Ein fauler Apfel verdirbt den ganzen Korb? Offene Fragen im Zusammenhang mit sensiblen Daten und Mischdatensätzen nach der DSGVO

Von Selma Nabulsi Doktorandin | TU München

Vorsicht, sensibel! Offene Fragen im Zusammenhang mit sensiblen Daten und Mischdatensätzen nach der DSGVO

Wer an Datenschutz denkt, hat häufig zuerst den Schutz hochsensibler Informationen im Kopf: Gesundheitsdaten, Daten über die Religionszugehörigkeit oder über politische Meinungen. Der Schutz sensibler Daten gehört zu den Kernanliegen der DSGVO. Doch wie weit reichen die Verarbeitungsanforderungen für sensible Daten – und was passiert, wenn sensible Daten mit einfachen personenbezogenen Daten vermischt werden?

Sensible Daten: „Dealbreaker“ der Verarbeitungspraxis?

Die DSGVO unterscheidet zwischen einfachen und sensiblen personenbezogenen Daten. Zu den sensiblen Daten gehören unter anderem:

  • Daten über die ethnische Herkunft
  • Daten über politische Meinungen
  • Daten über die Gewerkschaftszugehörigkeit
  • Gesundheitsdaten
  • Daten zu der sexuellen Orientierung

Die Verarbeitung dieser Datenkategorien ist grundsätzlich verboten. Ausnahmen von dem Verbot sind u.a. in Art. 9 Abs. 2–3 DSGVO festgelegt. Diese Ausnahmen sind deutlich enger ausgestaltet als bei der Verarbeitung einfacher personenbezogener Daten. Insbesondere kommt die Verarbeitung auf Grundlage eines berechtigten Interesses oder zur Vertragserfüllung – beides Rechtsgrundlagen, die für nichtsensible Daten einen sehr wichtigen Anwendungsbereich haben – im Katalog des Art. 9 Abs. 2 DSGVO nicht vor.

Für Verantwortliche bedeutet das: Einerseits ist die Verarbeitung sensibler Daten nicht völlig ausgeschlossen, sondern kann im Einzelfall auf Grundlage einer Ausnahmevorschrift erlaubt sein. Andererseits ist, sobald sensible Daten im Spiel sind, besondere Vorsicht bei der Beurteilung der Verarbeitungsvoraussetzungen geboten.

Probleme können entstehen, wenn unklar ist, ob überhaupt ein sensibles Datum vorliegt – etwa, weil das Datum nur indirekt einen Rückschluss auf ein sensibles Merkmal zulässt. Der EuGH ist bei der Annahme sensibler Daten bisher sehr großzügig: So hat der Gerichtshof beispielsweise entschieden, dass eine Online-Apotheke, die Bestellungen nicht verschreibungspflichtiger Medikamente aufnimmt, Gesundheitsdaten verarbeitet (EuGH, Urt. v. 04.10.2024, Rs. C-21/23 – Lindenapotheke). Darauf, dass viele Kunden wahrscheinlich bloß Nasenspray oder Ibuprofen für die Hausapotheke bestellen, kommt es nicht an.

Ein sensibles Datum kommt selten allein

Oft werden sensible Daten nicht isoliert verarbeitet, sondern sind in größere Datensätze eingebettet – man denke an eine Kundendatenbank, die neben vielen nichtsensiblen Angaben auch einzelne sensible Informationen enthält. Das wirft die Frage auf: Welche Anforderungen gelten, wenn Verantwortliche diese sogenannten „Mischdatensätze“ verarbeiten?

Der EuGH hat sich zu dieser Frage in der Rechtssache Meta/BKartA geäußert. Aus den Ausführungen des Gerichtshofs lässt sich ableiten: Es kann vorkommen, dass ein Datensatz insgesamt den strengen Anforderungen von Art. 9 DSGVO unterliegt, (nur) weil ein einzelnes Datum darin sensibel ist. Das sensible Datum „infiziert“ dann den restlichen Datenbestand. Unter welchen Voraussetzungen diese „Infektionswirkung“ greift und wie weit sie reichen kann, wird aus dem Urteil nicht abschließend deutlich. Es geht dem EuGH wohl vor allem um Fälle, in denen der Datensatz „als Ganzes erhoben wird, ohne dass die Daten zum Zeitpunkt dieser Erhebung voneinander getrennt werden können“ (EuGH, Urt. v. 04.07.2023, Rs. C-252/21, Rn. 89). Welche Anforderungen an eine solche Untrennbarkeit zu stellen sind, bleibt aber unklar.

Tipp: Eine ganz ähnliche Formulierung hat der Unionsgesetzgeber übrigens in ErwGr. 34 Data Act gewählt, wo es um gemischte Datensätze aus personenbezogenen und nicht-personenbezogenen Daten geht. Die Maßstäbe zur Bewertung der „Untrennbarkeit“ sind also voraussichtlich auf den Data Act übertragbar – und können auch dort Fragen aufwerfen.

Auswirkungen auf den Einsatz von KI

Herausforderungen kann diese Unklarheit unter anderem bei KI-Anwendungen verursachen. Denn gerade in großen Trainingsdatensätzen können sich vereinzelte sensible Daten befinden. In diesem Fall kann es einen erheblichen Unterschied machen, ob nur die Verarbeitung vereinzelter Datensatzbestandteile Art. 9 DSGVO unterliegt oder ob der gesamte Datensatz „infiziert“ ist. Auf dieses Problem stößt auch das OLG Köln in seiner aktuellen Entscheidung darüber, ob Meta Nutzerdaten für das KI-Training verwenden darf (OLG Köln, Urt. v. 23.05.2025, Az. 15 UKl 2/25).

Hier zeigt sich ein erster Trend bei der rechtlichen Bewertung von KI: Art. 9 DSGVO kann eine nicht zu unterschätzende Hürde für den Einsatz von KI darstellen.

Was tun? Wege aus dem Mischdatensatz-Dilemma

Ob ein Verarbeitungsvorgang von Art. 9 DSGVO erfasst ist und ob die Verarbeitung rechtskonform ist, bleibt – besonders bei sensiblen Daten – immer eine Einzelfallentscheidung. Einige allgemeine Leitlinien sollten Verantwortliche aber im Umgang mit sensiblen Daten beachten:

  • Vorsicht ist besser als Nachsicht: Verantwortliche sollten frühzeitig prüfen, ob von ihnen verarbeitete Daten als sensibel einzustufen sind. Dabei ist zu beachten, dass der EuGH einen großzügigen Maßstab anlegt. Es gilt also die Devise: Im Zweifelsfall hat man es häufig mit sensiblen Daten zu tun.
  • Bestand sensibler Daten auf ein Minimum reduzieren: Die Anforderungen an eine rechtskonforme Verarbeitung sensibler Daten sind hoch, der Compliance-Aufwand ebenso. Verantwortliche sollten daher genau untersuchen, welche sensiblen Daten für ihre Verarbeitungszwecke wirklich zwingend gebraucht werden. Nicht zwingend notwendige sensible Daten sollten nicht erhoben oder gelöscht werden. Je nach Einzelfall kann auch eine Anonymisierung in Betracht kommen.
  • Datenbestände organisatorisch trennen: Um das Risiko zu vermeiden, dass ganze Datenbestände „infiziert“ werden, können sensible und nichtsensible Daten nach Möglichkeit getrennt aufbewahrt werden – zum Beispiel in getrennten Datenbanken.

Die Verarbeitung sensibler Daten wirft eine Reihe offener Rechtsfragen auf. Insbesondere die Verknüpfung einfacher mit sensiblen Daten in einem Datensatz kann zu Herausforderungen führen. Diese Herausforderungen bieten Anlass für eine breitere Diskussion – eine gute Gelegenheit, um bei der kommenden IDACON über dieses Themenfeld zu sprechen.

IDACON Tag 1 | 14:30 - 15:30 Uhr

Forum 2: Mischen impossible? Sensible Daten und der Umgang mit Mischdatensätzen

In diesem Vortrag wird erläutert, welche Daten nach der DSGVO als „sensibel“ gelten und wie man einen Mischdatensatz mit sensiblen und nichtsensiblen Bestandteilen erkennt. Sie erfahren, welche rechtlichen Anforderungen Unternehmen und Organisationen bei der Verarbeitung von Mischdatensätzen beachten müssen – und welche Rechtsfragen noch ungeklärt sind. Hierzu werden praxisnahe Beispiele erörtert und es wird die bislang wenig beachtete Rechtsprechung des EuGH zu Mischdatensätzen beleuchtet.

Zum Programm
Ailance_Logo_400x400
Caralegal-Neues-Logo
dastra_Logo_400x400
Datenschutz-Praxis-Sponsor-Datenschutztage.png
Ping-Sponsor-Datenschutztage.png
Pointsharp400x400px
WEKA Media IDACON

FFD Forum für Datenschutz
eine Marke der TALENTUS GmbH

Friedrichstraße 16-18
65185 Wiesbaden

Telefon 0611 23 600 50
info@ffd-seminare.de

DER Kongress für Datenschutz

27.10.- 29.10.26

München oder virtuell

Erleben Sie drei spannende Kongresstage voller inspirierender und topaktueller Beiträge und knüpfen Sie neue Kontakte mit Expertinnen und Experten sowie anderen Teilnehmenden aus dem Datenschutz.
Jetzt buchen
Folgen Sie uns:

Share

Ein fauler Apfel verdirbt den ganzen Korb?