Art. 9 DSGVO: Eigenständige Verarbeitungsgrundlage für sensible Daten?

Fachbeitrag

Im folgenden Beitrag beleuchten wir das Verhältnis der Rechtsgrundlagen zur Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 DSGVO und der allgemeinen Rechtsgrundlagen zur Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 DSGVO.

Juristische Streitigkeit mit praktischer Relevanz

Diese zugegebenermaßen theoretisch anmutende Frage hat durchaus weitreichende praktische Konsequenzen:

Es geht darum, ob bei der Verarbeitung besonderer Kategorien personenbezogener Daten die Voraussetzungen des Art. 6 Abs. 1 und Art. 9 Abs. 2 kumulativ vorliegen müssen oder ob eine Verarbeitung alleine auf Art. 9 DSGVO gestützt werden kann.

Diese Frage hat weitreichende praktische Konsequenzen. So muss z.B. bei Erfüllung der Informationspflichten nach Art. 13, 14 Abs. 1 lit. c DSGVO die genaue Rechtsgrundlage angegeben werden. Bei Verstoß gegen diese Pflicht können gemäß Art. 83 Abs. 5 lit. b DSGVO Bußgelder drohen.

Verarbeitung besonderer Kategorien personenbezogener Daten

Der Gesetzgeber hat in Art. 9 Abs. 1 DSGVO Kategorien von besonders schützenswerten personenbezogenen Daten definiert. Hierzu gehören u.a. Gesundheitsdaten, Daten über die ethnische Herkunft, politische Meinung, genetische Daten. Hier wird vermutet, dass der unzureichende Schutz dieser Daten besonders negative Konsequenzen für die betroffenen Personen hätte, z.B. Verfolgung oder Diskriminierung.

Kategorisches Verbot der Verarbeitung

Daher ist der Gesetzeswortlaut des Art. 9 Abs. 1 DSGVO eindeutig: Die Verarbeitung besonderer Kategorien personenbezogener Daten ist untersagt. Da im Wirtschaftsleben aber regelmäßig auch besondere Kategorien personenbezogener Daten verarbeitet werden müssen, regelt Art. 9 Abs. 2 DSGVO einen engen Katalog mit Ausnahmetatbeständen.

Ausnahmen vom Verarbeitungsverbot

Das Hauptaugenmerk liegt dabei auf Fällen, in denen eine Verarbeitung von besonderen Kategorien personenbezogener Daten zwingend notwendig ist.

So wird z.B. in Art. 9 Abs. 2 lit. b, h die Verarbeitung besonderer Kategorien personenbezogener Daten für die Erfüllung und Ausübung der Rechte aus einem Arbeitsverhältnis sowie für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin zugelassen. Das ist in der Praxis unverzichtbar, da ansonsten keine Arbeitsunfähigkeitsbescheinigungen eingesehen oder betriebliche Eingliederungsmaßnahmen durchgeführt werden könnten.

Weitere Beispiele sind die Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten für die Geltendmachung von Rechtsansprüchen, zu wissenschaftlichen Forschungszwecken oder zum Schutz lebenswichtiger Interessen der betroffenen Person, z.B. um einem bewusstlosen Unfallopfer zu helfen.

Daneben hat der Gesetzgeber aber auch solche Fälle geregelt, in denen er den besonderen Schutz besonderer Kategorien personenbezogener Daten für nicht erforderlich hält. Das ist zweifelsohne sinnvoll, denn bereits offensichtlich öffentlich gemachte Daten (lit. e) müssen nicht vor der Verarbeitung besonders geschützt werden. Das gleiche gilt, wenn die betroffene Person ausdrücklich in die Verarbeitung einwilligt.

Verhältnis der Regelungen nach Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO

An dem Beispiel einer Einwilligung als Rechtsgrundlage lässt sich das Spannungsverhältnis des Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO gut aufzeigen.

  • Art. 6 Abs. 1 lit. a DSGVO nennt die Einwilligung der betroffenen Person als eine mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Dazu enthält Art. 7 DSGVO umfassende ergänzende Regelungen zur Wirksamkeit einer Einwilligung.
  • Art. 9 Abs. 2 lit. a DSGVO regelt schlicht, dass besondere Kategorien personenbezogener Daten nur dann verarbeitet werden dürfen, wenn eine ausdrückliche Einwilligung vorliegt.

Die Regelung grenzt den Erlaubnistatbestand also weiter ein, da sie ausdrücklich erteilt werden muss, und nicht wie nach Art. 6 Abs. 1 lit. a DSGVO „nur“ durch eine eindeutig bestätigende Handlung. Problematisch ist aber, dass Art. 9 Abs. 2 lit. a DSGVO keinen Verweis auf die Regelungen des Art. 6 und 7 DSGVO enthält.

Gemeinsame Anwendbarkeit?

Es stellt sich daher die Frage, ob bei der Anwendung des Ausnahmetatbestandes des Art. 9 Abs. 2 zusätzlich die allgemeinen Anforderungen des Art. 6 DSGVO zu beachten sind.

Gründe gegen eine gemeinsame Anwendbarkeit

Zunächst spricht für die gegenseitige Ausschließlichkeit der Regelungen, dass der Art. 6 Abs. 1 DSGVO nach der Gesetzessystematik einen abschließenden Katalog von Erlaubnistatbeständen enthält. Zudem nimmt – wie oben erwähnt – der Art. 9 Abs. 2 DSGVO keinen Bezug auf Art. 6 DSGVO.

Gründe für eine gemeinsame Anwendbarkeit

Letztendlich spricht aber beides nicht gegen eine ergänzende Anwendung des Art. 9 Abs. 2 DSGVO neben Art. 6 Abs. 1 DSGVO. Schließlich hat Art. 9 Abs. 2 DSGVO den Charakter einer Ausnahmeregelung, der die Grenzen der zulässigen Verarbeitung noch enger zieht als Art. 6 Abs. 1 DSGVO. Es werden somit keine weiteren ergänzenden Rechtsgrundlagen geschaffen.

Dafür, dass der Ausnahmetatbestand des Art. 9 Abs. 2 den Art. 6 Abs. 1 DSGVO nur ergänzt und nicht verdrängt, spricht zudem der risikobasierte Ansatz der DSGVO. Danach werden mit steigender Sensibilität der personenbezogenen Daten und damit steigender Eingriffsintensität zunehmend höhere Anforderungen an die Rechtmäßigkeit der Verarbeitung gestellt.

Vor diesem Hintergrund ist es wenig wahrscheinlich, dass der Gesetzgeber durch die Regelungen des Art. 9 Abs. 2 DSGVO gewissermaßen ein Schlupfloch zur Umgehung der Regelungen des Art. 6, 7 und 8 DSGVO schaffen wollte.

Dafür spricht auch die Auslegungshilfe in Erwägungsgrund 51 S. 5, wonach zusätzlich zu den speziellen Anforderungen an eine Verarbeitung nach Art. 9 DSGVO auch die allgemeinen Grundsätze und Bestimmungen der DSGVO – d.h. auch des Art. 6 DSGVO – zu beachtet sind.

Ein weiteres Argument für ein beabsichtigtes Zusammenspiel von Art. 6 und Art. 9 ist der Verweis in Art. 6 Abs. 4 lit. c DSGVO auf Art. 9 DSGVO, wonach bei der Feststellung der Vereinbarkeit der Zwecke bei einer Zweckänderung auch die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten verarbeitet werden, berücksichtigt werden muss. Dieser Umstand legt den Schluss nah, dass auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten eine Zweckänderung möglich sein muss und diese sich nach Art. 6 Abs. 4 DSGVO richtet. Das leuchtet auch unmittelbar ein, da bei der Zweckänderung zur Verarbeitung besonderer Kategorien personenbezogener Daten nicht geringere Anforderungen gestellt werden sollten, als an eine Verarbeitung weniger sensibler personenbezogener Daten.

Aber keine Umgehung des Art. 9 Abs. 2 DSGVO

Jedoch ist zu beachten, dass nicht zwischen der Anwendung des Art. 6 Abs. 1 und des Art. 9 Abs. 2 nach Belieben gewechselt werden, je nachdem, was gerade vorteilhafter ist. Die Anwendung des Art. 9 ist zwingend, wenn besondere Kategorien personenbezogener Daten verarbeitet werden.

Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten

Für die Verarbeitung besonderer Kategorien personenbezogener Daten müssen also die Voraussetzungen des Art. 6 Abs. 1 (und ggf. Art. 7 und 8) und Art. 9 Abs. 2 DSGVO kumulativ vorliegen. Eine Verarbeitung kann nicht alleine auf Art. 9 Abs. 2 DSGVO gestützt werden, wenn sie nicht auch nach Art. 6 Abs. 1 DSGVO zulässig ist. Ansonsten würde eine Umgehung des beabsichtigten besonders hohen Schutzes bei der Verarbeitung besonderer Kategorien personenbezogener Daten drohen.

Das hat – wie oben angesprochen – u.a. die praktische Konsequenz, dass bei Verarbeitung besonderer Kategorien personenbezogener Daten zur Erfüllung der Informationspflichten nach Art. 13 Abs. 1 lit. c DSGVO als Rechtsgrundlage auch der Art. 6 DSGVO zitiert werden muss. Bei Verstoß gegen die Informationspflichten können gemäß Art. 83 Abs. 5 lit. b DSGVO Bußgelder drohen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

12 Kommentare zu diesem Beitrag

  1. Bei der Einwilligung passt es, weil sich diese in beiden Normen (Art. 6 und 9 DSGVO) befindet. Aber wie bewerten Sie es, wenn es sich um Gesundheitsdaten handelt und als Rechtsgrundlage Art 6 Abs 1 f DSGVO einschlägig ist (bspw. Fotoveröffentlichung zur Berichterstattung eines Sommerfestes der Krebsabteilung eines Krankenhauses): Was gilt dann für Art. 9 DSGVO? Ein berechtigtes Interesse sieht diese Norm ja nicht vor.

    • Wenn es sich wirklich um die Verarbeitung von Daten nach Art. 9 DSGVO handelt ist eine Verarbeitung aufgrund des berechtigten Interesses nicht möglich, da es als Rechtsgrundlage nicht vorgesehen ist. Als Rechtsgrundlage können nur die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a oder die weiteren in Art. 9 Abs. 2 DSGVO genannten Rechtsgrundlagen dienen. Es handelt sich um einen abschließenden Katalog an Rechtsgrundlagen.

  2. Es gibt immer wieder Diskussionen über Artikel der DSGVO die meines Erachtens völlig sinnlos sind. So auch diese hier. Art. 6 und Art. 9 hebeln sich nicht gegenseitig aus. Während Art. 6 eine Grundvoraussetzung beschreibt, ist Art. 9 eine Ergänzung für bestimmte Fälle. Immer wieder werden Themenpunkte künstlich verkompliziert, lang ausschweifend in die Länge gezogen sodass man nicht anders kann als den Überblick zu verlieren. Wer mit gesundem Menschenverstand an die DSGVO heran geht, kann gar nicht soviel verkehrt machen. Das sollten sich insbesondere jene vor Augen führen, die ihre Augen den ganzen Tag nur in Gesetzestexte stecken. Einfach mal Kopf einschalten.

    • Dieses Thema kam in der Beratungspraxis auf, daher besteht schon eine gewisse praktische Relevanz. Auch wenn ich Ihnen Recht geben muss, dass es nach der gesetzlichen Konzeption her unwahrscheinlich ist, dass der Art. 9 DSGVO ohne die Regelungen des Art. 6 DSGVO Anwendung finden soll, da er ein zusätzlichen Schutz gewähren soll. Die Frage ist aber der erste Punkt auf Deutschlands Liste (S. 14) anlässlich der ersten Evaluierung der DSGVO.

  3. Ihr Fazit lautet: „Eine Verarbeitung kann nicht alleine auf Art. 9 Abs. 2 DSGVO gestützt werden, wenn sie nicht auch nach Art. 6 Abs. 1 DSGVO zulässig ist.“ Wenn ich Sie richtig verstanden habe, gilt das auch umgekehrt: Eine Verarbeitung (sensibler Daten) kann nicht alleine auf Art. 6 Abs. 1 DSGVO gestützt werden, wenn sie nicht auch nach Art. 9 Abs. 2 DSGVO zulässig ist.

    Und wie ist es bei nicht sensiblen Daten? Kann ich deren Verarbeitung allein auf Art. 9 Abs. 2 lit. h DSGVO gründen („die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat“), eine Erlaubnis, die sich so weitgehend im Katalog der Grundlagen nach Art. 6 Abs. 1 DSGVO m.E. nicht findet? Wenn das nach den strengeren Maßstäben für sensible Daten gilt, muss es doch erst recht bei nicht sensiblen Daten (mit den eigentlich „lascheren“ Maßstäben) gelten …

    • Genau, eine Verarbeitung (sensibler Daten) kann nicht alleine auf Art. 6 Abs. 1 DSGVO gestützt werden, wenn sie nicht auch nach Art. 9 Abs. 2 DSGVO zulässig ist.

      Die Verarbeitung nicht sensibler Daten kann nicht auf Art. 9 Abs. 2 gestützt werden, da Art. 9 eine Spezialvorschrift allein für besonders schützenswerte Daten ist. Wenn eine Person Daten offensichtlich öffentlich gemacht hat, könnte eine konkludente Einwilligung in eine Verarbeitung nach Art. 6 Abs. 1 lit. a DSGVO gegeben sein oder man könnte ggf. im Rahmen einer Interessenabwägung die Veröffentlichung als Kriterium berücksichtigen, dass die betroffene Person die Verarbeitung absehen konnte.

  4. Ich bin juristischer Laie, aber meine Ansicht nach widerspricht die Formulierung in Artikel 13 Abs. 2 Buchstabe c) den im Beitrag gemachten Aussagen. Dort heißt es nämlich wie folgt.

    „wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen (…)“

    Das spricht für mich dafür, dass Artikel 6 und 9 nebeneinander zu sehen sind.

    Die identische Formulierung findet sich auch in Artikel 14 Abs. 2 Buchstabe d).

    • Der Regelung in Art. 13 und 14 DSGVO kann durchaus so gelesen werden, dass es sich bei Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO jeweils um eigenständige Erlaubnistatbestände handelt. Andererseits heißt es in Erwägungsgrund 51 Satz 5: „Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten.“ Die Grundsätze für die Verarbeitung personenbezogener Daten finden sich in Art. 5 DSGVO. Einer dieser Grundsätze ist nach Art. 5 Abs. 1 lit. a DSGVO die Rechtmäßigkeit der Verarbeitung. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist entsprechend der amtlichen Überschrift in Art. 6 DSGVO geregelt. Bei den in Art. 9 Abs. 2 DSGVO aufgelisteten Tatbeständen handelt es sich eben „nur“ um die Fälle, in denen bei Vorliegen einer entsprechenden Rechtsgrundlage aus Art. 6 DSGVO die Verarbeitung der Daten ausnahmsweise erlaubt ist. Wie dem Artikel entnommen werden kann, ist die Frage durchaus umstritten (was auch an Formulierungen wie in Art. 13 und 14 DSGVO liegen mag). Die Aufsichtsbehörden gehen im Übrigen davon aus, dass die Voraussetzungen des Art. 6 DSGVO neben denen des Art. 9 DSGVO gegeben sein müssen (Kurzpapier Nr. 17 der Datenschutzkonferenz – DSK).

  5. Eine kumulative Anwendbarkeit von Art. 6 I und 9 II a) DSGVO ergibt keinen Sinn und ergibt sich auch nicht aus dem Wortlaut der VO, vgl. Art. 13 II c) DSGVO der von „oder“ spricht.
    Andererseits sollten neben Art. 9 II a) auch die Art. 7, 8 DSGVO beachtet werden, vgl. Art. 7 I DSGVO, der von allgemein von Einwilligung spricht, sodass nicht nur Art. 6 I a), sondern auch Art. 9 II a) DSGVO hineinzulesen ist.
    Art. 9 sollte man als speziellere Norm sehen, die strenger ist und eine ausdrückliche Einwilligung voraussetzt. Ich kann dem Fazit also nicht zustimmen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.