Analyse
/ 30. Oktober 2025

Was sind besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Wie definiert die DSGVO besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung betrachtet personenbezogene Daten als solche besonderer Kategorien, wenn sie besonders sensibel und schutzbedürftig sind, weil ihre Verarbeitung erhebliche Risiken für die betroffenen Personen mit sich bringen kann. Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) nennt als entsprechende personenbezogene Daten solche,

  • aus denen die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit hervorgehen, sowie
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Welche weiteren Beispiele gibt es?

Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln.

Die Aufsichtsbehörden für den Datenschutz nennen als Beispiele

  • die Einnahme von Medikamenten,
  • die körperliche oder geistige Verfassung oder
  • den regelmäßigen Besuch einer bestimmten Kirche.

Was müssen Verantwortliche beachten, wenn sie solche Daten verarbeiten?

Verantwortliche dürfen personenbezogene Daten besonderer Kategorien nicht verarbeiten. Es sei denn, die Verarbeitung ist in den besonderen Fällen, die Art. 9 DSGVO nennt, zulässig.

Ausnahmen vom allgemeinen Verbot, diese besonderen Kategorien personenbezogener Daten zu verarbeiten, bestehen unter anderem,

  • wenn die betroffene Person für einen oder mehrere festgelegte Zwecke eindeutig eingewilligt hat, oder
  • bei bestimmten Notwendigkeiten, die Art. 9 DSGVO nennt. Dazu gehört unter anderem der Schutz lebenswichtiger Interessen.

Automatisierte Entscheidungen, die auf Kategorien besonderer Daten beruhen, sind nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat. Oder die Verarbeitung erfolgt auf einer speziellen Rechtsgrundlage und ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.

Verantwortliche, die besondere Datenkategorien verarbeiten, haben in jedem Fall ein Verzeichnis aller ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten zu führen.

Ist die Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich, müssen Verantwortliche eine Datenschutz-Folgenabschätzung durchführen.

Zudem müssen sie einen Datenschutzbeauftragten benennen, wenn in dieser umfangreichen Datenverarbeitung die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt.

Was gehört nicht zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO?

Die Erwägungsgründe zur DSGVO nennen auch Fälle, in denen man fälschlich davon ausgehen könnte, dass personenbezogene Daten besonderer Kategorie vorliegen. So soll die Verarbeitung von Lichtbildern nicht grundsätzlich eine Verarbeitung besonderer Kategorien von personenbezogenen Daten sein.

Denn Lichtbilder sind nur dann von der Definition des Begriffs „biometrische Daten“ erfasst, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die es ermöglichen, eine natürliche Person eindeutig zu identifizieren oder zu authentifizieren.

Die Datenschutz-Aufsichtsbehörden nennen zudem Beispiele, wann Angaben zu personenbezogenen Daten besonderer Kategorie nicht automatisch die strengeren Vorgaben für die Verarbeitung mit sich bringen:

  • Demnach ist bloßer Alkoholkonsum im Gegensatz zu einer Alkoholabhängigkeit kein Gesundheitsdatum.
  • Der rein geographische Geburtsort ist keine Angabe über die rassische oder ethnische Herkunft.
  • Und der einmalige Besuch eines Sakralbaus ist keine Aussage über eine religiöse Überzeugung.

Folgen einer Pseudonymisierung: Personenbezug, ja oder nein?

Personenbezogene Daten besonderer Kategorie wie zum Beispiel Gesundheitsdaten sollen oftmals in Datenanalysen ausgewertet werden und könnten auch bei dem Training von KI (Künstliche Intelligenz) eine wichtige Rollen spielen. Werden hierzu die Daten pseudonymisiert, stellt sich die Frage, ob es sich weiterhin um Daten mit Personenbezug handelt oder nicht.

Ob personenbezogene Daten besonderer Kategorie ihre Schutzbedürftigkeit verlieren, wenn eine Pseudonymisierung stattgefunden hat oder ob auch dann die Vorgaben des Datenschutzes anzuwenden sind, sollte genau hinterfragt werden.

In einem Urteil im September 2025 (CURIA – Dokumente) wies der Europäische Gerichtshof (EuGH) die Ansicht zurück, pseudonymisierte Daten seien immer personenbezogen, weil der Inhaber der Zuordnungsinformation die pseudonymen Daten zuordnen könnte. Vielmehr ziele die Pseudonymisierung gerade darauf ab, dass andere Verantwortliche die Daten nicht der betroffenen Person zuordnen können.

Das Urteil stellt fest, dass

  • Anonymität oder Personenbeziehbarkeit allein aus der Sicht des jeweils Verantwortlichen bestimmt werden muss. Die gleichen Daten können daher für unterschiedliche Verantwortliche anonym oder personenbeziehbar sein.
  • die Daten ihren Charakter als anonym oder personenbezogen wechseln können, wenn sie einem anderen Verantwortlichen übermittelt werden.
  • auch pseudonyme Daten anonym sein können, wenn der Verantwortliche die pseudonymen Daten nicht einer bestimmten Person zuordnen kann.
  • für anonyme Daten, wenn sie (wieder) personenbeziehbar werden, die DSGVO anwendbar ist.

Oliver Schonschek

URL zum Beitrag: https://www.datenschutz-praxis.de/grundlagen/was-sind-besondere-kategorien-personenbezogener-daten/
Beitrag gedruckt von Datenschutz PRAXIS: https://www.datenschutz-praxis.de

Copyright © Datenschutz PRAXIS. All rights reserved.

Klicken zum Drucken