Sensible Daten nach Art. 9 DSGVO im Shop verarbeiten
Art. 9 DSGVO verbietet die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich und lässt sie nur in engen, gesetzlich benannten Ausnahmefällen zu. Für Shopify-Händler ist das mehr als eine abstrakte Rechtsfrage: Ein Hautanalyse-Quiz im Kosmetik-Shop, ein Größenfinder mit Körpermaßen oder eine personalisierte Geschenkkarte mit religiösem Bezug können schneller besondere Kategorien personenbezogener Daten berühren, als viele Shopbetreiber annehmen. Dieser Artikel ordnet die Rechtslage ein und zeigt, wann ein Onlineshop betroffen ist, welche Ausnahme in der Praxis greift und welche konkreten Schritte zur Umsetzung gehören.
Was ist Art. 9 DSGVO und für wen gilt er?
Art. 9 DSGVO regelt die Verarbeitung besonderer Kategorien personenbezogener Daten und untersagt sie in Absatz 1 grundsätzlich. Gemeint sind Daten, aus denen sich die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit ablesen lassen, ebenso genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung. Art. 9 Abs. 2 DSGVO listet zehn eng gefasste Ausnahmen (Buchstaben a bis j), unter denen die Verarbeitung dennoch erlaubt ist.
Der amtliche Wortlaut zeigt, wie eng der Gesetzgeber diese Ausnahmen gefasst hat:

Der amtliche Wortlaut von Art. 9 DSGVO auf EUR-Lex, mit der Aufzählung der besonderen Datenkategorien in Absatz 1. (Quelle: EUR-Lex)
Die Vorschrift gilt für jeden Verantwortlichen, der solche Daten verarbeitet, unabhängig von Branche oder Unternehmensgröße. Ein Onlineshop, der Bestell-, Kunden- oder Interaktionsdaten sammelt, fällt genauso darunter wie ein Krankenhaus oder eine Gewerkschaft. Entscheidend ist nicht die Branche, sondern ob die verarbeiteten Daten inhaltlich in eine der acht genannten Kategorien fallen.
Welche Daten zählen zu den besonderen Kategorien nach Art. 9 Abs. 1 DSGVO?
Acht Datenarten fallen unter den besonderen Schutz aus Art. 9 Abs. 1 DSGVO. Die folgende Tabelle ordnet jede Kategorie einem realistischen Shop-Beispiel zu, damit sich der abstrakte Gesetzestext direkt auf den eigenen Betrieb übertragen lässt.
| Kategorie nach Art. 9 Abs. 1 DSGVO | Was das bedeutet | Beispiel im Online-Shop |
|---|---|---|
| Rassische oder ethnische Herkunft | Angaben, aus denen sich die Herkunft ablesen lässt | Freitextfeld in einem Kundenprofil, das ethnische Zugehörigkeit erfasst |
| Politische Meinungen | Zugehörigkeit zu einer Partei oder politischen Bewegung | Bestellung von politischem Merchandise mit sichtbarer Parteizuordnung im Kundenprofil |
| Religiöse oder weltanschauliche Überzeugungen | Glaubensrichtung oder philosophische Grundhaltung | Personalisierte Geschenkkarte mit religiösem Bezug, verknüpft mit dem Kundennamen |
| Gewerkschaftszugehörigkeit | Mitgliedschaft in einer Gewerkschaft oder einem Betriebsrat | B2B-Kundenkonto, das die Gewerkschaftszugehörigkeit eines Ansprechpartners hinterlegt |
| Genetische Daten | Daten aus einer genetischen Untersuchung | DNA-basierte Nahrungsergänzungsempfehlung eines Shop-Tools |
| Biometrische Daten zur eindeutigen Identifizierung | Körpermerkmale, die eine Person eindeutig identifizieren, etwa per Gesichtserkennung | Login per Gesichtserkennung in einer Shopping-App |
| Gesundheitsdaten | Informationen zum körperlichen oder psychischen Gesundheitszustand | Hautanalyse-Quiz, das Hautkrankheiten oder Beschwerden abfragt |
| Daten zum Sexualleben oder zur sexuellen Orientierung | Angaben zu Sexualität oder sexueller Identität | Produktkategorie, die Rückschlüsse auf die sexuelle Orientierung zulässt, kombiniert mit Kundendaten |
Nicht jede Berührung mit diesen Themen macht Daten automatisch zu besonderen Kategorien. Entscheidend ist, ob sich aus den konkret verarbeiteten Daten tatsächlich ein Rückschluss auf eine dieser acht Kategorien ziehen lässt. Ein einzelnes Produkt im Warenkorb reicht dafür oft nicht aus, die Kombination aus Produkt, Kundenidentität und Kontext dagegen schon, wie der Abschnitt zum EuGH-Urteil weiter unten zeigt.
Die folgende Übersicht fasst alle acht Kategorien noch einmal auf einen Blick zusammen:

Alle acht besonderen Datenkategorien aus Art. 9 Abs. 1 DSGVO auf einen Blick, von ethnischer Herkunft bis sexueller Orientierung.
Wann verarbeiten Shopify-Shops besondere Kategorien personenbezogener Daten?
Die meisten Shopify-Händler denken bei besonderen Kategorien personenbezogener Daten zuerst an Kliniken oder Behörden. In der Praxis tauchen solche Daten aber in ganz gewöhnlichen E-Commerce-Funktionen auf, oft ohne dass es dem Shopbetreiber bewusst ist. Zwei einfache Fragen helfen bei der ersten Einordnung:

Zwei einfache Ja/Nein-Fragen zeigen, ob ein Quiz- oder Fitting-Tool eine ausdrückliche Einwilligung nach Art. 9 DSGVO braucht.
Gesundheitsdaten bei Kosmetik-, Nahrungsergänzungs- und Fitness-Quiz-Angeboten
Ein Hautanalyse-Quiz, das nach Akne, Neurodermitis oder Rosacea fragt, verarbeitet Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO, sobald die Antworten einer identifizierbaren Person zugeordnet werden. Dasselbe gilt für Fragebögen zu Nahrungsergänzung, die nach bestehenden Erkrankungen, Medikamenten oder Unverträglichkeiten fragen, und für Fitness-Onboarding-Flows, die Trainingsziele mit gesundheitlichen Einschränkungen verknüpfen. Ein Shop, der ein solches Tool per Drittanbieter-App einbindet, bleibt gegenüber seinen Kunden Verantwortlicher für diese Datenverarbeitung und muss dafür eine eigene Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vorweisen können.
Biometrische Daten bei Größen- und Fitting-Tools
Größenfinder und virtuelle Anprobe-Tools erfassen häufig Körpermaße wie Taille, Brustumfang oder Fußlänge. Ob das automatisch biometrische Daten nach Art. 9 DSGVO sind, hängt von der genauen technischen Umsetzung ab, nicht allein davon, dass Körperdaten erhoben werden. Der Abschnitt weiter unten zu Recital 51 erklärt die genaue Abgrenzung.
Religiöse und politische Daten bei personalisierten Geschenken
Shops mit religiösem Schmuck, liturgischen Artikeln oder politischem Merchandise verknüpfen häufig eine persönliche Geschenknachricht mit dem Namen des Empfängers. Wird diese Kombination gespeichert, etwa für Wiederholungsbestellungen oder Empfehlungen, entsteht ein personenbezogener Datensatz, der eine religiöse oder politische Überzeugung erkennen lässt. Das betrifft nicht nur den Käufer, sondern auch die beschenkte Person, deren Daten ohne eigenes Zutun im System landen.
Gewerkschaftsdaten bei B2B-Kundenkonten
B2B-Shops, die Ansprechpartner bei Geschäftskunden verwalten, hinterlegen manchmal Informationen zu Betriebsräten oder Gewerkschaftskontakten, etwa bei Rahmenverträgen mit tarifgebundenen Unternehmen. Sobald ein Feld im Kundenkonto die Gewerkschaftszugehörigkeit einer natürlichen Person festhält, greift Art. 9 DSGVO auch im reinen B2B-Kontext, unabhängig davon, dass die Hauptbeziehung geschäftlich ist.
Welche Ausnahmen erlaubt Art. 9 Abs. 2 DSGVO?
Art. 9 Abs. 2 DSGVO nennt zehn Ausnahmen vom grundsätzlichen Verbot. Für einen Onlineshop sind in der Praxis vor allem die ersten beiden Buchstaben relevant, die übrigen acht betreffen meist andere Akteure.
- Buchstabe a: ausdrückliche Einwilligung der betroffenen Person für einen oder mehrere festgelegte Zwecke. Das ist die Ausnahme, auf die sich Shopify-Shops in der Praxis fast immer stützen. Für alle anderen Datenverarbeitungen im Shop, die keine besonderen Kategorien betreffen, reicht dagegen meist eine der sechs Rechtsgrundlagen nach Art. 6 DSGVO.
- Buchstabe b: Verarbeitung, die für Pflichten und Rechte im Arbeitsrecht, Sozialversicherungsrecht oder Sozialschutzrecht erforderlich ist, etwa bei Gesundheitsdaten eigener Mitarbeitender.
- Buchstabe c: Schutz lebenswichtiger Interessen, wenn die betroffene Person aus körperlichen oder rechtlichen Gründen nicht einwilligen kann.
- Buchstabe d: Verarbeitung durch eine gemeinnützige Stiftung, einen Verein oder eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Organisation, beschränkt auf deren eigene Mitglieder.
- Buchstabe e: Daten, die die betroffene Person offensichtlich selbst öffentlich gemacht hat.
- Buchstabe f: Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder im Rahmen gerichtlicher Tätigkeit.
- Buchstabe g: erhebliches öffentliches Interesse auf Grundlage von Unions- oder mitgliedstaatlichem Recht mit angemessenen Garantien.
- Buchstabe h: Gesundheitsvorsorge, Arbeitsmedizin, medizinische Diagnostik oder Verwaltung von Gesundheits- und Sozialsystemen, unter ärztlicher Schweigepflicht.
- Buchstabe i: öffentliches Interesse im Bereich der öffentlichen Gesundheit, etwa Schutz vor grenzüberschreitenden Gesundheitsgefahren.
- Buchstabe j: im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschung oder Statistik nach Art. 89 Abs. 1 DSGVO.
Die Buchstaben h und i sind auf das Gesundheitssystem zugeschnitten und praktisch nie eine Grundlage für einen Onlineshop, auch wenn der Shop Gesundheitsprodukte verkauft. Ein Kosmetik- oder Supplement-Shop ist kein Teil der Gesundheitsversorgung im Sinne dieser Ausnahme, selbst wenn seine Produkte gesundheitsnah sind.
Wie muss die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO gestaltet sein?
Eine wirksame Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO muss sich ausdrücklich auf die Verarbeitung der besonderen Kategorien beziehen, eine stillschweigende oder mitgelesene Zustimmung reicht nicht aus. Das unterscheidet sie von der einfachen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, bei der ein aktives Verhalten unter Umständen ausreichen kann.
Für ein Hautanalyse-Quiz oder einen Gesundheits-Fragebogen bedeutet das konkret:
- Eine eigene, nicht vorangehakte Checkbox direkt bei der Frage nach Gesundheitsdaten, getrennt von der allgemeinen Zustimmung zu den Datenschutzhinweisen.
- Ein Einwilligungstext, der die konkrete Datenart benennt, etwa “Ich willige ausdrücklich ein, dass meine Angaben zu Hautzustand und Beschwerden zur Erstellung meiner Produktempfehlung verarbeitet werden”, statt einer allgemeinen Formulierung wie “Ich akzeptiere die Datenschutzerklärung”.
- Ein klarer Hinweis auf den Zweck der Verarbeitung, etwa Produktempfehlung oder personalisierte Beratung, und keine Weiterverwendung für andere Zwecke ohne neue Einwilligung.
- Ein Widerruf, der genauso einfach funktioniert wie die Erteilung, zum Beispiel über einen Link im Kundenkonto oder in jeder E-Mail mit personalisierten Empfehlungen.
Eine Einwilligung, die in den allgemeinen Geschäftsbedingungen versteckt ist oder gemeinsam mit dem Newsletter-Opt-in abgefragt wird, erfüllt die Anforderungen an eine ausdrückliche Einwilligung in der Regel nicht. So sieht eine granulare Einwilligungs-Checkliste in einem realen Shopify-Compliance-Tool aus:

So sieht eine granulare Einwilligungs-Checkliste in einem realen Shopify-Compliance-Tool aus, mit getrennten Punkten für Zustimmen, Ablehnen und Consent Mode. (Quelle: ShopCompliance)
Halte fest, welche Einwilligung wann und mit welchem Text erteilt wurde, und ergänze den Verarbeitungszweck in deiner Datenschutzerklärung, damit Kunden vor der Angabe wissen, was mit ihren Daten passiert.
Wann löst Art. 9-Datenverarbeitung eine Datenschutz-Folgenabschätzung aus?
Art. 35 Abs. 3 lit. b DSGVO schreibt eine Datenschutz-Folgenabschätzung zwingend vor, wenn ein Verantwortlicher besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO umfangreich verarbeitet. Für Shopify-Händler ist die Frage, was “umfangreich” bedeutet, in der Praxis entscheidend.
Ein einmaliges, manuelles Beantworten einer Kundenanfrage zu einer Unverträglichkeit löst normalerweise keine Pflicht zur Folgenabschätzung aus. Anders sieht es bei einem dauerhaften Funnel aus, der systematisch Gesundheits- oder Hautdaten von allen Quiz-Teilnehmern sammelt, speichert und für automatisierte Produktempfehlungen auswertet. Diese Systematik und Regelmäßigkeit ist der Kernunterschied:
- Eher keine Pflicht: eine einzelne Support-Anfrage, die versehentlich einen Gesundheitshinweis enthält und nach Bearbeitung gelöscht wird.
- Eher eine Pflicht: ein dauerhaft aktives Hautanalyse-Quiz, das jede Antwort speichert und mit dem Kundenprofil verknüpft, um wiederkehrende Empfehlungen zu geben.
Wer unsicher ist, sollte die Folgenabschätzung im Zweifel durchführen, denn ein Verzicht ohne Dokumentation der Einschätzung ist gegenüber der Aufsichtsbehörde schwer zu rechtfertigen.
Was bedeutet das EuGH-Urteil zur Lindenapotheke (C-21/23) für Online-Shops?
Der Europäische Gerichtshof hat am 4. Oktober 2024 im Verfahren C-21/23 (Lindenapotheke) entschieden, dass Bestelldaten für apothekenpflichtige, aber rezeptfreie Arzneimittel Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sein können. Ausschlaggebend war nicht die einzelne Bestellung, sondern die Kombination aus Identitätsdaten wie Name und Lieferadresse mit einem Produkt, das eine therapeutische Indikation aufweist und damit einen Rückschluss auf den Gesundheitszustand der bestellenden Person zulässt.
Für Onlineshops mit gesundheitsnahem Sortiment bedeutet das Urteil zweierlei. Erstens reicht es nicht aus, sich auf eine fehlende ärztliche Verschreibungspflicht zu berufen, um Art. 9 DSGVO auszuschließen. Zweitens lässt sich das Urteil nicht pauschal auf jedes Nahrungsergänzungsmittel oder Kosmetikprodukt übertragen. Die Einordnung als Gesundheitsdatum hängt weiterhin daran, ob das konkrete Produkt eine therapeutische Zuordnung erlaubt, die einen echten gesundheitlichen Rückschluss zulässt. Ein Multivitaminpräparat ohne erkennbaren Krankheitsbezug ist rechtlich anders zu behandeln als ein Präparat, das gezielt gegen eine bestimmte Erkrankung beworben wird. Wie weit diese Linie reicht, ist in der Fachliteratur nicht abschließend geklärt. Das Oberlandesgericht Naumburg hat in einer eigenen Entscheidung eine breitere Lesart vertreten und auch die Bestellung von Nahrungsergänzungsmitteln als Gesundheitsdatum im weiteren Sinne eingeordnet, andere Stimmen halten diese Ausweitung für zu weitgehend. Shops mit einem Sortiment, das therapeutisch beworbene Produkte enthält, sollten die vorsichtigere Einordnung wählen und für den Bestellprozess eine ausdrückliche Einwilligung einholen, statt auf eine spätere restriktivere Auslegung zu hoffen.
Sind biometrische Maße aus Größen- und Fitting-Tools automatisch besondere Kategorien nach Art. 9 DSGVO?
Nein, ein Größenfinder, der Taillenumfang oder Fußlänge abfragt, verarbeitet nicht automatisch biometrische Daten im Sinne von Art. 9 DSGVO. Erwägungsgrund 51 der DSGVO stellt klar, dass biometrische Daten nur dann eine besondere Kategorie sind, wenn sie durch eine spezifische technische Verarbeitung eine eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Ein Größenfinder, der aus eingegebenen Maßen eine Kleidergröße empfiehlt, identifiziert niemanden, er berechnet nur eine Produktempfehlung.
Anders liegt der Fall, wenn ein Fitting-Tool zusätzlich eine Gesichtserkennung oder ein biometrisches Template zur Wiedererkennung eines Kunden nutzt, etwa um ihn bei einer erneuten Anprobe automatisch zu identifizieren. Dann dient die Verarbeitung tatsächlich der eindeutigen Identifizierung, und Art. 9 DSGVO greift. Der entscheidende Unterschied liegt also im Verwendungszweck der Daten, nicht darin, dass Körpermaße überhaupt erfasst werden. Wer ein Fitting-Tool eines Drittanbieters einbindet, sollte in der Dokumentation des Anbieters gezielt prüfen, ob eine Identifikationsfunktion technisch enthalten ist.
Wie setzen Shopify-Händler Art. 9 DSGVO in der Praxis um?
Die folgenden Schritte fassen zusammen, was ein Shopify-Shop konkret umsetzen sollte, sobald eine der oben beschriebenen Situationen zutrifft.

Die acht Schritte von der Tool-Bestandsaufnahme bis zur Team-Schulung, mit denen Shopify-Händler Art. 9 DSGVO in der Praxis umsetzen.
- Bestandsaufnahme aller Quiz-, Beratungs- und Fitting-Tools im Shop und Prüfung, ob dabei Daten aus einer der acht Kategorien anfallen.
- Getrennte, ausdrückliche Einwilligung für jede Funktion, die besondere Kategorien verarbeitet, mit eigenem Einwilligungstext statt einer pauschalen Zustimmung.
- Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit allen App-Anbietern, die Quiz-, Beratungs- oder Fitting-Funktionen bereitstellen, inklusive Prüfung, wo die Daten gespeichert werden.
- Datenminimierung in der App-Konfiguration: nur die Felder aktivieren, die für die Funktion tatsächlich nötig sind, statt der Standardeinstellung mit maximaler Datenerfassung.
- Dokumentierte Einschätzung, ob die Verarbeitung umfangreich im Sinne von Art. 35 Abs. 3 lit. b DSGVO ist, und bei Zweifeln Durchführung einer Datenschutz-Folgenabschätzung.
- Technische und organisatorische Maßnahmen zur Absicherung dieser sensiblen Daten, wie es Art. 32 DSGVO allgemein für die Datensicherheit verlangt, etwa Verschlüsselung und Zugriffsbeschränkung auf die Quiz- und Fitting-Antworten.
- Schulung des Kundenservice-Teams, damit Support-Mitarbeitende wissen, dass Gesundheitsangaben in Anfragen besonders zu behandeln sind und nicht ungeprüft in CRM-Freitextfelder übernommen werden.
- Regelmäßige Kontrolle, ob neue Apps oder Funktionen im Shop stillschweigend neue besondere Kategorien personenbezogener Daten einführen, etwa durch ein Update eines Empfehlungs-Plugins.
Wer diese Punkte als Teil eines größeren Compliance-Fahrplans angehen will, findet eine vollständige Übersicht im Leitfaden DSGVO-konform: Was es bedeutet und wie Online-Shops es umsetzen.
Häufige Fragen zu Art. 9 DSGVO im Online-Shop
Ist die Verarbeitung von Gesundheitsdaten in einem Online-Shop automatisch Art. 9 DSGVO?
Nein, das hängt vom konkreten Produkt und Kontext ab, nicht von der Shop-Kategorie allein. Der EuGH hat im Verfahren C-21/23 klargestellt, dass Bestelldaten für Produkte mit therapeutischer Indikation Gesundheitsdaten sein können, ein Multivitaminpräparat ohne Krankheitsbezug fällt dagegen typischerweise nicht darunter.
Braucht ein Shopify-Shop für ein Gesundheits-Quiz immer eine Datenschutz-Folgenabschätzung?
Nein, nicht immer, entscheidend ist laut Art. 35 Abs. 3 lit. b DSGVO, ob die Verarbeitung umfangreich ist. Ein dauerhaft aktives Quiz, das systematisch Gesundheitsdaten aller Teilnehmer speichert und auswertet, überschreitet diese Schwelle deutlich eher als eine einzelne, manuell bearbeitete Kundenanfrage.
Reicht ein Häkchen bei den allgemeinen Datenschutzhinweisen als Einwilligung nach Art. 9 DSGVO?
Nein, eine allgemeine Zustimmung zur Datenschutzerklärung erfüllt die Anforderungen an eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO nicht. Nötig ist eine eigene, konkret formulierte Einwilligung, die die besondere Datenkategorie und den Verarbeitungszweck ausdrücklich benennt.
Zählen Körpermaße aus einem Größenfinder zu den biometrischen Daten nach Art. 9 DSGVO?
Nein, in der Regel nicht, solange das Tool die Maße nur zur Produktempfehlung nutzt und niemanden damit eindeutig identifiziert. Erwägungsgrund 51 der DSGVO begrenzt biometrische Daten als besondere Kategorie auf Fälle, in denen die Verarbeitung tatsächlich der eindeutigen Identifizierung oder Authentifizierung dient.
Gilt Art. 9 DSGVO auch für B2B-Kundendaten in einem Shopify-Shop?
Ja, sobald Daten einer natürlichen Person betroffen sind, gilt Art. 9 DSGVO unabhängig davon, ob die Geschäftsbeziehung B2B oder B2C ist. Ein Feld im B2B-Kundenkonto, das die Gewerkschaftszugehörigkeit eines Ansprechpartners festhält, unterliegt denselben Anforderungen wie ein Gesundheits-Quiz im B2C-Shop.
EU-Pflichten automatisch im Shop erfüllen
ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.
Module & Preise ansehenDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.