Art.9 DSGVO
Die DS-GVO regelt den Schutz aller personenbezogener Daten. Sensible Daten werden durch die Verordnung besonders geschützt, da durch ihre Verarbeitung besonders große Risiken für die Grundrechte und Freiheiten des Betroffenen bestehen. Auch ist die Eingriffsintensität regelmäßig höher. Daher besteht nach Art. 9 DS-GVO ein grundsätzliches Verarbeitungsverbot für die besonderen Kategorien personenbezogener Daten.
Das Wichtigste auf einen Blick
1. Allgemeines Verarbeitungsverbot
Gemäß Art. 9 DS-GVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten verboten.
Diese Kategorien sind:
rassische und ethnische Herkunft
politische Meinung
religiöse oder weltanschauliche Überzeugung
Gewerkschaftszugehörigkeit
genetische Daten
biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
Gesundheitsdaten
Sexualleben oder der sexuellen Orientierung
Diese Daten werden rechtlich besonders geschützt, um kein Risiko für die Grund- und Freiheitsrechte der betroffenen Person zu schaffen. Betroffen sein könnten u. a. die Glaubens- und Gewissensfreiheit und die Koalitionsfreiheit.
Auch soll der Betroffene vor Diskriminierungen und Benachteiligungen aufgrund der genannten Daten bewahrt werden.
Entscheidend ist der Kontext der vorgesehenen Verarbeitung, die verarbeitenden Personen und Stellen, die Art der Verarbeitung und die beabsichtigten Schutzmaßnahmen.
Darüber hinaus findet der Verhältnismäßigkeitsgrundsatz Anwendung.
2. Ausnahmen vom Verarbeitungsverbot
Gerechtfertigte Ausnahmen erlauben die rechtmäßige Verarbeitung sensibler Daten.
2.1 Einwilligung, Art. 9 Abs. 2 lit. a) DS-GVO
Die vom Betroffenen gegebene Einwilligung muss sich ausdrücklich auf die Verarbeitung der geschützten Daten beziehen. Konkludentes Handeln ist demnach weitestgehend ausgeschlossen.
Bei der Einholung der Einwilligung muss auf den besonderen Stellenwert der Daten hingewiesen werden. Der Betroffene soll sich dem Risiko, welches er mit der Weitergabe und der Erlaubnis zur Verarbeitung eingeht, bewusst sein.
Außerdem muss der Verwendungszweck nachvollziehbar dargelegt werden. Ein hohes Maß an Bestimmtheit und Genauigkeit ist erforderlich.
Um den Nachweis der erfolgten Einwilligung zu erleichtern, ist die Nutzung der Schriftform zu empfehlen.
Trotz der Einwilligung des Betroffenen ist es möglich, dass das Verarbeitungsverbot nicht aufgehoben werden kann: Besteht ein europäisches oder nationales Verarbeitungsverbot für bestimmte Daten, so ist die Selbstbestimmungsmöglichkeit des Betroffenen eingeschränkt und kann nicht ausgeübt werden.
Besteht ein Abhängigkeitsverhältnis, so muss die Freiwilligkeit der Einwilligung besonders klar erkennbar sein.
2.2. Arbeitsrecht und Sozialversicherungspflichten, Art. 9 Abs. 2 lit. b) DS-GVO
Die Verarbeitung besonderer sensibler personenbezogener Daten ist rechtmäßig, wenn sie dafür erforderlich ist, dass der Verantwortliche seinen arbeitsrechtlichen Pflichten nachkommen und die Rechte der sozialen Sicherheit und des Sozialschutzes ausüben kann.
Eine Angabe der Religionszugehörigkeit sollte beispielsweise vorgenommen werden, da diese erforderlich für die Abführung der Kirchensteuer sein kann. Auch sollte eine Gewerkschaftszugehörigkeit für die einwandfreie Lohnabrechnung gespeichert und verar-beitet werden dürfen.
Gesundheitsdaten dürfen im arbeitsrechtlichen Rahmen nur verarbeitet werden, wenn sie für das Arbeitsverhältnis relevant sind. Dies kann unter anderem die Angabe einer Behinderung sein, um die Behinderungsquote aufzustellen.
Die Verarbeitung genetischer Daten ist nur sehr eingeschränkt möglich.
Genetische Daten sind gemäß Art. 4 Nr. 13 DS-GVO personenbezogene Daten zu ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit liefern.
Oft hingegen werden biometrische Daten im Rahmen der Identitätsfeststellung oder für Zugriffe auf IT Systeme erfasst.
Auch können erforderliche sensible Daten für die Verarbeitung auf Grundlage von Sozial-gesetzbüchern erhoben werden.
2.3. Schutz lebenswichtiger Interessen bei fehlender Einwilligungsfähigkeit, Art. 9 Abs. 2 lit. c) DS-GVO
Ist eine Person aus körperlichen oder rechtlichen Gründen außerstande, eine Einwilligung abzugeben, obwohl diese zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist, so ist die Verarbeitung sensibler Daten ebenfalls ausnahmsweise rechtmäßig. Hierfür muss jedoch eine umfangreiche Abwägung der lebenswichtigen Interessen mit dem Schutz der Daten stattfinden.
Die Ausnahme greift oft zur Abwehr von Gefahren für Leib und Leben oder um den Schutz der Gesundheit sicherzustellen.
Sie gilt hingegen nur, wenn die erforderlichen Einwilligungshandlungen des Betroffenen aus physischen oder rechtlichen Gründen eingeschränkt sind, so ist davon auszugehen, dass der Betroffene die Einwilligung unter normalen Umständen abgegeben hätte, wird sie somit fingiert.
Trotzdem besteht eine Rückausnahme:
Art. 9 Abs. 2 lit. c) greift nicht, wenn der Betroffene einen gesetzlichen Vertreter berufen oder eine Vollmacht ausgestellt hat.
2.4. Tendenzbetriebe, Art. 9 Abs. 2 lit. d) DS-GVO
In Tendenzbetrieben lässt sich die Verarbeitung sensibler Daten, wie die Religionszu-gehörigkeit und Glaubensausrichtung nicht vermeiden, da sie für den Betrieb wesentlich sind. Ebenfalls eingeschlossen sind neben Kirchen, auch politisch ausgerichtete Stellen, wie Parteien, deren Jungendorganisationen und parteinahe Stiftungen.
Damit die Ausnahme greift, ist erforderlich, dass gemeinnützig gehandelt und keine Gewinnerzielungsabsicht verfolgt wird. Das umfasst nicht kommerzielle Tätigkeiten, die der Einrichtung selbst zugutekommen.
2.5. Eigene Veröffentlichung der Daten, Art. 9 Abs. 2 lit. e) DS-GVO
Hat der Betroffene die sensiblen Daten zuvor selbst und freiwillig veröffentlicht, so verzichtet er auf den gesetzlichen Schutz dieser. Er musste hierfür aber wissen und wollen, dass die Daten veröffentlicht wurden. Bestehen Zweifel hieran, so greift die Ausnahmevorschrift nicht.
Die allgemeine Schutzvorschrift des Art. 6 DS-GVO gilt weiterhin.
Beispiele für eine offenkundige Veröffentlichung sind unter anderem namentliche Veröffentlichung, Berufsverzeichnisse, Kandidaturen oder andere öffentliche Auftritte.
Hierbei genügt die bloße Aktion in der Öffentlichkeit nicht. Aus diesem Grund fallen Pressemeldungen oder die Teilnahme an Demonstrationen nicht unter die Ausnahmeregelung. Die Verarbeitung von sensiblen personenbezogenen Daten ist daher in diesen Fällen nicht erlaubt.
2.6 Rechtsansprüche, Art. 9 Abs. 2 lit. f) DS-GVO
Die Verarbeitung sensibler Daten ist erlaubt, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen justiziellen Tätigkeit erforderlich ist.
Der Begriff Rechtsansprüche ist weit auszulegen. Unter ihm sind sowohl öffentlich-rechtliche als auch privatrechtliche Rechtspositionen zu verstehen.
Umfasst sind hierbei vertragliche und gesetzliche Schuldverhältnisse und Schadensersatzansprüche. Die Durchsetzung der Ansprüche soll nicht an einem Datenverarbeitungsverbot scheitern, da bei mindestens einer Partei berechtigtes Interesse vorliegt. Eine Abwägung ist hierbei nicht nötig, jedoch muss die Verarbeitung für die Durchsetzung des Rechtsanspruchs erforderlich sein.
2.7. Erhebliches öffentliches Interesse, Art. 9 Abs. 2 lit. g) DS-GVO
Eine weitere Ausnahme vom Verarbeitungsgebot liegt vor, wenn ein erhebliches öffentliches Interesse besteht.
Unter öffentlichem Interesse ist das Interesse der gesamten Bevölkerung oder großen Teilen zu verstehen, bei dem das Gemeinwohl über die Interessen des Individuums gestellt werden.
Eine Abwägung zwischen diesem öffentlichen Interesse und dem Datenschutzrisiko des Betroffenen muss vorgenommen werden.
2.8. Gesundheitsvorsorge, Art. 9 Abs. 2 lit. h) DS-GVO
Aufgrund der hohen Bedeutung der Gesundheitsvorsorge besteht neben dem Vorliegen des Berufs- und Patientengeheimnis eine Ausnahme des Verarbeitungsverbots. Erfasst sind Verarbeitungen im Rahmen der Prävention, der Diagnose, der direkten Behandlung und der Nachversorgung.
Nicht unter diese Ausnahme fällt die Datenverarbeitung von medizinischen Forschungen oder die Durchsetzung von Zahlungsansprüchen.
2.9. Öffentliches Gesundheitsinteresse, Art. 9 Abs. 2 lit. i) DS-GVO
Besteht ein öffentliches Interesse im Bereich der öffentlichen Gesundheit, beispielsweise für den Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Sicherstellung hoher Qualitäts- und Sicherheitsstandards, so dürfen sensible Daten aus-nahmsweise verarbeitet werden.
2.10. Archivarische, wissenschaftliche und statistische Zwecke, Art. 9 Abs. 2 lit. j) DS-GVO
Wenn ein öffentliches Interesse an der Datenverarbeitung für archivarische, wissenschaft-liche oder statistische Zwecke vorliegt, so darf diese vorgenommen werden.
Die Ausnahmeregelung gilt nicht für private Archive.
3. Schutzmaßnahmen
Damit die Ausnahmeregelungen trotzdem den Schutz der Daten garantieren können, müssen geeignete und umfangreiche Schutzmaßnahmen getroffen werden. Jegliche Maßnahmen müssen spezifisch an den Zweck der Verarbeitung angepasst werden. Auß-erdem sind angemessene technisch-organisatorische Maßnahmen zu ergreifen.
Wir beraten Sie gerne bei der Umsetzung.
4. Fazit
Grundsätzlich besteht bei den in Art. 9 genannten Kategorien personenbezogener Daten ein Verarbeitungsverbot.
Abs. 2 führt Ausnahmefällen vor, bei denen es möglich ist, die besonderen Daten dennoch zu verarbeiten. Hierfür müssen die Voraussetzungen der Buchstaben a) – j) erfüllt sein.
Wichtig ist, dass zugunsten der Verarbeitung der besonders sensiblen Daten geeignete, angemessene und erforderliche Schutzmaßnahmen getroffen worden sind.
Ähnliche spannende Beiträge
Art 33 DSGVO
Haftung und Recht auf Schadensersatz nach Art 82 DSGVO. Was gibt es zu beachten und für welche Fälle ist eine Haftung vorgesehen?
Art 32 DSGVO
Art 32 DSGVO behandelt die technisch-organisatorischen Maßnahmen. Wir informierenm Sie, wie diese umgesetzt werden müssen.
Art 26 DSGVO
Art 26 DSGVO behandelt die gemeinsame Verantwortlichkeit von Unternehmen und Auftraggebern. Wir informieren Sie über alles Wichtige.
Artikel 15 DSGVO
In Artikel 15 DSGVO sind die Betroffenenrechte normiert. In diesem Artikel erfahren Sie, welche das sind und was es in der Praxis zu beachten gibt.
Artikel 28 DSGVO
Artikel 28 DSGVO (auch genannt Gemeinsame Verantwortlichkeit). Worauf müssen Unternehmen achten? Welche Vorgaben gelten? Alle Infos für die Praxis.
Art 82 DSGVO
Haftung und Recht auf Schadensersatz nach Art 82 DSGVO. Was gibt es zu beachten und für welche Fälle ist eine Haftung vorgesehen?