SITTIG LAW Kanzlei Blog

DSGVO sensible personenbezogene Daten

Sensible personenbezogene Daten nach Art. 9 und 10 DSGVO – wie Gesundheits- oder strafrechtliche Daten – unterliegen einem strikten Verarbeitungsverbot. Die Verarbeitung ist nur unter engen Ausnahmen zulässig. Bei umfangreichen Vorgängen ist die Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) zwingend. Fehler führen zu erheblichen Nachteilen für Betroffene, Bußgeldern und möglichen strafrechtlichen Konsequenzen.
Inhaltsverzeichnis

Das Wichtigste im Überblick

Warum sensible Daten besonderes Gewicht haben

Die DSGVO behandelt bestimmte Datenkategorien mit besonderer Strenge – und das aus gutem Grund. Ob Gesundheitsdaten in der Personalakte, religiöse Überzeugungen eines Kunden oder Vorstrafen eines Bewerbers: Diese Informationen können bei unsachgemäßer Verarbeitung zu erheblichen Diskriminierungen oder anderen schwerwiegenden Nachteilen für Betroffene führen.

Für Unternehmen bedeutet das: Wer sensible Daten verarbeitet, bewegt sich in einem rechtlich anspruchsvollen Terrain. Fehler haben nicht nur bußgeldrechtliche Konsequenzen – sie können auch strafrechtliche Relevanz entfalten. Ein Aspekt, der in der Praxis regelmäßig unterschätzt wird. Wir beraten Unternehmen genau an dieser Schnittstelle zwischen Datenschutzrecht und Strafrecht.

Art. 9 DSGVO: Das Verarbeitungsverbot und seine Ausnahmen

Welche Datenkategorien sind erfasst?

Art. 9 Abs. 1 DSGVO benennt abschließend acht besonders schutzbedürftige Datenkategorien:

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten zur eindeutigen Identifizierung
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Das grundsätzliche Verarbeitungsverbot

Das Grundprinzip des Art. 9 DSGVO ist eindeutig: Die Verarbeitung dieser Datenkategorien ist verboten. Das Verbot gilt für jede Art der Verarbeitung – Erhebung, Speicherung, Nutzung, Übermittlung, Veränderung und Löschung. Es reicht, dass ein Verarbeitungsschritt stattfindet.

Dieses Verbot gilt, sofern nicht einer der Tatbestände des Art. 9 Abs. 2 DSGVO eingreift.

Ausnahmen, Art. 9 Abs. 2 DSGVO

  • lit. a – Ausdrückliche Einwilligung: Die betroffene Person hat ausdrücklich in die Verarbeitung für einen oder mehrere festgelegte Zwecke eingewilligt. Die Einwilligung muss freiwillig, informiert, unmissverständlich und spezifisch sein. Eine konkludente Einwilligung oder das bloße Nichtwidersprechen genügt nicht.
  • lit. b – Arbeits- und sozialrechtliche Pflichten: Die Verarbeitung ist zur Erfüllung von Pflichten und zur Ausübung besonderer Rechte im Bereich des Arbeits- und Sozialrechts erforderlich und durch Unionsrecht, nationales Recht oder eine Kollektivvereinbarung gestattet.
  • lit. c – Lebenswichtige Interessen: Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich, wenn die betroffene Person außerstande ist, ihre Einwilligung zu geben.
  • lit. d – Legitimierte Tätigkeiten von Stiftungen, Vereinen oder anderen Organisationen: Betrifft Organisationen mit politischer, weltanschaulicher, religiöser oder gewerkschaftlicher Ausrichtung – und nur im Rahmen ihrer legitimen Tätigkeiten gegenüber Mitgliedern und ehemaligen Mitgliedern.
  • lit. e – Öffentlichmachung durch die betroffene Person: Wenn die betroffene Person die Daten selbst offensichtlich öffentlich gemacht hat.
  • lit. f – Rechtliche Ansprüche: Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich. Praxisrelevant etwa bei der Verarbeitung von Gesundheitsdaten in arbeitsrechtlichen Streitverfahren.
  • lit. g – Erhebliches öffentliches Interesse: Die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses auf der Grundlage des Unionsrechts oder des nationalen Rechts erforderlich.
  • lit. h – Gesundheitsversorgung und Arbeitsmedizin: Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit oder für die medizinische Behandlung und Versorgung erforderlich.
  • lit. i – Öffentliches Interesse im Bereich der öffentlichen Gesundheit: Betrifft die Bekämpfung schwerwiegender grenzüberschreitender Gesundheitsgefahren und ist für die meisten privatwirtschaftlichen Unternehmen nicht direkt relevant.
  • lit. j – Archivzwecke, wissenschaftliche und historische Forschung: Die Verarbeitung ist für Archivzwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke erforderlich. Dabei ist ein nationales Gesetz als Grundlage erforderlich.

Art. 10 DSGVO: Strafrechtlich relevante Daten

Anwendungsbereich und Inhalt

Art. 10 DSGVO enthält eine eigenständige Regelung für eine Datenkategorie, die systematisch neben den besonderen Kategorien des Art. 9 DSGVO steht: strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln.

Erfasst sind:

  • Verurteilungen wegen Straftaten
  • Straftaten selbst
  • Sicherungsmaßregeln (z. B. Führungsaufsicht, Berufsverbot, Fahrverbot)

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO ist nur zulässig, wenn eine spezielle gesetzliche Grundlage besteht. Mögliche Rechtsgrundlagen können sich beispielsweise aus § 26 BDSG bei der Verarbeitung zur Aufdeckung von Straftaten oder bei Erforderlichkeit für die Durchführung des Beschäftigungsverhältnisses oder aus Art. 6 DSGVO ergeben.

Relevanz für Unternehmen

Für privatwirtschaftliche Unternehmen stellt sich die Frage nach Art. 10 DSGVO vor allem in folgenden Konstellationen:

Hintergrundüberprüfungen bei der Einstellung: Viele Arbeitgeber verlangen im Rahmen von Bewerbungsverfahren ein polizeiliches Führungszeugnis oder holen auf anderen Wegen Informationen über strafrechtliche Vorbelastungen ein.

Interne Ermittlungen: Wenn ein Unternehmen einen internen Verdacht auf strafbares Verhalten eines Mitarbeiters untersucht – etwa Betrug, Untreue oder Korruption – verarbeitet es damit strafrechtlich relevante Daten. Diese interne Ermittlung unterliegt Art. 10 DSGVO. Es braucht eine klare Rechtsgrundlage, ein definiertes Verfahren und verhältnismäßige Maßnahmen.

Bonitätsprüfungen mit Bezug zu Straftaten: Auskunfteien speichern und übermitteln unter Umständen Daten zu strafbaren Handlungen (z. B. Betrugsdelikte). Die Nutzung solcher Daten durch Unternehmen unterliegt Art. 10 DSGVO.

Compliance-Screening: Im Bereich der Anti-Geldwäsche- oder Sanktions-Compliance prüfen Unternehmen Geschäftspartner auf strafrechtliche Vorbelastungen. Auch dies berührt Art. 10 DSGVO und erfordert eine tragfähige Rechtsgrundlage.

Die Datenschutz-Folgenabschätzung (DSFA), Art. 35 DSGVO

Was ist eine DSFA und wann ist sie Pflicht?

Die Datenschutz-Folgenabschätzung ist ein strukturiertes Verfahren zur Identifikation, Bewertung und Minimierung von Risiken, die eine Datenverarbeitung für die Rechte und Freiheiten betroffener Personen mit sich bringt. Art. 35 DSGVO verpflichtet den Verantwortlichen zur Durchführung einer DSFA, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat.

Art. 35 Abs. 3 DSGVO nennt drei Fallgruppen, in denen eine DSFA stets erforderlich ist:

  1. Systematische und umfassende Bewertung persönlicher Aspekte mittels automatisierter Verarbeitung einschließlich Profiling, auf deren Basis Entscheidungen mit erheblichen Auswirkungen getroffen werden
  2. Umfangreiche Verarbeitung besonderer Kategorien nach Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO
  3. Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

Inhalt und Ablauf einer DSFA

Eine ordnungsgemäße DSFA nach Art. 35 DSGVO muss folgende Elemente enthalten:

1. Systematische Beschreibung der geplanten Verarbeitungsvorgänge: Was wird verarbeitet? Welche Datenkategorien? Zu welchem Zweck? Mit welchen Mitteln und Technologien? Wer hat Zugang?

2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Ist die Verarbeitung für den verfolgten Zweck erforderlich? Gibt es mildere Mittel? Steht der Eingriff in die Betroffenenrechte in einem angemessenen Verhältnis zum verfolgten Ziel?

3. Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen: Welche konkreten Risiken bestehen – Datenverlust, Missbrauch, Diskriminierung, Identitätsdiebstahl? Mit welcher Wahrscheinlichkeit treten sie ein? Wie schwerwiegend sind die Folgen?

4. Geplante Abhilfemaßnahmen: Welche TOMs sind vorgesehen? Wie werden die Risiken auf ein akzeptables Maß reduziert? Sind die Maßnahmen verhältnismäßig und effektiv?

5. Stellungnahme des Datenschutzbeauftragten: Sofern ein Datenschutzbeauftragter bestellt ist, muss dieser nach Art. 35 DSGVO zwingend in die DSFA einbezogen werden.

Häufige Fehler bei der DSFA in der Praxis

  • Fehlende DSFA trotz Pflicht: Viele Unternehmen führen keine DSFA durch, obwohl die Voraussetzungen des Art. 35 DSGVO erfüllt sind – oft aus Unkenntnis oder weil der Aufwand gescheut wird.
  • Oberflächliche Risikoanalyse: Die DSFA wird als Formalie behandelt und enthält keine konkrete Auseinandersetzung mit den tatsächlichen Risiken der Verarbeitung. Pauschale Formulierungen reichen nicht.
  • Veraltete DSFA: Die DSFA ist kein einmaliger Vorgang. Sie muss überprüft und aktualisiert werden, wenn sich die Verarbeitungssituation wesentlich ändert – neue Technologien, neue Zwecke, neue Empfänger.
  • Kein Datenschutzbeauftragter einbezogen: Wenn ein DSB bestellt ist, ist seine Einbeziehung keine Option, sondern Pflicht.

Die wichtigsten Datenkategorien im Detail

Gesundheitsdaten – der häufigste Problemfall

Gesundheitsdaten sind die in der Praxis am häufigsten verarbeitete sensible Datenkategorie. Art. 4 Nr. 15 DSGVO definiert sie weit: Erfasst sind alle personenbezogenen Daten, die sich auf den körperlichen oder geistigen Gesundheitszustand einer natürlichen Person beziehen. Dazu zählen Krankheitsdiagnosen, Arztberichte, Arbeitsunfähigkeitsbescheinigungen, Behinderungen, Pflegebedürftigkeit, Testergebnisse, Impfstatus und Krankenversicherungsdaten.

Biometrische Daten – wachsende Relevanz durch Digitalisierung

Art. 4 Nr. 14 DSGVO definiert biometrische Daten als durch spezifische technische Verfahren gewonnene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen. Entscheidend: Nicht jede biometrische Information fällt unter Art. 9 DSGVO. Die Norm greift nur, wenn die Daten zur eindeutigen Identifizierung einer Person verarbeitet werden.

Praktische Tipps für Unternehmen

1. Bestandsaufnahme: Welche sensiblen Daten verarbeiten Sie überhaupt?
Viele Unternehmen sind sich nicht bewusst, dass sie Daten nach Art. 9 oder Art. 10 DSGVO verarbeiten. Erster Schritt ist eine systematische Analyse aller Verarbeitungsvorgänge im Rahmen des Verarbeitungsverzeichnisses nach Art. 30 DSGVO.

2. Rechtsgrundlage für jeden Verarbeitungsvorgang dokumentieren
Für jeden Vorgang mit sensiblen Daten muss einer der Tatbestände des Art. 9 DSGVO (oder Art. 10 DSGVO i.V.m. einer Rechtsvorschrift) eingreifen. Diese Grundlage ist schriftlich zu dokumentieren.

3. DSFA frühzeitig – nicht nachträglich – durchführen
Die DSFA ist vor Beginn der Verarbeitung durchzuführen, nicht im Nachhinein. Wer erst beim Auftreten eines Problems mit der DSFA beginnt, hat bereits gegen Art. 35 DSGVO verstoßen.

4. Zugriffsrechte auf „Need to know“ beschränken
Sensible Daten dürfen nur denjenigen zugänglich sein, die sie für ihre konkrete Aufgabe benötigen. Weitreichende Zugriffsrechte ohne sachlichen Grund sind ein typischer und leicht vermeidbarer Verstoß.

5. Verschlüsselung und Pseudonymisierung einsetzen
Bei sensiblen Daten gehören Verschlüsselung im Ruhezustand und bei der Übertragung sowie Pseudonymisierung zu den Mindestanforderungen an TOMs nach Art. 32 DSGVO.

6. Datenschutzbeauftragten einbeziehen
Ob intern oder extern: Wer einen DSB hat, muss ihn in die DSFA einbeziehen. Wer noch keinen hat, sollte prüfen, ob eine Bestellungspflicht nach Art. 37 DSGVO besteht – bei umfangreicher Verarbeitung sensibler Daten ist sie häufig gegeben.

7. Mitarbeiter regelmäßig schulen
Datenschutzverstöße entstehen häufig durch menschliche Fehler. Regelmäßige Schulungen, insbesondere für Mitarbeiter, die mit sensiblen Daten arbeiten, sind essentiell und im Streitfall ein wichtiges Entlastungsargument gegenüber der Aufsichtsbehörde.

Handlungsempfehlung

Art. 9 und Art. 10 DSGVO bilden den Kern des besonderen Schutzes sensibler Daten im europäischen Datenschutzrecht. Das grundsätzliche Verarbeitungsverbot für besondere Datenkategorien, die engen Ausnahmetatbestände und die strengen Anforderungen an technische und organisatorische Schutzmaßnahmen machen diesen Bereich zu einer Compliance-Priorität für jedes Unternehmen, das derartige Daten verarbeitet.

Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist dabei kein bürokratisches Hindernis, sondern ein echtes Instrument zur Risikosteuerung. Wer sie frühzeitig, sorgfältig und mit kompetenter Unterstützung durchführt, schützt nicht nur die Rechte Betroffener, sondern auch das eigene Unternehmen vor erheblichen Haftungsrisiken.

Besonders wichtig ist dabei der Blick über den reinen Datenschutz hinaus: Verstöße bei sensiblen Daten – insbesondere solche nach Art. 10 DSGVO – können strafrechtliche Konsequenzen nach sich ziehen, die weit über DSGVO-Bußgelder hinausgehen.

Wir stehen Ihnen als Kanzlei mit Schwerpunkten im IT-Recht, Datenschutzrecht und Strafrecht für eine umfassende Beratung zur Verfügung. Sprechen Sie uns an.

Häufig gestellte Fragen
Art. 9 DSGVO schützt acht Kategorien besonders diskriminierungssensibler Daten (Gesundheit, Biometrie, Religion usw.) durch ein grundsätzliches Verarbeitungsverbot mit Ausnahmen. Art. 10 DSGVO regelt speziell strafrechtlich relevante Daten – Verurteilungen, Straftaten, Sicherungsmaßregeln – und erlaubt deren umfassende Verarbeitung nur unter behördlicher Aufsicht oder auf gesetzlicher Grundlage.
Immer dann, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten Betroffener birgt (Art. 35 DSGVO). Zwingend ist sie in drei Fallgruppen: bei automatisierter Profilbildung mit erheblichen Entscheidungsfolgen, bei umfangreicher Verarbeitung besonderer Datenkategorien nach Art. 9 oder 10 DSGVO und bei systematischer Überwachung öffentlicher Bereiche.
Ja. Nach herrschender Auffassung gilt bereits die Information, dass eine Person erkrankt ist, als Gesundheitsdatum – auch ohne Diagnosemitteilung. Schon die Häufigkeit von Fehltagen kann unter Umständen Rückschlüsse auf Gesundheitszustände ermöglichen.
Nicht zwingend, aber häufig. Art. 35 DSGVO verlangt eine DSFA bei „umfangreicher“ Verarbeitung. Maßgeblich sind Umfang, Kontext und Zweck der Verarbeitung.
Grundsätzlich ja, aber mit erhöhten Anforderungen: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, geeignete TOMs (insbesondere Verschlüsselung), und bei Anbietern außerhalb des EWR geeignete Transfermechanismen (Standardvertragsklauseln) sowie ein Transfer Impact Assessment.
In der Praxis am häufigsten: fehlende DSFA trotz Pflicht, oberflächliche Risikoanalyse ohne konkrete Auseinandersetzung mit den Verarbeitungsrisiken, veraltete DSFA nach wesentlichen Änderungen der Verarbeitung und fehlende Einbeziehung des Datenschutzbeauftragten.
Die Einwilligung nach Art. 6 DSGVO ist eine allgemeine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Für besondere Datenkategorien reicht sie allein nicht – es braucht zusätzlich eine ausdrückliche Einwilligung nach Art. 9 DSGVO, die strengere Anforderungen an Inhalt und Form stellt. Außerdem können Mitgliedstaaten die Wirksamkeit von Einwilligungen in bestimmten Kontexten (etwa im Arbeitsverhältnis) gesetzlich einschränken.
Standort Hamburg
Hauptsitz
Martinistraße 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​
Standort Kassel
Zweigstelle
Motzstraße 1
34117 Kassel
Tel.: +49 (0) 561 510 053 80
Fax: +49 (0) 561 510 053 99
Standort Frankfurt
Zweigstelle
Oeder Weg 11
60318 Frankfurt am Main
Tel.: +49 (0) 69 710 471 070
Fax: +49 (0) 69 710 471 079
SITTIG LAW
Rechtsanwalt.
Fachanwalt für Strafrecht.
Fachanwalt für IT-Recht.

[email protected]
Standort Hamburg
Hauptsitz
Martinistr. 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​

Kontaktformular