundheitsdaten durch Versicherer bei Dritten) kann gem. Art. 9 Abs. 2 lit. h DSGVO i.V.m. Abs. 4 beibehalten werden.
  • Biometrische Daten: Personalausweisgesetz (§ 5 Abs. 5 und 9 PAuswG), Passgesetz (§ 4 Abs. 4 PaßG), Aufenthaltsrecht (§ 49 Abs. 1 AufenthG), Asylverfahrensgesetz (§ 16 Abs. 1a AsylVfG), Strafprozessordnung (§ 81b StPO), Polizeigesetze (z.B. § 24 BPolG). Auf europäischer Ebene die Eurodac-Verordnung.

Spezifisch für den Sozialdatenschutz normiert § 67b Abs. 1 S. 3 SGB X einen vorrangigen Übermittlungsvorbehalt: Die Übermittlung biometrischer, genetischer oder Gesundheitsdaten ist abweichend von Art. 9 Abs. 2 lit. b, d-j DSGVO nur zulässig, soweit eine gesetzliche Übermittlungsbefugnis nach §§ 68-77 SGB X oder einer anderen Vorschrift in diesem Gesetzbuch vorliegt; § 22 Abs. 2 BDSG gilt entsprechend.

Hinzu treten europäische Sonderrechtsakte im Gesundheits- und Datenraumkontext (u.a. Daten-Governance-Rechtsakt, geplante Verordnung über einen europäischen Raum für Gesundheitsdaten (European Health Data Space, EHDS). Der EHDS baut auf Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO auf und soll nationales Recht in seinem Anwendungsbereich verdrängen; Art. 9 Abs. 4 DSGVO wird insoweit als älteres Recht beschränkt. Nationale Verschärfungen müssen sich künftig im Rahmen des EHDS bewegen.

3 Praxisfolgen

3.1 Föderalismus und Überblickprobleme

Die Öffnungsklauseln der DSGVO (und Art. 9 Abs. 4 DSGVO im Besonderen) führen zu einem Geflecht europäischer und nationaler Regelungen. In föderal strukturierten Mitgliedstaaten wie Deutschland kommen Landesgesetzgebungen hinzu (u.a. Gesundheitsdatenschutz in Krankenhausgesetzen, Krebsregistergesetzen und Polizeigesetzen der Länder). Für die Rechtsanwendung bedeutet das, dass Verantwortliche drei Ebenen prüfen müssen:

DSGVO: einschlägiger Tatbestand aus Art. 9 Abs. 2 oder 3 DSGVO, ergänzt um Art. 6 DSGVO.
Bundesrecht: § 22 BDSG, § 23 BDSG, § 26 BDSG, §§ 27, 28 BDSG sowie einschlägiges Fachrecht (GenDG, SGB, IfSG, TPG, AMG, AO, PAuswG).
Landesrecht: Krankenhausgesetze, Gesundheitsdienstgesetze, Landeskrebsregistergesetze, Polizeigesetze mit Sondervorschriften für sensible Daten.

3.2 Typische Fallstricke

  • Die Anforderungen des § 22 Abs. 2 BDSG gelten auch für Tatbestände, die in Art. 9 DSGVO selbst keine ausdrückliche Garantieklausel enthalten, soweit § 22 BDSG auf den jeweiligen Tatbestand verweist. Die eigenständige Stütze auf Art. 9 Abs. 4 DSGVO ist dabei mitzudenken.
  • Bei genetischen Daten sind die verschärften Anforderungen des GenDG (Einwilligungsform, ärztliche Aufklärung, Vertraulichkeitspflichten) kumulativ zu den DSGVO-Anforderungen einzuhalten. Die gendiagnostische Forschung ist bisher nicht eigenständig geregelt; hier bestehen anhaltende Regulierungslücken.
  • Bei biometrischen Daten im öffentlichen Ausweiswesen gelten bereichsspezifische Vorschriften mit engem Zweckbezug: eine zweckfremde Nutzung ist unzulässig, auch wenn Art. 9 Abs. 2 DSGVO einen anderen Ausnahmetatbestand hergäbe. Biometrische Reisepass-Regelungen sind unionsrechtlich nur bei strenger Zweckbegrenzung und hohem technischen Sicherheitsstandard zu halten.
  • Kollektivvereinbarungen nach Art. 88 DSGVO können zusätzliche Anforderungen im Beschäftigtenkontext setzen, die über das gesetzliche Schutzregime hinausgehen.
  • Für das Forschungsprivileg in Deutschland fehlt bisher ein eigenständiger Zeugnisverweigerungs- und Beschlagnahmeschutz für Forschende („Forschungsgeheimnis"); das Zusammenspiel mit § 27 BDSG und den Forschungsklauseln in Landes- und Fachgesetzen ist komplex.

3.3 Binnenmarktaspekt

Wer sensible Daten grenzüberschreitend verarbeitet, muss prüfen, ob die jeweils einschlägigen nationalen Verschärfungen mit dem Unionsrecht vereinbar sind. Absolute Verarbeitungsverbote ohne Verhältnismäßigkeitsreserve oder mit diskriminierender Wirkung sind unionsrechtlich angreifbar; legitime Verschärfungen zum Schutz hochsensibler Kategorien (z.B. genetische Daten) werden vom EuGH bislang anerkannt, wenn sie verhältnismäßig und binnenmarktneutral ausgestaltet sind.

Zusammenfassung: Art. 9 Abs. 4 DSGVO erlaubt Verschärfungen, keine Absenkungen, und das nur für genetische, biometrische und Gesundheitsdaten. Im deutschen Recht stützen sich § 22 Abs. 2 BDSG und zahlreiche Fachgesetze (GenDG, SGB, IfSG, TPG, PAuswG, AO) auf diese Öffnung.

Genetische Daten (Begriff, Art. 4 Nr. 13 DSGVO)

Legaldefinition genetischer Daten.

Biometrische Daten (Begriff, Art. 4 Nr. 14 DSGVO)

Legaldefinition biometrischer Daten.

Gesundheitsdaten (Begriff, Art. 4 Nr. 15 DSGVO)

Legaldefinition der Gesundheitsdaten.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Zulässigkeitstatbestände (Art. 9 Abs. 2 und 3 DSGVO)

Überblick und Detaildarstellung der zehn Ausnahmen von Abs. 2 lit. a-j und der personellen Anforderungen des Abs. 3.

Drittlandsübermittlung (Datenexport)

Wann personenbezogene Daten in ein Drittland übermittelt werden, welches Prüfschema gilt und welche Instrumente ein angemessenes Schutzniveau herstellen. Überblick zu Kapitel 5 der DSGVO (Art. 44 bis 49 DSGVO) mit Ausnahmen, Standardvertragsklauseln, Data Privacy Framework und Binding Corporate Rules.

On this page

1 Überblick1.1 Regelungsgegenstand und Reichweite1.2 Eigenständiger Anwendungsbereich neben Abs. 31.3 Richtungssinn: Verschärfung, ggf. auch Erleichterung2 Deutsche Umsetzung2.1 Zentrale Norm: § 22 BDSG2.2 Weiterverarbeitung: § 23 Abs. 2 BDSG2.3 Beschäftigtenkontext: § 26 Abs. 3 BDSG2.4 Forschung, Statistik und Archiv: §§ 27, 28 BDSG2.5 Bereichsspezifische Vorschriften3 Praxisfolgen3.1 Föderalismus und Überblickprobleme3.2 Typische Fallstricke3.3 Binnenmarktaspekt