Sensible Daten – was Unternehmen wissen müssen

28.06.2019

Einen eigenen Teilbereich innerhalb der personenbezogenen Daten bilden die „besonderen Kategorien personenbezogener Daten“. Ihre Definition geht auf Art. 9 Abs. 1 DSGVO zurück, der letztlich besagt, dass es sich hierbei um Angaben über die:

  • rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder philosophische Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • Gesundheit,
  • Sexualleben und sexuelle Orientierung

des Betroffenen handelt.
Ebenfalls betroffen ist die Verarbeitung von genetischen und biometrischen Daten zur Identifizierung einer natürlichen Person.

Bei einem Missbrauch dieser Daten besteht eine überdurchschnittlich hohe Gefahr für das informationelle Selbstbestimmungsrecht des Betroffenen. Deshalb hat der Gesetzgeber festgelegt, dass die besonderen Kategorien der personenbezogenen Daten auch einen besonderen Schutz genießen müssen.

Hinweis zum Sprachgebrauch

Vielen Entscheidern ist bewusst, dass sie mit sensiblen Daten besonders vorsichtig umgehen müssen. „Sensible Daten“ stehen jedoch für einen Begriff aus der Umgangssprache. Wer sich fachlich korrekt ausdrücken möchte, sollte lieber von „besonderen Kategorien personenbezogener Daten“ sprechen. Letztlich stehen beide Ausdrücke für dieselbe Art von Daten (Art. 9 Abs. 1 DSGVO).

Sensible Daten – Blick auf die einzelnen Kategorien

Zur besseren Veranschaulichung haben wir die einzelnen Datenkategorien nachfolgend um konkrete Beispiele ergänzt.

  • rassische und ethnische Herkunft (z.B. Hautfarbe)
  • politische Meinungen (z.B. Parteimitgliedschaft)
  • religiöse oder philosophische Überzeugungen (z.B. Glaubensrichtung)
  • Gewerkschaftszugehörigkeit (z.B. Mitglied bei Gewerkschaft XY)
  • genetische Daten (z.B. Gensequenz aus Gentest)
  • biometrische Daten (z.B. Fingerabdruck)
  • Gesundheit (z.B. Erkrankungen)
  • Sexualleben oder sexuelle Orientierung (z.B. Homosexualität)

Wann dürfen diese Daten verarbeitet werden?

Gemäß Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten zunächst einmal untersagt. Die DSGVO sieht jedoch folgende Ausnahmen vor:

  • Wenn eine Einwilligung des Betroffenen zur Verarbeitung für eines oder mehrere Ziele ausdrücklich vorliegt (Art. 9 Abs. 2 a).
  • Wenn eine Notwendigkeit zur Verarbeitung im Hinblick auf Arbeitsrecht oder soziale Sicherheit besteht (Art. 9 Abs. 2 b).
  • Wenn die Verarbeitung zum Schutz lebenswichtiger Interessen dient (Art. 9 Abs. 2 c).
  • Wenn die Verarbeitung auf Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht erfolgt und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden. (Art. 9 Abs. 2 d).
  • Wenn die Daten vom Betroffenen offensichtlich öffentlich gemacht wurden (Art. 9 Abs. 2 e).
  • Wenn die Verarbeitung im Rahmen rechtlicher/justizieller Aufgaben erfolgt (Art. 9 Abs. 2 f).
  • Wenn die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erfolgt (Art. 9 Abs. 2 g).
  • Wenn die Verarbeitung im Rahmen gesundheitlicher/medizinischer Aufgaben erfolgt und ein Berufsgeheimnis / eine Geheimnispflicht besteht (Art. 9 Abs. 2 h und Art. 9 Abs. 3).
  • Wenn die Verarbeitung zum Schutz der öffentlichen Gesundheit erfolgt (Art. 9 Abs. 2 i)
  • Wenn die Verarbeitung im Sinne öffentlicher Archivzwecke, historischer Forschungszwecke oder statistische Zwecke erfolgt (Art. 9 Abs. 2 j).

Bei der Erhebung, Verarbeitung oder Nutzung der besonderen Kategorien personenbezogener Daten gelten besondere Pflichten, die unter anderem die Berücksichtigung/Anwendung weiterer Gesetze zur Folge haben können. Geht es beispielsweise um Sozialdaten, sind Vorgaben des Sozialgesetzbuchs (SGB) zu berücksichtigen. Geht es um Bewerbungsdaten, sind die Vorgaben des Allgemeinen Gleichbehandlungsgesetz (AGG) zu beachten.

Voraussetzungen der Einwilligung

Wie zuvor aufgezeigt, kann die Verarbeitung besonderer Kategorien personenbezogener Daten je nach Zweck das vorherige Einholen einer ausdrücklichen Einwilligung (eine stillschweigende Handlung ist nicht ausreichend) erfordern. Diesbezüglich sind nicht nur die Voraussetzungen an die Wirksamkeit einer Einwilligung Art. 4 Nr. 11 DSGVO (freie Entscheidung, ausführliche Information, Schriftform und Widerruflichkeit) zu berücksichtigen. Darüber hinaus muss sich der Einwilligungstext auf die besonderen Kategorien personenbezogener Daten beziehen und diese konkret benennen.

Fallstricke in der Praxis

Beim Umgang mit besonderen Kategorien personenbezogener Daten lauern mehrere Fallstricke. So kommt es in einigen Unternehmen vor, dass die Datenkategorie nicht korrekt erkannt wird. Ein gutes Beispiel sind Gesundheitsdaten, sie werden keineswegs nur im medizinischen Umfeld erfasst und verarbeitet. Unternehmen erfassen sie, beispielsweise um Krankheitstage von Mitarbeitern zu dokumentieren. Doch bereits diese Art von Erfassung erfordert die Berücksichtigung der besonderen datenschutzrechtlichen Pflichten.