.st0{fill:#FFFFFF;}

Datenkategorien DSGVO 

 Juni 13, 2020

By  Thomas Kolb

Datenkategorien DSGVO

Das Wichtigste auf einen Blick

  • Die DSGVO unterscheidet im Wesentlichen acht unterschiedliche Kategorien besonders schützenswerter Daten
  • Den wichtigsten Anwendungsfall der Datenkategorien bilden die Gesundheitsdaten
  • Die in Art. 9 DSGVO aufgezählten Kategorien zeichnen sich durch ihre besondere Grundrechtsrelevanz aus
  • Im Rahmen der DSGVO neu normiert und besonders geschützt wurden nun auch die biometrischen und die genetischen Daten
  • Normale Lichtbilder fallen nicht unter die in Art. 9 DSGVO besonders geschützten Datenkategorien
  • Von dem grundsätzlichen Verarbeitungsverbot für die in Art. 9 DSGVO genannten Daten normiert der Artikel zugleich Ausnahmen
  • In Art. 10 DSGVO ist die faktische Datenkategorie der Verwendung von Daten über den strafrechtlichen Hintergrund einer Person geregelt
  • Bei einer umfangreichen Verarbeitung sensibler Daten ist die Erstellung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO äußerst praxisrelevant

1. Welche Datenkategorien kennt die DSGVO 

Als Datenkategorien werden in der DSGVO die verschiedenen Arten von Daten bezeichnet, die anders als die allgemeinen personenbezogenen Daten noch einmal besonders geschützt werden.

Diese Einteilung gab es auch im § 28 Bundesdatenschutzgesetz schon, wurde in der DSGVO aber noch einmal neu gefasst und bedeutend umfangreicher und strenger geregelt. In der DSGVO werden die besonders geschützten Daten in Art. 9 aufgelistet. Die DSGVO kennt dabei acht verschiedene Datenkategorien:  

  • die rassische oder ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit 
  • genetische Daten
  • biometrische Daten
  • Gesundheitsdaten
  • Sexualleben und sexuelle Orientierung

Den häufigsten Anwendungsfall bilden früher, wie auch heute die Gesundheitsdaten.  

2. Warum gibt es besonders geschützte Daten? 

Diese Frage stellt sich angesichts dessen, dass die persönliche Daten generell sehr streng und umfassend schützende DSGVO eigentlich keinen Bedarf für noch umfassender und strenger geschützte Datenkategorien hat.

Nach EG 51 DSGVO jedoch zeichnen sich die vorrangig in Art. 9 DSGVO festgelegten Kategorien durch ihr – gegenüber allgemeinen personenbezogenen Daten – sensibleres Wesen hinsichtlich der Grundrechte und Grundfreiheiten aus und sind dementsprechend besonders schutzwürdig, da durch ihre ungehinderte Verwendung erhebliche Risiken für die Grundrechte und Grundfreiheiten der Betroffenen auftreten können.  


3. Die wichtigsten Datenkategorien im Einzelnen 

Besonders relevant im Rahmen der sensiblen Daten sind zum einen wie bereits erwähnt die Gesundheitsdaten. Hinzu kommen die neu normierten biometrischen und genetischen Daten.  

Gesundheitsdaten iSv. Art. 4 Nr. 15 DSGVO sind solche personenbezogenen Daten, die Aufschluss über die körperliche und geistige Verfassung eines Menschen liefern. Zudem gewähren diese Daten eine Einsicht in für die Person erbrachte Gesundheitsdienstleistungen. 

Um biometrische Daten im Sinne der Vorschrift handelt es sich nach Art. 4 Nr. 14 DSGVO, wenn die Daten die eindeutige Identifizierung der natürlichen Person ermöglichen.

Insbesondere sind damit also Passbilder gemeint. Die Verarbeitung normaler Lichtbilder ist demgegenüber grundsätzlich erlaubt und jedenfalls nicht, wie häufig fälschlicherweise angenommen, von der Kategorie der besonders sensiblen Daten umfasst. 

Genetische Daten sind nach Art. 4 Nr. 13 DSGVO solche Daten, die eine Aussage über die ererbten oder genetischen Eigenschaften eines Menschen sowie eindeutige Infos über seine Physiologie und seine Gesundheit liefern.  

Die Relevanz der Regelung der Verarbeitung dieser Daten liegt besonders darin, dass sie Informationen über die intimste Sphäre des Menschen, nämlich seinen Körper und den Zustand desselben geben.

Dieser besonders sensible und auch grundrechtlich relevante Bereich ist besonders zu schützen, weshalb die Hinzunahme der biometrischen und genetischen Daten zu den bereits früher normierten Gesundheitsdaten für einen umfassenden Schutz der Intimsphäre des Menschen sorgt. 

Auch vom Verarbeitungsverbot umfasst sind deshalb auch Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln. Dazu gehören insbesondere Infos über die Einnahme von Medikamenten und die momentane körperliche und/oder geistige Verfassung des Betroffenen.  

4. Das grundsätzliche Verarbeitungsverbot und seine Ausnahmen 

Grundsätzlich ist die Verarbeitung dieser Datenkategorien gesetzlich durch die DSGVO verboten. Teilweise neu gegenüber dem BDSG ist jedoch, dass die DSGVO einen Erlaubnisvorbehalt normiert, sodass der Verarbeiter unter bestimmten Umständen zur Weiterverwertung der Daten autorisiert werden kann. 

Oberstes Prinzip ist dabei jedoch bei allen Ausnahmekonstellationen, dass die Konformität der Verarbeitung mit den Grundrechtsgarantien des Betroffenen gewahrt bleibt. 

Gänzlich ohne Probleme darf der Verwender die besagten Datenkategorien verarbeiten, wenn der Betroffene die Daten offensichtlich selbst öffentlich gemacht hat, sie also nur in einem geringen Rahmen nach dem strengen Maßstab des Art. 9 DSGVO schutzwürdig sind. Auch im Falle der Relevanz der Daten für den Schutz lebenswichtiger Interessen ist die Verarbeitung der „sensiblen“ Daten grundsätzlich erlaubt. 

Des Weiteren ist dem Verwender die Weiterverwertung erlaubt, wenn der Betroffene ausdrücklich zustimmt. Ausgenommen von dieser Einwilligung sind hier Fälle, in denen EU-Recht oder nationales Recht die Einwilligung nicht als Begründung für eine Verarbeitung zulassen 

Zusätzlich kann ohne die Einwilligung des Betroffenen eine Verarbeitung erlaubt sein, wenn diese dem Zweck der Gesundheitsvorsorge, der Diagnostik etc. dient. Dies war auch nach dem BDSG bereits zulässig. Neu ist, dass auch die Verarbeitung im Rahmen eines Beschäftigungsverhältnisses nun erlaubt ist.

Das bedeutet, dass Daten für die Beurteilung der Arbeitsfähigkeit herangezogen werden können. Gegen eine uferlose Ausweitung der Erlaubnis der Verwendung von Daten im Rahmen eines Beschäftigungsverhältnisses normiert die DSGVO, dass nur Personen, die einer Geheimhaltungspflicht unterliegen die Auswertung vornehmen dürfen. 

Außerdem dürfen die besonders geschützten Datenkategorien auch verarbeitet werden, wenn sie im öffentlichen Interesse der Wirtschaft liegen oder im öffentlichen Interesse liegenden Archivzwecken dienen. 

Die Verwendung im Interesse der Wirtschaft ist bereits im BDSG normiert gewesen, wohingegen die im öffentlichen Interesse liegenden Archivzwecke einen neuen, erst mit der DSGVO hinzugekommenen, Ausnahmetatbestand bilden. Auffällig ist hierbei, dass die sonst so strenge DSGVO in dieser Konstellation ein entgegenstehendes Interesse des Betroffenen für unbeachtlich hält, sodass auch bei einem Widerspruch die Verarbeitung grundsätzlich möglich ist. 


5. Datenkategorien außerhalb des Art. 9 DSGVO 

Ist der größte Teil sensibler Daten in Art. 9 DSGVO aufgelistet, so gibt es doch auch in anderen Artikel der Verordnung noch Regelungen für besonders schützenswerte Daten.

In Art. 10 beispielsweise findet sich die völlig neue Regelung, dass die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten einer Person unter bestimmten Umständen erlaubt sein kann, grundsätzlich jedoch verboten ist. Handelt es sich bei dieser Information nicht um eine Datenkategorie im eigentlichen Sinne, ist sie aufgrund der Ähnlichkeit zu den Kategorien in Art. 9 DSGVO wohl ebenfalls faktisch dazuzuzählen.  


6. Fälschlicherweise den besonderen Kategorien zugeordnete personenbezogene Daten 

Sehr häufig wird, wie bereits erwähnt die Verarbeitung von Lichtbildern der besonders geschützten Kategorie der biometrischen Daten zugeordnet. Tatsächlich fällt eine Verarbeitung normaler Lichtbilder jedoch unter die Verarbeitung normaler personenbezogener Daten.  

Ebenfalls lediglich ein personenbezogenes Datum ist bloßer Alkoholkonsum. Dieser stellt, anders als eine Alkoholabhängigkeit, kein Gesundheitsdatum dar. Genauso wenig gibt die rein geografische Herkunft eine Auskunft über die rassische und ethnische Herkunft. Auch der einmalige Besuch eines Sakralbaus ist keine Aussage über eine religiöse Überzeugung. 

7. Das ist in der Praxis zu beachten 

Besonders bei automatisierten Verarbeitungsprozessen, die auf das Handhaben der in Art. 9 DSGVO genannten Datenkategorien Einfluss haben, ist darauf zu achten, dass der Betroffene dieser Verarbeitung bzw. Weiterverwendung seiner Daten ausdrücklich zustimmt. Unternehmen oder Dienstleister, die bereits sensible Daten über einen Betroffenen gespeichert haben, sollten deshalb unbedingt darauf achten dessen Zustimmung einzuholen, bzw. für eine umfassende Absicherung die Daten zu löschen und mit Einwilligung des Betroffenen neu zu erheben, um einen Verstoß gegen die DSGVO zu verhindern. 

Auch das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten ist für die Verantwortlichen mit Inkrafttreten der DSGVO obligatorisch geworden.  

Neu ist ebenfalls, dass bei der umfangreichen Verarbeitung der speziell geschützten Datenkategorien eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO in bestimmten Fällen gegebenenfalls vorzunehmen ist.  

Äußerst praxisrelevant ist ebenfalls, die obligatorische Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO in bestimmten Fällen.  

8. Fazit

Durch die Normierung neuer und die Beibehaltung der auch schon im BDSG enthaltenen besonders schützenswerten Kategorien werden persönliche Daten noch umfassender gegen Missbrauch geschützt.

Negativ fällt die Verklausulierung der einzelnen Ausnahmetatbestände auf, die eher verwirrend als klarstellend und wenig systematisch in ihrem inneren Aufbau wirkt. Die dem nationalen Gesetzgeber eingeräumte Gestaltungsfreiheit im in Art. 9 DSGVO gegebenen Rahmen, kann bei einer richtigen Ausnutzung den umfassenden Schutz der sensibelsten Daten gewährleisten.  

Ähnliche spannende Beiträge

Matomo_DSGVO

Datenkategorien DSGVO

Welche Datenkategorien gibt es in der DSGVO? Welche Daten sind besonders geschützt? Von Datenschutzexperten für die Praxis. Jetzt informieren.

Weiterlesen
Artikel 82 DSGVO

Datenschutz am Arbeitsplatz

Datenschutz am Arbeitsplatz ist ein für Betriebe essenzielles Thema. Wir informieren Sie über alle wichtigen Praxisfälle.

Weiterlesen
Einwilligungserklärung Datenschutz DSGVO

Einwilligungserklärung im Datenschutz

Die Einwilligungserklärung spielt im Datenschutz eine bedeutende Rolle. Welche Vorgaben gilt es einzuhalten? Von Datenschutzexperten für die Praxis.

Weiterlesen
Artikel 82 DSGVO

Risikoanalyse DSGVO

Die Risikoanalyse dient als vorbereitende Einschätzung der Bewertung darüber, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Jetzt informieren.

Weiterlesen
Der Bundesdatenschutzbeauftragte

Der Bundesdatenschutzbeauftragte

Welche Aufgaben hat der Bundesdatenschutzbeauftragte, was ist seine Funktion und wie wird er tätig? Jetzt informieren.

Weiterlesen
Artikel 82 DSGVO

Datenschutz im Verein

Der Datenschutz im Verein wird häufig unzureichend angegangen. Wir informieren Sie, was es in der Praxis zu beachten gilt.

Weiterlesen

Ein Datenschutz-Paket ausgerichtet auf mein Unternehmen?


Datenschutzpaket erwerben. Haftung vermeiden.
30 Tage Garantie.