Home Blog Besondere Kategorien personenbezogener Daten – was Unternehmen wissen müssen

Besondere Kategorien personenbezogener Daten – was Unternehmen wissen müssen

Beitrag vom 28.06.2024

Einen eigenen Teilbereich innerhalb der personenbezogenen Daten bilden „besondere Kategorien personenbezogener Daten“. Daten, aus denen die folgenden Informationen hervorgehen, gelten als besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO:

Rassische und ethnische Herkunft,
Politische Meinungen,
Religiöse oder philosophische Überzeugungen,
Gewerkschaftszugehörigkeit,
Gesundheit,
Sexualleben und sexuelle Orientierung

Ebenfalls betroffen ist die Verarbeitung von genetischen und biometrischen Daten zur Identifizierung einer natürlichen Person.

Bei einem Missbrauch dieser Daten besteht eine überdurchschnittlich hohe Gefahr für das informationelle Selbstbestimmungsrecht des Betroffenen. Deshalb sieht die DSGVO für diese Daten einen besonders strengen Schutz vor.

Hinweis zum Sprachgebrauch

Vielen Entscheidern ist bewusst, dass sie mit sensiblen Daten besonders vorsichtig umgehen müssen. „Sensible Daten“ sind kein terminus technicus der DSGVO, sondern ein umgangssprachlich geprägter Begriff. Wer sich fachlich korrekt ausdrücken möchte, sollte lieber von „besonderen Kategorien personenbezogener Daten“ sprechen. Letztlich stehen beide Ausdrücke für dieselbe Art von Daten (Art. 9 Abs. 1 DSGVO). In englischsprachigen Veröffentlichungen wird dafür oft der Begriff „special categories of personal data“ verwendet, was die terminologische Nähe zur DSGVO deutlich macht.

Besondere Kategorien personenbezogener Daten: Die einzelnen Datenkategorien

Zur besseren Veranschaulichung haben wir die einzelnen Datenkategorien nachfolgend um konkrete Beispiele ergänzt.

Rassische und ethnische Herkunft (z.B. Hautfarbe)
Politische Meinungen (z.B. Parteimitgliedschaft)
Religiöse oder philosophische Überzeugungen (z.B. Glaubensrichtung)
Gewerkschaftszugehörigkeit (z.B. Mitglied bei Gewerkschaft XY)
Genetische Daten (z.B. Gensequenz aus Gentest)
Biometrische Daten (z.B. Fingerabdruck)
Gesundheit (z.B. Erkrankungen)
Sexualleben oder sexuelle Orientierung (z.B. Homosexualität)

Wann dürfen diese Daten verarbeitet werden?

Gemäß Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten zunächst einmal untersagt. Die DSGVO sieht jedoch folgende Ausnahmen vor:

Wenn eine Einwilligung des Betroffenen zur Verarbeitung für eines oder mehrere Ziele ausdrücklich vorliegt (Art. 9 Abs. 2 a).
Wenn eine Notwendigkeit zur Verarbeitung im Hinblick auf Arbeitsrecht oder soziale Sicherheit besteht (Art. 9 Abs. 2 b).
Wenn die Verarbeitung zum Schutz lebenswichtiger Interessen dient (Art. 9 Abs. 2 c).
Wenn die Verarbeitung auf Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht erfolgt und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden. (Art. 9 Abs. 2 d).
Wenn die Daten vom Betroffenen offensichtlich öffentlich gemacht wurden (Art. 9 Abs. 2 e).
Wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erfolgt (Art. 9 Abs. 2 f).
Wenn die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt (Art. 9 Abs. 2 g).
Wenn die Verarbeitung im Rahmen gesundheitlicher/medizinischer Aufgaben erfolgt und ein Berufsgeheimnis / eine Geheimnispflicht besteht (Art. 9 Abs. 2 h und Art. 9 Abs. 3).
Wenn die Verarbeitung zum Schutz der öffentlichen Gesundheit erfolgt (Art. 9 Abs. 2 i)
Wenn die Verarbeitung im Sinne öffentlicher Archivzwecke, historischer Forschungszwecke oder statistische Zwecke erfolgt (Art. 9 Abs. 2 j).

Bei der Erhebung, Verarbeitung oder Nutzung der besonderen Kategorien personenbezogener Daten gelten besondere Pflichten, die unter anderem die Berücksichtigung oder Anwendung weiterer Gesetze zur Folge haben können. Geht es beispielsweise um Sozialdaten im Kontext der gesetzlichen Krankenversicherung oder der Rentenversicherung, sind insbesondere die Vorgaben des Sozialgesetzbuchs (SGB I und SGB X) zu berücksichtigen. Geht es um Bewerbungsdaten, sind die Vorgaben des Allgemeinen Gleichbehandlungsgesetz (AGG) zu beachten.

Voraussetzungen der Einwilligung

Wie zuvor aufgezeigt, kann die Verarbeitung besonderer Kategorien personenbezogener Daten je nach Zweck das vorherige Einholen einer ausdrücklichen Einwilligung (eine stillschweigende Handlung ist nicht ausreichend) erfordern. Diesbezüglich sind nicht nur die Voraussetzungen an die Wirksamkeit einer Einwilligung Art. 4 Nr. 11 DSGVO (freie Entscheidung, ausführliche Information, Schriftform und Widerruflichkeit) zu berücksichtigen. Darüber hinaus muss sich der Einwilligungstext auf die besonderen Kategorien personenbezogener Daten beziehen und diese konkret benennen. Aus Gründen der Nachweisbarkeit empfiehlt es sich, Einwilligungen stets schriftlich oder elektronisch dokumentiert einzuholen (Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO).

Besondere Kategorien personenbezogener Daten: Fallstricke in der Praxis

Beim Umgang mit besonderen Kategorien personenbezogener Daten lauern mehrere Fallstricke. So kommt es in einigen Unternehmen vor, dass die Datenkategorie nicht korrekt erkannt wird. Ein gutes Beispiel sind Gesundheitsdaten, sie werden keineswegs nur im medizinischen Umfeld erfasst und verarbeitet. Unternehmen erfassen sie, beispielsweise um Krankheitstage von Mitarbeitern zu dokumentieren. Hierbei greifen zusätzlich nationale Regelungen wie § 26 Abs. 3 BDSG, der die Verarbeitung besonderer Datenkategorien im Beschäftigungskontext regelt. Bereits diese Art von Erfassung erfordert die Berücksichtigung der besonderen datenschutzrechtlichen Pflichten.

Ein Datenschutzbeauftragter bringt das notwendigen Fachwissen rund um den Datenschutz mit und kann zu mehr Sicherheit der personenbezogenen Daten beitragen. Für viele Unternehmen ist es daher verpflichtend oder zumindest empfehlenswert, einen Datenschutzbeauftragten zu benennen. Nutzen Sie unsere kostenlose Erstberatung, um mehr über konkrete Möglichkeiten zu erfahren.

Neueste Artikel

Die aktuellsten Beiträge aus unserem Blog

05.09.2025

EuGH Urteil: Pseudonymisierung nicht immer ausreichend

In einem aktuellen Urteil vom 4. September 2025 hat der Europäische Gerichtshof (EuGH) klargestellt: Pseudonymisierte Daten gelten auch dann als personenbezogene Daten, wenn sie an Dritte weitergegeben werden.

11.08.2025

Phishing-Risiko testen: Wie anfällig sind Ihre Mitarbeitenden?

Phishing zählt zu den größten Cybergefahren für Unternehmen und wird oft erst bemerkt, wenn bereits ein Schaden entstanden ist. Mit realistischen Phishing-Simulationen zeigen wir Ihnen, wie anfällig Ihre Organisation tatsächlich ist.

04.08.2025

Hashwert und Hashfunktion: Erzeugung sicherer Passwörter verstehen

Hashwerte haben ein breites Anwendungsfeld, zum Beispiel als Marker für Speicherorte oder als digitaler Fingerabdruck zur Verifizierung von Dateien. Sie entstehen durch sogenannte Hashfunktionen, also mathematische Verfahren, die Eingabedaten in eine Zeichenkette fester Länge umwandeln.

16.07.2025

IT-Sicherheitskonzept: Entwicklung, Phasen & Umsetzung

Daten von Unternehmen sind zahlreichen Risiken wie Cyberangriffen, Systemausfällen oder Datenverlust ausgesetzt. Informationssicherheit hilft, diese Risiken zu minimieren.

04.07.2025

Datenschutzvorfall: Definition, Beispiele und Handlungspflichten

Ob gestohlener Laptop, gehackter E-Mail-Account oder eine Datei, die versehentlich im falschen Postfach landet – Datenpannen passieren schneller, als viele Unternehmen glauben. Oft wird so ein Vorfall im Alltag als technisches Problem oder Missgeschick abgetan.

Immer gut informiert - mit unserem Newsletter

Wir halten Sie auf dem Laufenden zu aktuellen Entwicklungen und praxisrelevanten Neuerungen aus den Bereichen Informationssicherheit, Compliance und Datenschutz.

Newsletter abonnieren