Besondere Kategorien personenbezogener Daten, geregelt in Artikel 9 der DSGVO, sind Daten, deren Verarbeitung ein besonders hohes Risiko für die Grundrechte und Freiheiten der Betroffenen birgt. Sie werden umgangssprachlich auch als sensible Daten bezeichnet. Wegen ihres erhöhten Schadenspotenzials — Diskriminierung, Stigmatisierung, Ausgrenzung — unterstellt die DSGVO sie einem strengeren Schutzregime als gewöhnliche personenbezogene Daten. Ihre Verarbeitung ist grundsätzlich verboten und nur in eng definierten Ausnahmefällen erlaubt.
Welche Daten erfasst sind
Artikel 9 nennt abschliessend die erfassten Datenkategorien. Dazu gehören Daten, aus denen die rassische oder ethnische Herkunft hervorgeht, politische Meinungen, religiöse oder weltanschauliche Überzeugungen und die Gewerkschaftszugehörigkeit. Erfasst sind ferner genetische und biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Diese Liste ist bewusst eng gefasst und umfasst gerade jene Informationen, deren Missbrauch besonders schwerwiegende Folgen für die betroffene Person haben kann. Daten, die nicht unter diese Kategorien fallen, sind zwar ebenfalls geschützt, unterliegen aber dem normalen Schutzregime der DSGVO.
Das grundsätzliche Verarbeitungsverbot
Der Grundsatz des Artikels 9 ist ein Verbot mit Erlaubnisvorbehalt: Die Verarbeitung besonderer Datenkategorien ist zunächst untersagt und nur zulässig, wenn einer der in Artikel 9 Absatz 2 genannten Ausnahmetatbestände greift. Das unterscheidet sich vom normalen Regime, in dem jede Verarbeitung mit einer der sechs Rechtsgrundlagen des Artikels 6 erlaubt sein kann. Bei sensiblen Daten reicht eine Rechtsgrundlage nach Artikel 6 allein nicht aus — es muss zusätzlich eine Ausnahme nach Artikel 9 vorliegen. Diese doppelte Anforderung macht die Verarbeitung sensibler Daten rechtlich anspruchsvoller und verlangt besondere Sorgfalt.
Die wichtigsten Ausnahmen
Artikel 9 Absatz 2 nennt mehrere Ausnahmen. Die praktisch wichtigste ist die ausdrückliche Einwilligung der betroffenen Person. Weitere Ausnahmen betreffen die Erfüllung arbeitsrechtlicher Pflichten, den Schutz lebenswichtiger Interessen, die Verarbeitung durch bestimmte Vereinigungen, offensichtlich öffentlich gemachte Daten, die Geltendmachung von Rechtsansprüchen, ein erhebliches öffentliches Interesse, Zwecke der Gesundheitsvorsorge und der medizinischen Versorgung sowie Zwecke der öffentlichen Gesundheit, der Forschung und Statistik. Jede dieser Ausnahmen hat eigene Voraussetzungen, und einige verlangen zusätzliche Schutzmassnahmen oder eine Grundlage im Unionsrecht oder im Recht der Mitgliedstaaten.
Die ausdrückliche Einwilligung
Anders als bei gewöhnlichen Daten, bei denen eine normale Einwilligung genügt, verlangt Artikel 9 für die Einwilligung in die Verarbeitung sensibler Daten eine ausdrückliche Einwilligung. Diese muss noch klarer und eindeutiger erfolgen als die normale Einwilligung — die betroffene Person muss unmissverständlich zum Ausdruck bringen, dass sie gerade in die Verarbeitung dieser sensiblen Daten für den konkreten Zweck einwilligt. Eine in allgemeine Bedingungen eingebettete oder implizite Zustimmung genügt nicht. Für Produkte, die mit sensiblen Daten arbeiten, ist die Gestaltung dieser ausdrücklichen Einwilligung daher ein zentrales und sorgfältig zu lösendes Designproblem.
Gesundheitsdaten als häufigster Fall
In der Praxis sind Gesundheitsdaten die am häufigsten verarbeitete besondere Datenkategorie. Sie umfassen alle Daten, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen, einschliesslich erbrachter Gesundheitsdienstleistungen. Gesundheits-Apps, Telemedizin-Plattformen, Fitness-Tracker mit medizinischem Bezug und ähnliche Anwendungen verarbeiten regelmässig solche Daten und unterliegen damit dem strengen Regime des Artikels 9. Für solche Produkte ist eine besonders sorgfältige rechtliche und technische Gestaltung erforderlich — von der ausdrücklichen Einwilligung über die Datensicherheit bis zur regelmässig gebotenen Datenschutz-Folgenabschätzung.
Verschärfte technische Anforderungen
Die besondere Sensibilität dieser Daten schlägt sich auch in erhöhten technischen Anforderungen nieder. Auch wenn die DSGVO keine starre Liste vorschreibt, verlangt der risikobasierte Ansatz, dass die Schutzmassnahmen dem Risiko angemessen sind — und das Risiko ist bei sensiblen Daten hoch. In der Praxis bedeutet das starke Verschlüsselung, strenge Zugriffskontrollen, Pseudonymisierung wo möglich, sorgfältige Protokollierung und besonders restriktive Aufbewahrungsfristen. Bei der umfangreichen Verarbeitung sensibler Daten ist zudem regelmässig eine Datenschutz-Folgenabschätzung durchzuführen. Diese verschärften Anforderungen machen die Verarbeitung sensibler Daten technisch anspruchsvoll und verlangen eine durchdachte, datenschutzfreundliche Architektur.
Das revDSG und besonders schützenswerte Daten
Das Schweizer revDSG kennt ein vergleichbares Konzept unter dem Begriff der besonders schützenswerten Personendaten. Erfasst sind unter anderem Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten, Gesundheit, Intimsphäre, ethnische Herkunft, genetische und biometrische Daten sowie Daten über verwaltungs- und strafrechtliche Verfolgungen. Wie die DSGVO knüpft das revDSG an diese Kategorien erhöhte Anforderungen, etwa bei der Einwilligung und der Datensicherheit. Für DACH-Unternehmen bedeutet das, dass sensible Daten in beiden Rechtsräumen besonders sorgfältig zu behandeln sind, wobei eine Ausrichtung an der DSGVO in der Regel auch die Schweizer Anforderungen abdeckt.
Praktische Konsequenzen für Produkte
Für die Entwicklung von Produkten, die sensible Daten verarbeiten, ergeben sich konkrete Konsequenzen. Schon in der Konzeptphase ist zu prüfen, ob sich die Verarbeitung sensibler Daten vermeiden oder reduzieren lässt, denn der einfachste Weg, das strenge Regime zu erfüllen, ist Datenminimierung. Wo sensible Daten unvermeidlich sind, müssen die Rechtsgrundlage geklärt, eine ausdrückliche Einwilligung sauber gestaltet, die technischen Schutzmassnahmen verstärkt und eine Datenschutz-Folgenabschätzung durchgeführt werden. Innopulse berücksichtigt diese Anforderungen in eigenen Produkten wie der Gesundheits-App Penday, die ausschliesslich in der EU hostet, keine Daten an Werbenetzwerke weitergibt und einen schnellen Datenexport und eine schnelle Löschung ermöglicht.
Fazit
Bias-Risiken bei sensiblen Daten
Ein besonderer Grund für den strengen Schutz sensibler Daten ist ihr Diskriminierungspotenzial, das im Zeitalter der künstlichen Intelligenz neue Brisanz gewinnt. Werden besondere Datenkategorien in KI-Systeme eingespeist — etwa Gesundheits- oder Herkunftsdaten in ein Bewertungsmodell —, besteht die Gefahr, dass das System diskriminierende Muster lernt und fortschreibt. Der EU AI Act und die DSGVO greifen hier ineinander: Beide verlangen, Verzerrungen zu erkennen und zu mindern. Wer sensible Daten verarbeitet, sollte daher nicht nur die datenschutzrechtliche Zulässigkeit prüfen, sondern auch die Frage, ob und wie diese Daten in automatisierte Entscheidungen einfliessen. Oft ist die sicherste Lösung, sensible Daten gar nicht erst für Bewertungs- oder Profiling-Zwecke heranzuziehen, sondern sie strikt auf den eigentlichen, eng begrenzten Verwendungszweck zu beschränken — ganz im Sinne der Datenminimierung.
Gesundheitsdaten und besondere Sorgfalt
Gesundheitsdaten gehören zu den am stärksten geschützten besonderen Kategorien nach Artikel 9 und verlangen besondere technische und organisatorische Sorgfalt. Wer sie verarbeitet, etwa in einer Gesundheits-App, muss nicht nur eine taugliche Rechtsgrundlage haben, sondern auch sicherstellen, dass die Daten verschlüsselt, zugriffsbeschränkt und idealerweise innerhalb der EU gespeichert werden. Eine Datenschutz-Folgenabschätzung ist bei umfangreicher Verarbeitung solcher Daten regelmässig erforderlich. Innopulse berücksichtigt diese erhöhten Anforderungen in Produkten wie Penday, das Gesundheitsdaten ausschliesslich in Frankfurt speichert, ohne Tracking und ohne Werbung betrieben wird und einen vollständigen Datenexport sowie eine sofortige Löschung ermöglicht. Diese konsequente Umsetzung zeigt, wie der besondere Schutz des Artikel 9 in der Praxis aussieht.
Besondere Kategorien personenbezogener Daten nach Artikel 9 stehen unter dem strengsten Schutz der DSGVO, weil ihr Missbrauch besonders schwerwiegende Folgen haben kann. Ihre Verarbeitung ist grundsätzlich verboten und nur unter engen Ausnahmen zulässig, häufig nur mit ausdrücklicher Einwilligung und stets mit verstärkten technischen Schutzmassnahmen. Wer Produkte entwickelt, die mit sensiblen Daten arbeiten, sollte Datenminimierung an den Anfang stellen und die erhöhten rechtlichen und technischen Anforderungen von Beginn an in die Architektur einbauen — das ist anspruchsvoll, aber die Grundlage für vertrauenswürdige Produkte in sensiblen Bereichen.