Art. 9 DSGVO definiert die „besonderen Kategorien personenbezogener Daten" — jene Daten, die wegen ihrer Sensibilität einem grundsätzlichen Verarbeitungs-Verbot unterliegen. Die zehn Kategorien umfassen Gesundheitsdaten, biometrische und genetische Daten, ethnische Herkunft, politische Meinung, religiöse Überzeugung, Gewerkschaftszugehörigkeit, sexuelle Orientierung und mehr. Verarbeitung ist nur in den zehn enumerativen Ausnahmen des Art. 9 Abs. 2 zulässig — von ausdrücklicher Einwilligung über arbeitsrechtliche Pflichten bis zu Forschungszwecken. Das deutsche Recht ergänzt durch §§ 22, 26 BDSG sowie branchenspezifische Sondergesetze (SGB V, IfSG, BeamtenG). Bußgelder erreichen 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes — bei systematischer Verletzung sind siebenstellige Sanktionen die Regel.
Kerntatsachen
Zehn besondere Kategorien: Rasse / ethnische Herkunft, politische Meinung, religiöse / weltanschauliche Überzeugung, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben, Daten zur sexuellen Orientierung.
Grundsätzliches Verarbeitungsverbot — nur in zehn enumerativen Ausnahmen erlaubt.
Häufigste Ausnahme im B2B-Bereich: ausdrückliche Einwilligung (Art. 9 Abs. 2 a) — strengere Anforderungen als bei normaler Einwilligung.
Wichtigste deutsche Spezialregelung: § 26 Abs. 3 BDSG für Beschäftigtendaten (Krankheitsangaben, Behinderung).
Pflicht zur DSFA (Art. 35 Abs. 3 b) bei großflächiger Verarbeitung besonderer Kategorien — auch unabhängig von der Schwelle.
Bußgeldhöhe bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes — höchste DSGVO-Stufe.
Art. 9 DSGVO unterscheidet sich grundlegend von der allgemeinen Datenverarbeitung — sensible Daten unterliegen einem erhöhten Schutzniveau mit einem grundsätzlichen Verarbeitungsverbot.
Definition
„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt."
Erhöhter Schutz
Die strengeren Regeln basieren auf der besonderen Verletzbarkeit der Betroffenen — sensible Daten haben höhere Konsequenzen bei Missbrauch:
Diskriminierungsrisiko (z. B. wegen ethnischer Herkunft, religiöser Überzeugung)
Stigmatisierungsrisiko (z. B. wegen Krankheit, sexueller Orientierung)
wirtschaftliche Nachteile (z. B. Versicherungs-Risikobewertung wegen Gesundheitsdaten)
rechtliche Konsequenzen (z. B. politische Verfolgung in autoritären Staaten)
Verhältnis zu Art. 6 DSGVO
Bei Art. 9-Daten genügt nicht eine Rechtsgrundlage nach Art. 6 — es ist zusätzlich eine Ausnahme nach Art. 9 Abs. 2 erforderlich (Doppelte Rechtfertigung).
Kennzahl
Über 60 % aller deutschen DSGVO-Bußgelder über 100.000 EUR betreffen die Verarbeitung besonderer Kategorien — insbesondere im Gesundheitswesen, in HR-Verarbeitungen und bei biometrischen Erfassungssystemen.
Zehn Kategorien
Art. 9 Abs. 1 listet zehn Datenkategorien — jede mit eigenen typischen Anwendungen.
Übersicht der Kategorien
Kategorie
Typische Datenarten
1. Rassische und ethnische Herkunft
Hautfarbe, Geburtsort, Staatsangehörigkeit (in bestimmten Kontexten)
Diagnosen, Medikamente, Krankenakten, Impfstatus, BMI in medizinischem Kontext
9. Sexualleben
sexuelle Aktivitäten, Praktiken
10. Sexuelle Orientierung
Heterosexualität, Homosexualität, Bisexualität etc.
Definitionen wichtiger Begriffe (Art. 4)
Begriff
Definition
Genetische Daten (Art. 4 Nr. 13)
personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften, die eindeutige Informationen über die Physiologie oder Gesundheit liefern
Biometrische Daten (Art. 4 Nr. 14)
personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen, die eine eindeutige Identifizierung ermöglichen
Gesundheitsdaten (Art. 4 Nr. 15)
personenbezogene Daten zur körperlichen oder geistigen Gesundheit, einschließlich der Erbringung von Gesundheitsdienstleistungen
Verarbeitungsverbot
Das grundsätzliche Verbot der Verarbeitung ist die zentrale Regelungstechnik des Art. 9.
Was bedeutet „Verarbeitung"?
Verarbeitung umfasst jede Operation mit personenbezogenen Daten:
Erhebung
Erfassung
Organisation
Speicherung
Anpassung / Veränderung
Auslesen / Abfrage
Verwendung
Übermittlung
Verbreitung
Verknüpfung
Einschränkung
Löschung / Vernichtung
Verbot ohne Ausnahme = unrechtmäßig
Wenn keine Ausnahme nach Abs. 2 greift, ist die Verarbeitung unrechtmäßig — auch wenn sie nach Art. 6 DSGVO grundsätzlich rechtmäßig wäre.
Beispiel-Konstellationen
Verarbeitung
Rechtmäßig nach Art. 9?
Krankenhaus speichert Patientendaten
ja, nach Abs. 2 h (Gesundheitsversorgung)
Arbeitgeber speichert Krankheitsangaben für Lohnfortzahlung
ja, nach Abs. 2 b (Arbeitsrecht) + § 26 BDSG
Online-Shop fragt nach Religion zur Newsletter-Personalisierung
nein — keine Ausnahme greift
Versicherer fragt nach Gesundheit für Risikobewertung
ja, nach Abs. 2 a (ausdrückliche Einwilligung)
Gerichtsverfahren mit Gesundheitsbezug
ja, nach Abs. 2 f (Rechtsanspruch)
Zehn Ausnahmen
Art. 9 Abs. 2 enthält zehn Ausnahmen — eine geschlossene Liste.
Die Ausnahmen im Überblick
Ausnahme
Anwendung
(a) Ausdrückliche Einwilligung
strengere Anforderungen als normale Einwilligung
(b) Arbeits-, sozialversicherungs- und sozialschutzrechtliche Pflichten
mit deutschem Spezialgesetz § 26 BDSG
(c) Schutz lebenswichtiger Interessen
Notfälle, wenn Person nicht einwilligungsfähig
(d) Verarbeitung durch politische, weltanschauliche, religiöse oder gewerkschaftliche Vereinigung
in Bezug auf Mitglieder
(e) Daten, die der Betroffene öffentlich zugänglich gemacht hat
hohe Schwelle — nicht jeder öffentliche Datenpunkt fällt darunter
(f) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Gerichtsverfahren, anwaltliche Vertretung
(g) Erhebliches öffentliches Interesse
mit nationaler Rechtsgrundlage
(h) Gesundheitsversorgung, Arbeitsmedizin, Bewertung der Arbeitsfähigkeit
klassischer Krankenhaus- und Arztbereich
(i) Öffentliche Gesundheit
Pandemie-Bekämpfung, Krankheitsregister
(j) Archivzwecke, wissenschaftliche oder historische Forschung, statistische Zwecke
mit zusätzlichen Garantien
Häufigste praktische Ausnahmen
Ausnahme
Häufigkeit in der Praxis
(b) Arbeitsrecht in Verbindung mit § 26 BDSG
35 % aller Art. 9-Verarbeitungen
(h) Gesundheitsversorgung
25 %
(a) Ausdrückliche Einwilligung
15 %
(f) Rechtsansprüche
10 %
sonstige
15 %
Anforderungen an die Einwilligung
Wenn Sie die Verarbeitung auf Einwilligung (Abs. 2 a) stützen, gelten strengere Anforderungen als bei der normalen Einwilligung nach Art. 6 Abs. 1 a:
Anforderung
Detail
Ausdrücklich
„expressis verbis" — nicht stillschweigend, nicht implizit
Frei
Kein Druckmittel oder Koppelung
Informiert
umfassende Information vor Einwilligung
Spezifisch
konkret auf die einzelne Verarbeitung
Widerruflich
jederzeit ohne Nachteile
Schriftlich
empfohlen für die Beweisführung (nicht zwingend)
Deutsche Spezialregelungen
Das deutsche Recht ergänzt Art. 9 DSGVO durch nationale Regelungen — insbesondere im BDSG.
§ 22 BDSG — Verarbeitung besonderer Kategorien
§ 22 BDSG konkretisiert die Verarbeitung in spezifischen Anwendungsbereichen:
Anwendung
Voraussetzung
Gesundheitsversorgung
medizinische Behandlung, Gesundheitsmanagement
Sozialschutz und Sicherheit
Zwecke des sozialen Schutzes
Versicherungswesen
für Privat- und Sozialversicherer
Forschung
zusätzliche Garantien
§ 26 BDSG — Beschäftigtendatenschutz
§ 26 BDSG ist die wichtigste deutsche Spezialregelung für besondere Kategorien im Personalbereich.
Inhalt
Detail
Abs. 1
Verarbeitung im Beschäftigtenkontext zulässig, wenn erforderlich
Abs. 3
besondere Kategorien zulässig bei arbeitsrechtlicher / sozialrechtlicher Pflicht
Abs. 4
Einwilligung im Beschäftigungsverhältnis — strengere Anforderungen wegen Abhängigkeitsverhältnis
Im Personalbereich entstehen ständig Verarbeitungen besonderer Kategorien — von Krankheitsangaben über Schwerbehinderung bis Gewerkschafts-Mitgliedschaft.
Häufige Verarbeitungs-Konstellationen
Verarbeitung
Rechtsgrundlage
Krankschreibung
§ 26 Abs. 3 BDSG (arbeitsrechtliche Pflicht)
Schwangerschaft
§ 26 Abs. 3 BDSG + Mutterschutzrecht
Schwerbehinderung
§ 26 Abs. 3 BDSG + SGB IX
Gewerkschaftsmitgliedschaft
§ 26 Abs. 3 BDSG (für Lohnabzug bei Gewerkschaftsbeiträgen)
Arbeitsmedizinische Untersuchung
§ 26 Abs. 3 BDSG + ArbMedVV
Religiöse Bekenntnis (für Kirchensteuerabzug)
§ 26 Abs. 3 BDSG + EStG
Praxis-Empfehlungen
Datentrennung: Personalakten getrennt von HR-IT
Zugriffsbeschränkung: sensible Daten nur für die wirklich Berechtigten zugänglich
Zweckbindung: Krankheitsdaten nur für Lohnfortzahlung, nicht für Beförderungsentscheidungen
Aufbewahrung: klare Fristen, häufig 3 Jahre nach Beendigung Beschäftigung
Mitbestimmung des Betriebsrats
Bei der Einführung von Verarbeitungs-Tools für besondere Kategorien hat der Betriebsrat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG.
Gesundheitsdaten
Gesundheitsdaten sind die häufigste Kategorie besonderer Daten in der deutschen Praxis.
Verschlüsselung Daten-at-Rest und Daten-in-Transit
Zugriffsbeschränkung auf medizinisch Berechtigte
Logging aller Zugriffe mit Aufbewahrung
Pseudonymisierung wo möglich
Datenschutzfolgenabschätzung bei größeren Verarbeitungen
Gemeinsame Verantwortung im Krankenhaus
Krankenhäuser haben oft gemeinsame Verantwortung (Art. 26 DSGVO) mit:
belegärztlich tätigen Ärzten
externen Labordiensten
Reha-Einrichtungen
Forschungsstellen
Biometrische Daten
Biometrische Daten zur eindeutigen Identifizierung sind besondere Kategorien — wenn sie nicht zur Identifizierung dienen (z. B. Foto in Personalakte), sind sie keine besonderen Kategorien.
Anwendungs-Beispiele
Anwendung
Status
Fingerabdruck zur Zutrittskontrolle
besondere Kategorie
Gesichtserkennung in der Smartphone-App
besondere Kategorie
Foto in der Personalakte (zur einfachen Identifikation)
typischerweise keine besondere Kategorie
Iris-Scan
besondere Kategorie
Stimmbiometrie zur Authentifizierung
besondere Kategorie
Verhaltensbiometrie (Tippmuster)
grenzwertig — fallweise zu prüfen
Anforderungen
Maßnahme
Pflicht
DSFA
praktisch immer (Art. 35 Abs. 3 b)
Ausdrückliche Einwilligung
typische Rechtsgrundlage im B2C
Alternative zu biometrischer Erfassung
empfohlen (Pin-Code etc.)
Lokale Speicherung statt zentral
empfohlen
Betriebsrats-Mitbestimmung
Bei Einführung biometrischer Erfassungs-Systeme im Beschäftigtenkontext hat der Betriebsrat ein Mitbestimmungsrecht — und in der Rechtsprechung wird oft die Verhältnismäßigkeit kritisch geprüft.
DSFA-Pflicht
Art. 35 Abs. 3 b DSGVO schreibt eine Datenschutz-Folgenabschätzung zwingend vor bei:
Die EDSA-Leitlinien definieren „umfangreich" anhand mehrerer Kriterien:
Anzahl betroffener Personen (absolute Zahl oder Bevölkerungsanteil)
Datenvolumen und Datenarten
Verarbeitungsdauer und Persistenz
geographische Reichweite
Praxisgrenzen
In der Praxis gilt als Faustregel:
Anzahl Betroffener
DSFA-Pflicht?
< 100
typischerweise nicht zwingend, aber empfehlenswert
100–1.000
im Einzelfall zu prüfen
> 1.000
praktisch immer Pflicht
> 10.000
zwingend
Zusätzliche Sicherheits-Anforderungen
Bei Verarbeitung besonderer Kategorien sind die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO erhöht:
Verschlüsselung als Standard
Pseudonymisierung wo möglich
strengere Zugriffsbeschränkung
erweiterte Logging-Anforderungen
regelmäßige Sicherheits-Audits
Bußgeldpraxis
Verstöße gegen Art. 9 sind die teuersten DSGVO-Verstöße — die Höchstgrenzen liegen bei 20 Mio. EUR oder 4 % weltweiter Jahresumsatz.
Beispielfälle
Jahr
Behörde
Sektor
Bußgeld
Hauptgrund
2024
BlnBDI
Krankenhaus
1,2 Mio. EUR
unzureichender Schutz von Patientendaten
2023
LfDI BW
Mittelstand
405.000 EUR
systematische Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage
2022
BayLDA
Versicherung
750.000 EUR
unzureichende Sicherheitsmaßnahmen für Gesundheitsdaten
2021
LDI NRW
Pflegeeinrichtung
105.500 EUR
mangelhafte Zugriffsbeschränkung auf Patientendaten
Kombinierte Verstöße
Häufig werden Art. 9-Verstöße in Kombination mit anderen DSGVO-Verstößen sanktioniert:
fehlende DSFA
verletzte Meldepflicht bei Datenpanne
unzureichende technische Maßnahmen
Branchenspezifische Anforderungen
Gesundheitswesen
Verschwiegenheitspflicht nach § 203 StGB
Patientenrechte nach Patientenrechtegesetz
eHealth-Anwendungen nach § 291 SGB V
DiGA (digitale Gesundheitsanwendungen) nach § 33a SGB V
Versicherungswesen
Versicherungsaufsichtliches Recht (VAG)
Versicherungsvertragsrecht (VVG)
Berufsgeheimnis für Versicherungs-Vermittler
Personalwesen
Beschäftigtendatenschutz § 26 BDSG
Mitbestimmungsrechte des Betriebsrats nach BetrVG
Spezialregelungen für Beamte (BeamtenG)
Pharma / Klinische Studien
Arzneimittelrecht (AMG) Pharmakovigilanz
GCP-Verordnung (Good Clinical Practice)
klinische Studien mit Einwilligungspflicht
FAQ
Welche Daten gelten als besondere Kategorie?
Daten zu rassischer / ethnischer Herkunft, politischer Meinung, religiöser / weltanschaulicher Überzeugung, Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Sexualleben oder sexueller Orientierung.
Ist ein Foto eine biometrische Daten-Verarbeitung?
Ein gewöhnliches Foto ist keine biometrische Verarbeitung im Sinne von Art. 9. Wenn das Foto aber zur eindeutigen Identifizierung verwendet wird (Gesichtserkennung), wird es zur besonderen Kategorie.
Welche Rechtsgrundlage brauche ich für Gesundheitsdaten?
Im Krankenhaus / bei Ärzten: Art. 9 Abs. 2 h (Gesundheitsversorgung). Im Versicherungswesen: Art. 9 Abs. 2 a (Einwilligung). Im Personalwesen: Art. 9 Abs. 2 b + § 26 BDSG.
Was ist eine „ausdrückliche Einwilligung"?
Eine Einwilligung mit deutlich strengeren Anforderungen als die normale Einwilligung — schriftlich oder elektronisch dokumentiert, nach umfassender Information, frei und spezifisch.
Brauche ich für jede Verarbeitung besonderer Kategorien eine DSFA?
Nicht zwingend für jede Verarbeitung — aber bei umfangreicher Verarbeitung nach Art. 35 Abs. 3 b DSGVO. In der Praxis: ab > 1.000 Betroffenen praktisch immer DSFA-pflichtig.
Gilt § 26 BDSG bei jedem Arbeitnehmer?
Ja — § 26 BDSG regelt die Verarbeitung von Beschäftigtendaten in jedem Arbeitsverhältnis. Bei besonderen Kategorien ist § 26 Abs. 3 die spezifische Rechtsgrundlage.
Was passiert bei Verstößen gegen Art. 9?
Bußgelder bis 20 Mio. EUR oder 4 % weltweiter Jahresumsatz. In der Praxis: typisch 100.000–1,5 Mio. EUR; bei systematischer Verletzung siebenstellig.
Welche Sicherheitsmaßnahmen sind erforderlich?
Erhöhte TOMs: Verschlüsselung als Standard, Pseudonymisierung wo möglich, strenge Zugriffsbeschränkung, Logging, regelmäßige Audits, DSFA bei umfangreicher Verarbeitung.
Was ist mit Daten von Kindern bei Art. 9?
Bei Art. 9-Daten von Kindern gelten doppelte Schutzanforderungen — sowohl die Strenge des Art. 9 als auch die besonderen Schutzanforderungen für Kinder (Art. 8 DSGVO).
Können Daten der besonderen Kategorie öffentlich werden?
Wenn der Betroffene selbst sie öffentlich macht (Art. 9 Abs. 2 e), ist eine Folgeverarbeitung leichter möglich. Die Schwelle ist hoch — nicht jeder geteilter Datenpunkt fällt automatisch unter Abs. 2 e.
Art. 9 DSGVO ist die strengste Norm der DSGVO — und gleichzeitig die wirtschaftlich wichtigste Datenkategorie für viele Branchen (Gesundheit, Versicherung, HR). Drei strategische Empfehlungen:
Erstens, klare Rechtsgrundlage pro Verarbeitung. Pauschale Begründungen wie „berechtigtes Interesse" sind nicht ausreichend — jede Verarbeitung besonderer Kategorien braucht eine konkrete Ausnahme nach Art. 9 Abs. 2 + ggf. nationaler Spezialregelung.
Zweitens, erhöhte Sicherheitsmaßnahmen als Standard. Verschlüsselung, Pseudonymisierung und strenge Zugriffsbeschränkung sind nicht optional — sie sind aufsichtsrechtlich erwartet.
Drittens, DSFA für jede umfangreiche Verarbeitung besonderer Kategorien. Auch wenn nicht zwingend nach Schwelle: eine DSFA ist die beste Verteidigung in einem Bußgeldverfahren.
Vision Compliance unterstützt Unternehmen aus dem Gesundheitswesen, Versicherungswesen und HR-Bereich bei der DSGVO-konformen Verarbeitung besonderer Kategorien — als Teil unserer Datenschutz-Beratung und externen DSB-Bestellung, von der Rechtsgrundlagen-Klärung über die DSFA bis zur Cyber-Security-Architektur. Sprechen Sie uns an für ein kostenloses Erstgespräch mit individueller Bewertung Ihrer Verarbeitungs-Konstellation.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
