Besondere personenbezogene Daten nach DSGVO

Datenschutz VerstehenBesondere personenbezogene Daten nach DSGVO

Kurze Einleitung

In der DSGVO geht es vor allem um die Reglementierung personenbezogener Daten. Was genau diese sind haben wir unter anderem in der letzten Woche bei einem Artikel über Art. 13 DSGVO erklärt. Grob gesagt sind das bestimmte Daten, die von und über identifizierbare Personen erhoben werden, z.B. Adresse, demografische Daten, Identifikationsnummern und viele mehr. Diese werden von der DSGVO noch einmal aufgespalten, in die sogenannten besonderen personenbezogenen Daten, welche diese Woche genauer beleuchtet werden.

 

Was sind besonders personenbezogene Daten?

Besondere personenbezogene Daten sind brisante Daten, die im Vergleich zu üblichen personenbezogenen Daten einen noch größeren Schutz bedürfen. Der Art. 9 Abs. 1 DSGVO gibt vor, welche personenbezogenen Daten als besondere zu betrachten sind. Demnach fallen unter den Begriff besondere personenbezogene Daten gemäß Art. 9 Abs. 1 DSGVO jegliche Daten, aus denen folgendes hervorgeht:

  •       Rassische und ethnische Herkunft
  •       Politische Meinungen
  •       Religiöse oder weltanschauliche Überzeugungen
  •       Gewerkschaftszugehörigkeit

Außerdem zählen auch folgende Daten zu besonderen personenbezogenen Daten:

  •       Genetische Daten
  •       Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  •       Gesundheitsdaten
  •       Daten zum Sexualleben
  •       Daten zur sexuellen Orientierung einer natürlichen Person

Die Verarbeitung solcher besonderen personenbezogenen Daten ist nach Art. 9 Abs. 1 DSGVO untersagt, wobei Abs. 2-4 Ausnahmen davon regeln.

 

Besondere personenbezogene Daten Beispiele

So viel zu dem Wortlaut des Art. 9 DSGVO, doch wie sieht das Ganze praxisbezogen aus? Nachfolgend erklären wir, wie die Kategorien besonders personenbezogener Daten zu verstehen sind mit entsprechenden Beispielen:

Rassische/ethnische Herkunft:

Um diese Begriffe zu erklären, kann man das AGG (allgemeines Gleichbehandlungsgesetz) heranziehen, welches ebenfalls mit diesen Wortlauten arbeitet. Auch wenn die Theorie der Rassen längst überholt ist und auch die EU die Rassentheorie zurückweist, kommt der Begriff trotzdem noch in Gesetzen vor, um sich eben genau von diesen abzugrenzen. Gemeint sind damit Daten, welche man vermeintlich mit dem Begriff der Rasse in Verbindung bringen würde. Das geht in eine sehr ähnliche Richtung wie die ethnische Herkunft, womit alles gemeint ist, was auf die Abstammung eines Menschen zurückführt. Beispiele wären Aussehen, sprachliche Eigenheiten, Herkunft und Ähnliche.

Politische Meinungen:

Was mit dieser Kategorie gemeint ist, ist selbsterklärend. Hier geht es um Daten oder Angaben, welche mit einer politischen Meinung in Verbindung gebracht werden können. Darunter fallen alle politischen Ansichten und auch abgegebene Meinungen, wie z.B. Umfrageergebnisse für Wahlen.

Religiöse oder weltanschauliche Überzeugungen:

Ähnlich wie bei den politischen Meinungen fallen hierunter auch jegliche entsprechende Meinungen, Teilnahme an entsprechenden Events oder auch gewisse Lebensweisen (Fasten bei Muslimen, Kreuze tragen bei Christen).

Gewerkschaftszugehörigkeit:

Jegliche Daten, welche eine Gewerkschaftszugehörigkeit angeben oder sogar nur implizieren.

Genetische Daten:

Diese werden von Art. 4 Nr. 13 DSGVO definiert. Zusammengefasst sind damit Daten über die genetischen Eigenschaften einer Person gemeint, welche eindeutige Informationen über die Physiologie oder die Gesundheit dieser Person liefern, insbesondere wenn diese aus einer biologischen Probe gewonnen wurden. Beispiele sind unter anderem dabei DNA-Analysen und ähnliche Tests.

Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person:

Diese werden von Art. 4 Nr. 14 DSGVO definiert. Damit sind Daten umfasst, welche aus speziellen technischen Tests gewonnen werden und Angaben zu den physischen, physiologischen und Verhaltens typischen Merkmalen einer natürlichen Person, welche eine eindeutige Identifizierung ermöglichen oder bestätigen. Beispiele sind unter anderem Gesichtsbilder oder Fingerabdrücke.

Gesundheitsdaten:

Diese werden von Art. 4 Nr. 15 DSGVO definiert, zusammengefasst sind damit Daten gemeint, welche sich auf die körperliche oder geistige Gesundheit einer Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen, aus denen Informationen über den Gesundheitszustand hervorgehen. Das sind beispielsweise Krankenhausakten oder Arztberichte.

Daten zum Sexualleben:

Jegliche Daten die Auskunft über das Sexualleben einer natürlichen Person geben, darunter fallen auch etwaige ärztliche Erhebungen.

Daten zur sexuellen Orientierung einer natürlichen Person:

Dazu zählen alle Daten, welche die sexuelle Orientierung einer Person ergeben oder implizieren. Das können Aussagen sein welche z.B. beim Arzt oder bei Umfragen getätigt werden, oder Angaben zur Lebenssituation einer Person.

 

Datenschutz-Anforderungen bei besonderen personenbezogenen Daten

Prinzipiell ist zu beachten, dass Art. 9 Abs. 1 DSGVO die Verarbeitung solcher besonderen personenbezogenen Daten untersagt. Art. 9 Abs. 2-4 DSGVO regelt die Ausnahmen von der Untersagung der Verarbeitung der Daten, wobei vor allem Art. 9 Abs. 2 DSGVO maßgeblich ist. Folglich muss man sehr vorsichtig bei der Verarbeitung der besonderen personenbezogenen Daten sein, weil bei Verstößen empfindliche Strafen drohen können.

Um also besondere personenbezogene Daten verarbeiten zu können, muss zunächst ein Weg nach Art. 9 Abs. 2 DSGVO eröffnet sein, beispielsweise wenn die Verarbeitung dem Schutz lebenswichtiger Interessen der betroffenen Person dient (lit. c)), oder das Recht eines Mitgliedstaates der EU dieses nach Abwägen des öffentlichen Interesses dies hergibt (lit. b)). Die häufigste Ausnahme in der Praxis dürfte aber die lit. a) sein, welche die Verarbeitung besonderer personenbezogener Daten erlaubt, falls die betroffene Person einwilligt. Darauf stützen sich in den meisten Fällen auch Arztpraxen oder Krankenhäuser

Hat man eine passende Ausnahme für die Verarbeitung besonderer personenbezogener Daten gemäß Art. 9 Abs. 2 DSGVO gefunden, spricht prinzipiell nichts gegen die Verarbeitung von diesen Daten. Allerdings muss gewährleistet werden, dass die Verarbeitung der Daten sicher ist, da das Unternehmen sich sonst der Gefahr hoher Strafen aussetzt. Letztendlich ist hier Art. 32 DSGVO ausschlaggebend, welcher die Sicherheit der Verarbeitung der Daten, auch die der besonderen personenbezogenen Daten, vorgibt.

Zusammengefasst gibt Art. 32 Abs. 1 DSGVO vor, dass je nach Stand der Technik, Implementierungskosten, Umstände und Zwecke der Verarbeitung sowie der Höhe und Schwere des Risikos für die Freiheit und Rechte von Personen, geeignete technische und organisatorische Maßnahmen vom Verantwortlichen getroffen werden müssen, um ein angemessenes Schutzniveau zu gewährleisten. Das ist eine sehr auslegbare Formulierung, Art. 32 Abs. 1 DSGVO schließt dabei noch explizit ein:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten (lit. a))
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (lit. b))
  • die Möglichkeit, verlorene Daten wiederherzustellen (lit. c))
  • ein regelmäßiges Überprüfen, Bewerten und Evaluieren der Maßnahmen (lit. d))

Abs. 2 legt noch größeres Augenmerk darauf, dass bei höheren bzw. schwereren Risiken ein größeres generelles Schutzniveau erforderlich ist. Gemäß Abs. 3 können für eine passende Bewertung auch die Artt. 40 und 42 DSGVO herangezogen werden, wobei Art. 40 DSGVO Verhaltensregeln vorgibt, und Art. 42 DSGVO sogar eine Zertifizierung der eigenen Maßnahmen ermöglicht, womit man definitiv auf der sicheren Seite ist.

Voraussetzungen der Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO

Der häufigste Weg, um besondere personenbezogene Daten zu verarbeiten ist die Ausnahme nach Art. 9 Abs. 2 lit. a) DSGVO, die Zustimmung der betroffenen Person zur Verarbeitung der Daten. Hierbei muss beachtet werden, dass im Gegensatz zu Art. 6 Abs. 1 lit. a) DSGVO die Zustimmung der betroffenen Person ausdrücklich erfolgen muss. Weiterhin müssen der betroffenen Person die Zwecke der Verarbeitung bewusst sein, und sie muss allen, wenn es mehrere gibt, ebenfalls ausdrücklich zustimmen.

Die Richtlinie (die DSGVO basiert auf einer Richtlinie der EU) gibt sogar vor, dass diese Ausnahme ungültig ist, falls nach dem Unionsrecht oder dem eines Mitgliedstaates das Verbot durch Art. 9 Abs. 1 DSGVO nicht aufgehoben werden kann, was aber momentan in der EU und auch Deutschland nicht der Fall ist. Zusammengefasst wird also die ausdrückliche Zustimmung für alle Zwecke der Verarbeitung von der betroffenen Person benötigt, um die entsprechenden besonderen personenbezogenen Daten zu verarbeiten.

 

Dürfen besonders personenbezogene Daten in die Cloud?

Sehr spannend, vor allem für digitale  und agile Unternehmen, ist die Frage, ob besondere personenbezogene Daten in der Cloud gespeichert werden dürfen. Das ist möglich, wenn erstmal eine Ausnahme gemäß Art. 9 Abs. 2 DSGVO gegeben ist, und die Verarbeitung der besonderen personenbezogenen Daten nach Art. 32 DSGVO einem entsprechend hohen Schutzniveau entspricht. Bei dem Einsatz einer Cloudlösung für besonders personenbezogene Daten, sollten Unternehmen unbedingt den Datenschutzbeauftragten zurate ziehen, sodass eine fundierte Bewertung stattfinden kann. Das Risiko ist sehr hoch, in heutigen Zeiten ist es für Hacker oftmals ein leichtes Spiel sich innerhalb kürzester Zeit Zugang zu einer Cloud zu verschaffen, weshalb Unternehmen darauf achten müssen, dem Art. 32 DSGVO so gut wie es geht zu entsprechen, einerseits um die Sicherheit der Daten von Kunden zu gewährleisten, andererseits um sich nicht angreifbar für etwaige Bußgelder oder Schadensersatzforderungen nach Artt. 77-84 DSGVO zu machen. In vielen Fällen ist sogar die Durchführung einer Datenschutz-Folgenabschätzung einschlägig, diese sollte in jedem Fall dokumentiert durchgeführt werden gem. Art. 35 DSGVO.

Besondere personenbezogene Daten sind dabei ausgesprochen brisant, da ihnen ein besonderes Schutzbedürfnis aufgrund ihrer überaus privaten Natur zugesprochen wird. Zusammengefasst ist es auf jeden Fall möglich besondere personenbezogene Daten in der Cloud zu speichern, Unternehmen müssen aber sehr genau darauf achten, Art. 32 DSGVO so gut wie möglich zu entsprechen. Da dieser viel Raum für Auslegungen offenlässt, empfiehlt sich eine Beratung zu dem Thema, um sich so unangreifbar wie möglich zu machen. Außerdem kann auch wie oben erwähnt eine Zertifizierung der eigenen Cloud nach Art. 42 DSGVO erlangt werden, wenn eine sehr hohe Sicherheit angestrebt wird.

Menü