Was ist Artikel 9 DSGVO? Alles über sensible Daten und wie Unternehmen compliant bleiben

by
Alexandra Spiropoulos
Erstellt:
January 29, 2026
4
min read

Die DSGVO schützt personenbezogene Daten umfassend - das ist den meisten bekannt. Weniger bewusst ist jedoch, dass es Datenkategorien gibt, die als besonders sensibel gelten und deren Verarbeitung deutlich strengeren Anforderungen unterliegt als die übliche Consent-Abfrage über CMPs. In diesem Artikel erläutern wir, welche Daten unter Artikel 9 DSGVO fallen und wie Unternehmen Consent, Datenverarbeitung und technische Architektur zusammendenken müssen, um auch im digitalen Umfeld rechtskonform zu bleiben. 

Was Artikel 9 DSGVO schützt

Artikel 9 DSGVO regelt den Umgang mit bestimmten Kategorien personenbezogener Daten, die einem erhöhten Schutz unterliegen. Entscheidend ist dabei nicht die Form der Datenerhebung, sondern die mögliche Aussagekraft der Daten. Der Anwendungsbereich von Artikel 9 greift dabei nicht nur bei ausdrücklich angegebenen Informationen, sondern bereits dann, wenn sich sensible Merkmale aus anderen Daten ableiten lassen. 

Diese Datenkategorien gelten als besonders sensibel im Sinne des Artikel 9 DSGVO:

  • Gesundheitsdaten
  • Informationen zum Sexualleben oder zur sexuellen Orientierung 
  • Daten zur ethnische Herkunft
  • politische Meinungen und Zugehörigkeiten (z.B. zu Gewerkschaften)
  • religiöse oder weltanschauliche Überzeugungen
  • Genetische Daten
  • biometrische Daten

Wann digitale Daten unter Artikel 9 DSGVO fallen

Artikel 9 DSGVO greift nicht erst dann, wenn sensible Daten ausdrücklich erhoben werden, sondern dann, wenn aus digitalen Nutzungsdaten Rückschlüsse auf besonders geschützte Merkmale möglich sind. Entscheidend ist dabei nicht der Datentyp an sich, sondern der Kontext, in dem er verarbeitet wird.

Digitale Nutzungsdaten im rechtlichen Kontext

Im digitalen Umfeld entstehen personenbezogene Daten häufig automatisch. Dazu zählen etwa Seitenaufrufe, URL-Strukturen, Eventnamen, Referrer-Informationen oder Interaktionsmuster. Solche Daten werden oft als technisch oder neutral eingeordnet. Rechtlich relevant werden sie jedoch dann, wenn sie mit bestimmten Inhalten oder Nutzungskontexten verknüpft sind und dadurch eine sensible Aussage ermöglichen.

Ableitung sensibler Merkmale im Online-Kontext

Die Rechtsprechung stellt klar, dass bereits der Besuch bestimmter Websites oder Unterseiten ausreichen kann, um einen Bezug zu einer Besonderen Kategorie personenbezogener Daten herzustellen. Ruft ein Nutzer beispielsweise eine Seite wie “kopfschmerzmittel/ibuprofen-400mg” auf, kann allein diese URL in Verbindung mit dem Nutzungskontext Rückschlüsse auf einen möglichen Gesundheitszustand erlauben, ohne dass der Nutzer aktiv Angaben macht oder ein Produkt erwirbt. 

Für Unternehmen bedeutet das: Sobald digitale Daten im Zusammenspiel mit Inhalt, Struktur oder Kontext eine sensible Aussage zulassen, bewegt sich die Verarbeitung im Anwendungsbereich von Artikel 9 DSGVO. Ob es sich dabei um Tracking-, Analyse- oder Marketingzwecke handelt, ist für diese rechtliche Einordnung unerheblich.

Warum Einwilligung und nachträgliche Maßnahmen nicht ausreichen

Der Artikel erlaubt die Verarbeitung besonderer Kategorien personenbezogener Daten nur in eng begrenzten Ausnahmefällen, insbesondere bei einer ausdrücklichen Einwilligung. Diese unterliegt deutlich strengeren Anforderungen als eine gewöhnliche Cookie-Einwilligung und lässt sich im digitalen Umfeld kaum rechtssicher umsetzen.

Hinzu kommt ein technisches Grundproblem: Verarbeitung im Sinne der DSGVO beginnt bereits mit der Erhebung der Daten. Entstehen sensible Bezüge in diesem frühen Verarbeitungsschritt, können sie rechtlich rückwirkend nicht legitimiert werden. Wird eine URL wie “/kopfschmerzmittel/ibuprofen-400mg” technisch erfasst, entsteht der potenzielle Gesundheitsbezug bereits in diesem Moment, unabhängig davon, ob der Nutzer später einwilligt oder weitere Angaben macht. Nachträgliche Maßnahmen wie Pseudonymisierung oder Filterung greifen daher zu spät. Sobald sensible personenbezogene Daten auch nur kurzzeitig verarbeitet wurden, ist der Anwendungsbereich von Artikel 9 DSGVO eröffnet.

Technischer Lösungsansatz mit JENTIS

Die JENTIS Twin-Server-Technologie bietet eine technische Lösung, die verhindert, dass solche Daten überhaupt in sensibler Form entstehen. Dabei wird die ursprüngliche Serveranfrage technisch abgefangen und parallel verarbeitet. Aus der Originalanfrage wird ein “digitaler Zwilling” mit vollständig neutralisierten Daten erzeugt, und nur dieser abstrahierte Datenstrom wird an externe Systeme wie LinkedIn übermittelt. 

Die Neutralisierung erfolgt mehrstufig. Inhalte mit potenziell sensiblem Bezug werden entfernt oder generalisiert, etwa durch die Abstraktion von URL-Pfaden und Eventnamen. Ein Seitenaufruf wie im vorangegangenen Beispiel “/kopfschmerzmittel/ibuprofen-400mg” wird dadurch zu einer inhaltlich neutralen Information wie “produkt/artikel”.  Rechtlich relevant ist, dass der Anwendungsbereich von Artikel 9 DSGVO gar nicht erst eröffnet wird, da keine sensiblen personenbezogenen Daten entstehen. Drittanbieter haben zu keinem Zeitpunkt Zugriff auf die ursprünglichen Daten oder die Transformationslogik, sondern erhalten ausschließlich kontextneutrale Interaktionsdaten, aus denen keine sensiblen Merkmale abgeleitet werden können. 

Fazit

Artikel 9 DSGVO lässt sich im digitalen Umfeld nicht allein über Einwilligungen oder juristische Absicherungen beherrschen. Entscheidend ist, ob technische Systeme so gestaltet sind, dass sensible personenbezogene Daten überhaupt entstehen können. Damit wird Artikel 9 weniger zu einer Frage der Rechtsgrundlage als zu einer Frage der technischen Architektur, die durch spezialisierte Lösungen wie die patentierte Technologie von JENTIS umgesetzt werden kann. 

Alexandra Spiropoulos

Alexandra ist Marketing Content Specialist bei JENTIS und erstellt Inhalte für Kampagnen sowie digitale Marketinginitiativen. Seit 2024 ist sie Teil des Teams und arbeitet daran, die Markenbotschaft über verschiedene Kanäle hinweg zu schärfen. Zuvor sammelte sie Erfahrungen im Marketing und in der Kommunikation bei Unternehmen wie Austrian Airlines.

Mehr erfahren

Warum serverseitiger GTM eine Compliance-Falle ist – und wie JENTIS sie löst

Datenschutzkonformes Tracking mit JENTIS

Mit dem serverseitigen Tracking von JENTIS lässt sich die vollständige Kontrolle über Webdaten übernehmen und die Anforderungen der DSGVO sowie anderer Datenschutzvorgaben unkompliziert erfüllen.

Zero-, First- und Third-Party-Daten und was sie wirklich für Marketing, Analytics und Compliance bedeuten

Keep learning

No items found.

Produkt

Verwaltung von StichwörternSynthetische NutzerEssentieller ModusKontrollen zum Datenschutz

Plattform

ÜberblickKonnektorenHostenCustomer Service

Mannschaften

MarketingE-CommerceAnalytics & BIDatenschutzbeauftragte und Rechtsabteilung

Heading

Text LinkText LinkText LinkText LinkText Link

JENTIS © 2025

DatenschutzerklärungAGBImpressumCookie-Einstellungen

Anwendungsfälle

Leistung der AnzeigeZuschreibungDatenschutz-CompliancePersonalisierungFirst-Party DatenstrategienWiederherstellung der EinwilligungTesting & Optimierung

Ressourcen

EreignisseBlogDokumentationFallstudienLeitfäden und BerichteHäufig gestellte Fragen

Branchen

Handel & E-CommerceBanken & FinanzMedien & VerlageUnternehmen

Firma

Über unsKarrierenSales kontaktierenJENTIS auf LinkedInJENTIS auf Youtube
JENTIS ist ein nach ISO 27001 zertifiziertes Unternehmen.
Verfolge besser. Konvertiere mehr.