AI PlaybookEU

Art. 9 DSGVO – Besondere Kategorien personenbezogener Daten

Welche besonderen Kategorien personenbezogener Daten sind nach Art. 9 DSGVO besonders geschützt? Überblick über das Verarbeitungsverbot, Ausnahmen und KI-spezifische Risiken wie Proxy-Diskriminierung und sensible Ableitungen.

11. Februar 20264 min read
DSGVOArt. 9Besondere KategorienGesundheitsdatenBiometrieKI-Compliance

Überblick

Art. 9 DSGVO schützt sogenannte besondere Kategorien personenbezogener Daten. Für diese Daten gilt grundsätzlich ein Verarbeitungsverbot – es sei denn, eine der eng definierten Ausnahmen greift.

Im Kontext von KI-Systemen ist Art. 9 besonders relevant, weil moderne Modelle häufig sensible Informationen verarbeiten, ableiten oder unbeabsichtigt rekonstruieren können.

Dieser Beitrag erläutert:

  • Welche Daten unter Art. 9 fallen
  • Welche Ausnahmen zulässig sind
  • Warum KI-Systeme hier besondere Risiken bergen
  • Unterschied zwischen Pseudonymisierung und Anonymisierung
  • Praktische Umsetzungsschritte

Welche Daten sind „besondere Kategorien"?

Art. 9 Abs. 1 DSGVO nennt:

  • Daten zur ethnischen oder rassischen Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten zur eindeutigen Identifizierung
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Grundsatz

Die Verarbeitung dieser Daten ist grundsätzlich verboten.

Was bedeutet „grundsätzlich verboten"?

Im Unterschied zu Art. 6 gilt hier:

  • Art. 6 allein reicht nicht aus
  • Zusätzlich muss eine Ausnahme nach Art. 9 Abs. 2 greifen

Ohne Ausnahme ist die Verarbeitung rechtswidrig.

Die wichtigsten Ausnahmen nach Art. 9 Abs. 2

Es gibt zehn Ausnahmetatbestände. Die praxisrelevantesten sind:

AusnahmeTypischer Kontext
a) Ausdrückliche EinwilligungGesundheits-Apps
b) Arbeitsrechtliche PflichtenHR-Systeme
g) Erhebliches öffentliches InteresseBehörden
h) GesundheitsversorgungMedizinische KI
j) Wissenschaftliche ForschungKI-Forschung

Jede Ausnahme ist eng auszulegen.

KI-spezifische Herausforderungen

Unbeabsichtigte Ableitung sensibler Daten

KI-Systeme können:

  • aus scheinbar neutralen Daten sensible Merkmale ableiten
  • z. B. politische Orientierung aus Social-Media-Mustern
  • Gesundheitszustände aus Verhaltensdaten

Diese indirekten Ableitungen können ebenfalls unter Art. 9 fallen.

Ableitungsproblem

Auch wenn sensible Daten nicht direkt erhoben werden, kann eine modellbasierte Ableitung Art. 9 auslösen.

Proxy-Diskriminierung

Ein System nutzt keine sensiblen Daten direkt, aber:

  • Postleitzahl — indirekte ethnische Zuordnung
  • Kaufverhalten — religiöse Rückschlüsse
  • Sprachmuster — Herkunftsvermutung

Dies kann faktisch zu Diskriminierung führen, auch ohne explizite Erfassung sensibler Merkmale.

Biometrische Daten

Besonders relevant im KI-Kontext:

  • Gesichtserkennung
  • Fingerabdruckanalyse
  • Stimmerkennung

Nicht jede biometrische Verarbeitung fällt unter Art. 9 – nur wenn sie der eindeutigen Identifizierung dient.

Pseudonymisierung vs. Anonymisierung

MerkmalPseudonymisierungAnonymisierung
RückbeziehbarkeitMöglich mit ZusatzwissenNicht möglich
DSGVO anwendbarJaNein
KI-Training geeignetJaEingeschränkt

Viele KI-Projekte arbeiten mit pseudonymisierten Daten – diese bleiben jedoch DSGVO-relevant.

Fehlannahme

Pseudonymisierte Daten sind keine anonymen Daten.

Gesundheitsdaten im KI-Kontext

Gesundheitsdaten umfassen:

  • Diagnosen
  • Laborwerte
  • Medikationspläne
  • Genetische Informationen

Medizinische KI-Systeme sind daher besonders reguliert – auch im Zusammenspiel mit dem EU AI Act (Hochrisiko-Kategorie).

Verhältnis zu Art. 22 DSGVO

Automatisierte Entscheidungen mit sensiblen Daten:

  • sind besonders risikobehaftet
  • können zusätzliche Schutzmaßnahmen erfordern
  • lösen häufig eine Datenschutz-Folgenabschätzung aus

Praktische Umsetzung

Schritt 1 – Datenklassifizierung

  • Enthalten Trainingsdaten sensible Kategorien?
  • Können Modelle solche Daten ableiten?

Schritt 2 – Ausnahme prüfen

  • Greift Art. 9 Abs. 2?
  • Liegt eine ausdrückliche Einwilligung vor?
  • Gibt es gesetzliche Grundlage?

Schritt 3 – Schutzmaßnahmen implementieren

  • Zugriffsbeschränkung
  • Verschlüsselung
  • Minimierung
  • Bias-Tests

Schritt 4 – Dokumentation

  • Ausnahmegrundlage dokumentieren
  • Risikoanalyse durchführen
  • ggf. DSFA erstellen

Verbindung zum EU AI Act

Mehrere verbotene Praktiken nach Art. 5 AI Act betreffen:

  • biometrische Kategorisierung
  • sensible Profilbildung

Auch Hochrisiko-KI-Systeme im Gesundheitswesen unterliegen parallelen Pflichten.

Typische Fehlannahmen

AnnahmeRealität
„Wir speichern keine sensiblen Daten"Modelle können sie ableiten
„Pseudonymisierung reicht aus"DSGVO bleibt anwendbar
„Nur Gesundheitsbranche betroffen"Auch HR- oder Marketing-KI kann Art. 9 auslösen

Governance-Empfehlung

Bei KI-Projekten sollte standardmäßig geprüft werden:

  • Können sensible Kategorien direkt oder indirekt betroffen sein?
  • Sind Bias-Tests implementiert?
  • Bestehen Diskriminierungsrisiken?

Ein strukturierter Risikoansatz reduziert Haftungsrisiken erheblich.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Klassifizieren Sie Ihre Trainings- und Inferenzdaten.
  2. Prüfen Sie mögliche indirekte Ableitungen sensibler Merkmale.
  3. Bewerten Sie, ob eine Ausnahme nach Art. 9 Abs. 2 greift.
  4. Implementieren Sie technische Schutzmaßnahmen.
  5. Führen Sie bei erhöhtem Risiko eine DSFA durch.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

DSGVO & KI

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung

Die sechs Rechtsgrundlagen nach Art. 6 DSGVO im Detail – mit besonderem Fokus auf KI-Systeme, Einwilligung, berechtigtes Interesse und Zweckänderung bei Modelltraining.

Lesen

DSGVO & KI

Art. 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Wann ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei KI-Systemen erforderlich? Struktur, Ablauf, KI-spezifische Risiken und Verbindung zum EU AI Act.

Lesen

EU AI Act

Verbotene KI-Praktiken nach Art. 5 EU AI Act

Welche KI-Praktiken sind nach Art. 5 EU AI Act vollständig verboten? Detaillierte Übersicht aller verbotenen Systeme, Ausnahmen, Abgrenzungen und Bußgeldrisiken.

Lesen