Datenschutz Verstehen – Besondere personenbezogene Daten nach DSGVO
Kurze Einleitung
In der DSGVO geht es vor allem um die Reglementierung personenbezogener Daten. Was genau diese sind haben wir unter anderem in der letzten Woche bei einem Artikel über Art. 13 DSGVO erklärt. Grob gesagt sind das bestimmte Daten, die von und über identifizierbare Personen erhoben werden, z.B. Adresse, demografische Daten, Identifikationsnummern und viele mehr. Diese werden von der DSGVO noch einmal aufgespalten, in die sogenannten besonderen personenbezogenen Daten, welche diese Woche genauer beleuchtet werden.
Was sind besonders personenbezogene Daten?
Besondere personenbezogene Daten sind brisante Daten, die im Vergleich zu üblichen personenbezogenen Daten einen noch größeren Schutz bedürfen. Der Art. 9 Abs. 1 DSGVO gibt vor, welche personenbezogenen Daten als besondere zu betrachten sind. Demnach fallen unter den Begriff besondere personenbezogene Daten gemäß Art. 9 Abs. 1 DSGVO jegliche Daten, aus denen folgendes hervorgeht:
- Rassische und ethnische Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
Außerdem zählen auch folgende Daten zu besonderen personenbezogenen Daten:
- Genetische Daten
- Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
- Gesundheitsdaten
- Daten zum Sexualleben
- Daten zur sexuellen Orientierung einer natürlichen Person
Die Verarbeitung solcher besonderen personenbezogenen Daten ist nach Art. 9 Abs. 1 DSGVO untersagt, wobei Abs. 2-4 Ausnahmen davon regeln.
Besondere personenbezogene Daten Beispiele
So viel zu dem Wortlaut des Art. 9 DSGVO, doch wie sieht das Ganze praxisbezogen aus? Nachfolgend erklären wir, wie die Kategorien besonders personenbezogener Daten zu verstehen sind mit entsprechenden Beispielen:
Datenschutz-Anforderungen bei besonderen personenbezogenen Daten
Prinzipiell ist zu beachten, dass Art. 9 Abs. 1 DSGVO die Verarbeitung solcher besonderen personenbezogenen Daten untersagt. Art. 9 Abs. 2-4 DSGVO regelt die Ausnahmen von der Untersagung der Verarbeitung der Daten, wobei vor allem Art. 9 Abs. 2 DSGVO maßgeblich ist. Folglich muss man sehr vorsichtig bei der Verarbeitung der besonderen personenbezogenen Daten sein, weil bei Verstößen empfindliche Strafen drohen können.
Um also besondere personenbezogene Daten verarbeiten zu können, muss zunächst ein Weg nach Art. 9 Abs. 2 DSGVO eröffnet sein, beispielsweise wenn die Verarbeitung dem Schutz lebenswichtiger Interessen der betroffenen Person dient (lit. c)), oder das Recht eines Mitgliedstaates der EU dieses nach Abwägen des öffentlichen Interesses dies hergibt (lit. b)). Die häufigste Ausnahme in der Praxis dürfte aber die lit. a) sein, welche die Verarbeitung besonderer personenbezogener Daten erlaubt, falls die betroffene Person einwilligt. Darauf stützen sich in den meisten Fällen auch Arztpraxen oder Krankenhäuser.
Hat man eine passende Ausnahme für die Verarbeitung besonderer personenbezogener Daten gemäß Art. 9 Abs. 2 DSGVO gefunden, spricht prinzipiell nichts gegen die Verarbeitung von diesen Daten. Allerdings muss gewährleistet werden, dass die Verarbeitung der Daten sicher ist, da das Unternehmen sich sonst der Gefahr hoher Strafen aussetzt. Letztendlich ist hier Art. 32 DSGVO ausschlaggebend, welcher die Sicherheit der Verarbeitung der Daten, auch die der besonderen personenbezogenen Daten, vorgibt.
Zusammengefasst gibt Art. 32 Abs. 1 DSGVO vor, dass je nach Stand der Technik, Implementierungskosten, Umstände und Zwecke der Verarbeitung sowie der Höhe und Schwere des Risikos für die Freiheit und Rechte von Personen, geeignete technische und organisatorische Maßnahmen vom Verantwortlichen getroffen werden müssen, um ein angemessenes Schutzniveau zu gewährleisten. Das ist eine sehr auslegbare Formulierung, Art. 32 Abs. 1 DSGVO schließt dabei noch explizit ein:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten (lit. a))
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (lit. b))
- die Möglichkeit, verlorene Daten wiederherzustellen (lit. c))
- ein regelmäßiges Überprüfen, Bewerten und Evaluieren der Maßnahmen (lit. d))
Abs. 2 legt noch größeres Augenmerk darauf, dass bei höheren bzw. schwereren Risiken ein größeres generelles Schutzniveau erforderlich ist. Gemäß Abs. 3 können für eine passende Bewertung auch die Artt. 40 und 42 DSGVO herangezogen werden, wobei Art. 40 DSGVO Verhaltensregeln vorgibt, und Art. 42 DSGVO sogar eine Zertifizierung der eigenen Maßnahmen ermöglicht, womit man definitiv auf der sicheren Seite ist.
Voraussetzungen der Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO
Der häufigste Weg, um besondere personenbezogene Daten zu verarbeiten ist die Ausnahme nach Art. 9 Abs. 2 lit. a) DSGVO, die Zustimmung der betroffenen Person zur Verarbeitung der Daten. Hierbei muss beachtet werden, dass im Gegensatz zu Art. 6 Abs. 1 lit. a) DSGVO die Zustimmung der betroffenen Person ausdrücklich erfolgen muss. Weiterhin müssen der betroffenen Person die Zwecke der Verarbeitung bewusst sein, und sie muss allen, wenn es mehrere gibt, ebenfalls ausdrücklich zustimmen.
Die Richtlinie (die DSGVO basiert auf einer Richtlinie der EU) gibt sogar vor, dass diese Ausnahme ungültig ist, falls nach dem Unionsrecht oder dem eines Mitgliedstaates das Verbot durch Art. 9 Abs. 1 DSGVO nicht aufgehoben werden kann, was aber momentan in der EU und auch Deutschland nicht der Fall ist. Zusammengefasst wird also die ausdrückliche Zustimmung für alle Zwecke der Verarbeitung von der betroffenen Person benötigt, um die entsprechenden besonderen personenbezogenen Daten zu verarbeiten.
Dürfen besonders personenbezogene Daten in die Cloud?
Sehr spannend, vor allem für digitale und agile Unternehmen, ist die Frage, ob besondere personenbezogene Daten in der Cloud gespeichert werden dürfen. Das ist möglich, wenn erstmal eine Ausnahme gemäß Art. 9 Abs. 2 DSGVO gegeben ist, und die Verarbeitung der besonderen personenbezogenen Daten nach Art. 32 DSGVO einem entsprechend hohen Schutzniveau entspricht. Bei dem Einsatz einer Cloudlösung für besonders personenbezogene Daten, sollten Unternehmen unbedingt den Datenschutzbeauftragten zurate ziehen, sodass eine fundierte Bewertung stattfinden kann. Das Risiko ist sehr hoch, in heutigen Zeiten ist es für Hacker oftmals ein leichtes Spiel sich innerhalb kürzester Zeit Zugang zu einer Cloud zu verschaffen, weshalb Unternehmen darauf achten müssen, dem Art. 32 DSGVO so gut wie es geht zu entsprechen, einerseits um die Sicherheit der Daten von Kunden zu gewährleisten, andererseits um sich nicht angreifbar für etwaige Bußgelder oder Schadensersatzforderungen nach Artt. 77-84 DSGVO zu machen. In vielen Fällen ist sogar die Durchführung einer Datenschutz-Folgenabschätzung einschlägig, diese sollte in jedem Fall dokumentiert durchgeführt werden gem. Art. 35 DSGVO.
Besondere personenbezogene Daten sind dabei ausgesprochen brisant, da ihnen ein besonderes Schutzbedürfnis aufgrund ihrer überaus privaten Natur zugesprochen wird. Zusammengefasst ist es auf jeden Fall möglich besondere personenbezogene Daten in der Cloud zu speichern, Unternehmen müssen aber sehr genau darauf achten, Art. 32 DSGVO so gut wie möglich zu entsprechen. Da dieser viel Raum für Auslegungen offenlässt, empfiehlt sich eine Beratung zu dem Thema, um sich so unangreifbar wie möglich zu machen. Außerdem kann auch wie oben erwähnt eine Zertifizierung der eigenen Cloud nach Art. 42 DSGVO erlangt werden, wenn eine sehr hohe Sicherheit angestrebt wird.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.