Sehr geehrte Leserinnen und Leser,

Art. 9 DSGVO gilt vielen als Schreckgespenst. Gesundheitsdaten, biometrische Informationen, politische Überzeugungen – das grundsätzliche Verbot der Verarbeitung scheint mangels Ausnahmen für die kommerzielle Verarbeitung so streng, dass Unternehmen in sensiblen Kontexten reflexartig den Rückzug antreten. Kein Risiko eingehen, keine Innovation wagen, lieber verzichten. Ist Art. 9 DSGVO also ein Dilemma für die digitale Wirtschaft?

Die jüngere Rechtsprechung des EuGH zwingt zu einer differenzierteren Betrachtung. In den Entscheidungen Bundeskartellamt, Lindenapotheke und zuletzt Russmedia hat jeweils die Große Kammer des Gerichtshofs klargestellt: Die datenschutzrechtliche Einordnung hängt nicht von subjektiven Absichten oder vertraglichen Beschränkungen ab, sondern davon, was Daten objektiv zu offenbaren geeignet sind. Mit anderen Worten: Nicht das „Wollen“, sondern das „Können“ entscheidet. Gerade im Bereich des Online-Tracking entfaltet diese Sichtweise erhebliche Sprengkraft. Gesundheitsdaten entstehen nicht erst mit einer Diagnose oder einer ausdrücklichen Offenbarung. Sie können bereits dann vorliegen, wenn personenbezogene Daten technisch mit einem Gesundheitskontext verknüpft werden können, etwa durch die Struktur einer Website, die Nutzung bestimmter Services oder die Kombination mehrerer Datensätze.

Das Problem verlagert sich damit upstream, sprich in die Architektur. Ist es technisch möglich, aus einem Identifier auf den Besuch einer Onkologie-Seite zu schließen? Können Tracking-Signale mit Drittquellen verknüpft werden, sodass sensible Rückschlüsse naheliegen? Dann greift das strikte Verarbeitungsverbot des Art. 9 DSGVO, unabhängig davon, ob man „nur Marketing“ betreiben wollte. Nachträgliche Pseudonymisierung oder vertragliche Zusicherungen genügen nicht, wenn die sensible Qualität der Daten bereits entstanden ist. Die Sprache der Großen Kammer des EuGH in der Rechtssache Russmedia zu strikten vorgelagerten Compliance-Pflichten zur Vermeidung von Verstößen gegen Art. 9 DSGVO ist insoweit unmissverständlich.

Das klingt zunächst wie ein Innovationshemmnis. Tatsächlich aber eröffnet diese Perspektive eine Chance. Wer Privacy by Design ernst nimmt, erkennt: Art. 9 DSGVO ist kein Stoppschild, sondern ein Konstruktionsauftrag für taugliche technische und organisatorische Maßnahmen. Die Frage lautet nicht mehr primär, welche Einwilligungserklärungen man einholt, sondern wie Systeme so gestaltet werden, dass sensible Kontexte gar nicht erst außerhalb kontrollierter Umgebungen entstehen. Technische Transformationsschichten, frühzeitige Aggregation, strikte Kontexttrennung oder Edge-Verarbeitung können bewirken, dass nachgelagerte Systeme nur noch Signale verarbeiten, die keinen Gesundheitsbezug mehr aufweisen. Die rechtliche Qualifikation ändert sich nicht durch juristische Argumentation, sondern durch technische Gestaltung.

Innovation verschiebt sich damit vom Formular zum Code. Für Unternehmen bedeutet dies einen Kulturwandel: Jurist:innen und Entwickler:innen müssen von Beginn an zusammenarbeiten. Compliance wird dann nicht mehr am Ende „draufgesetzt“, sondern ist integraler Bestandteil der Systemarchitektur. Wer das Privacy-Engineering beherrscht, reduziert nicht nur regulatorische Risiken, sondern schafft belastbare, zukunftsfähige Geschäftsmodelle, gerade in sensiblen Branchen wie Health Tech oder Health Marketing.

Art. 9 DSGVO ist deshalb kein Dilemma. Er ist ein Lackmustest für den Reifegrad digitaler Geschäftsmodelle in Europa. Rechtstreue entsteht nicht durch nachgelagerte Absicherungen, sondern durch kluge Konstruktion. Die Zukunft gehört denjenigen, die Datenschutz nicht als Hürde, sondern als Innovationsmotor begreifen.

In diesem Sinne wünsche ich Ihnen im Namen der Redaktion eine anregende Lektüre.

Ihr

Tilman Herbrich

Dieser Beitrag erschien als Editorial in der Ausgabe 03/2026 des Datenschutz-Berater.