Sensible Daten – was Unternehmen wissen müssen

23.12.2015

Einen eigenen Teilbereich innerhalb der personenbezogenen Daten bilden die „besonderen Arten von personenbezogenen Daten“. Ihre Definition geht auf §3 Abs. 9 BDSG zurück, der letztlich besagt, dass es sich hierbei um Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben des Betroffenen handelt.

”(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“

Bei einem Missbrauch dieser Daten besteht eine überdurchschnittlich hohe Gefahr für das informationelle Selbstbestimmungsrecht des Betroffenen. Deshalb hat der Gesetzgeber festgelegt, dass die besonderen Arten der personenbezogenen Daten einen höheren Schutz genießen müssen.

Hinweis zum Sprachgebrauch

Vielen Entscheidern ist bewusst, dass sie mit sensiblen Daten besonders vorsichtig umgehen müssen. „Sensible Daten“ stehen jedoch für einen Begriff aus der Umgangssprache. Wer sich fachlich korrekt ausdrücken möchte, sollte deshalb lieber von „besonderen Arten von personenbezogenen Daten“ sprechen. Letztlich stehen beide Ausdrücke für dieselbe Art von Daten (§ 3 Abs. 9 BDSG).

Sensible Daten – Blick auf die einzelnen Kategorien

Zur besseren Veranschaulichung haben wir die einzelnen Datenkategorien nachfolgend erneut aufgegriffen und um konkrete Beispiele ergänzt.

  • rassische und ethnische Herkunft (z.B. Hautfarbe)
  • politische Meinungen (z.B. Parteimitgliedschaft)
  • religiöse oder philosophische Überzeugungen (z.B. Glaubensrichtung)
  • Gewerkschaftszugehörigkeit (z.B. Mitglied bei Gewerkschaft XY)
  • Gesundheit (z.B. Erkrankungen)
  • Sexualleben (z.B. Homosexuell)

Bedeutung für den Datenschutz: Konkrete Beispiele zu den besonderen Pflichten

Sobald ein Unternehmen sensible Daten erfasst oder verarbeitet, gelten strengere Vorgaben. Die betroffenen Bereiche und die einhergehenden Verpflichtungen gehen aus dem BDSG hervor. Es folgen Verweise auf ausgewählte Paragraphen, die Art und Weise der besonderen Behandlung verdeutlichen.

  • § 4a Abs. 3 BDSG: Für die Verwendung von besonderen Arten personenbezogener Daten ist eine Genehmigung einzuholen. Es ist darauf zu achten, dass sich die Einwilligung explizit auf diese Art von Daten bezieht.
  • § 4d Abs. 5 BDSG: Ist künftig eine Verarbeitung von personenbezogenen Daten geplant, hat eine Vorabkontrolle zu erfolgen.
  • § 28 Abs. 6 bis 9 BDSG: Sollen besonderen Arten personenbezogener Daten zu eigenen Zwecken verarbeitet werden, gelten spezielle Vorschriften.

Bei der Erhebung, Verarbeitung oder Nutzung der besonderen Arten von personenbezogenen Daten gelten besondere Pflichten, die unter anderem die Berücksichtigung/Anwendung weiterer Gesetze zur Folge haben können. Geht es beispielsweise um Sozialdaten, sind Vorgaben des Sozialgesetzbuchs (SGB) zu berücksichtigen.

Welche Rechte haben Betroffene?

Jede betroffene Person – gleich, ob Mitarbeiter, Kunde oder Partner – sollte selbst bestimmen können, welche Daten frei zugänglich sind. Entsprechend sind folgende Rechte und Ansprüche zu wahren:

  • Recht auf Benachrichtigung über die Datenerhebung
  • Recht auf Auskunft
  • Recht auf Berichtigung, Sperrung oder Löschung
  • Anspruch auf Schadensersatz
  • Anspruch auf Abrufung der Datenschutzkontrollinstanz (siehe oben)

Wann dürfen die Daten verarbeitet werden?

  • wenn es dem Zweck eines Vertrages oder der Vertragsanbahnung mit Betroffenen dient
  • wenn eine Einwilligung des Betroffenen vorliegt
  • wenn die Daten allgemein zugänglich sind

Gesundheitsdaten: Beim Umgang mit Gesundheitsdaten lauern mehrere Fallstricke. So kommt es zum Beispiel gelegentlich vor, dass die Bedeutung dieser Daten unterschätzt wird. Denn Gesundheitsdaten werden keineswegs nur im medizinischen Umfeld erfasst und verarbeitet. Auch Unternehmen sammeln sie, beispielsweise um Krankheitstage von Mitarbeitern zu erfassen. Doch bereits diese Art von Erfassung erfordert die Berücksichtigung der besonderen Pflichten.