Datenkategorien DSGVO
Das Wichtigste auf einen Blick
1. Welche Datenkategorien kennt die DSGVO
Als Datenkategorien werden in der DSGVO die verschiedenen Arten von Daten bezeichnet, die anders als die allgemeinen personenbezogenen Daten noch einmal besonders geschützt werden.
Diese Einteilung gab es auch im § 28 Bundesdatenschutzgesetz schon, wurde in der DSGVO aber noch einmal neu gefasst und bedeutend umfangreicher und strenger geregelt. In der DSGVO werden die besonders geschützten Daten in Art. 9 aufgelistet. Die DSGVO kennt dabei acht verschiedene Datenkategorien:
Den häufigsten Anwendungsfall bilden früher, wie auch heute die Gesundheitsdaten.
2. Warum gibt es besonders geschützte Daten?
Diese Frage stellt sich angesichts dessen, dass die persönliche Daten generell sehr streng und umfassend schützende DSGVO eigentlich keinen Bedarf für noch umfassender und strenger geschützte Datenkategorien hat.
Nach EG 51 DSGVO jedoch zeichnen sich die vorrangig in Art. 9 DSGVO festgelegten Kategorien durch ihr – gegenüber allgemeinen personenbezogenen Daten – sensibleres Wesen hinsichtlich der Grundrechte und Grundfreiheiten aus und sind dementsprechend besonders schutzwürdig, da durch ihre ungehinderte Verwendung erhebliche Risiken für die Grundrechte und Grundfreiheiten der Betroffenen auftreten können.
3. Die wichtigsten Datenkategorien im Einzelnen
Besonders relevant im Rahmen der sensiblen Daten sind zum einen wie bereits erwähnt die Gesundheitsdaten. Hinzu kommen die neu normierten biometrischen und genetischen Daten.
Gesundheitsdaten iSv. Art. 4 Nr. 15 DSGVO sind solche personenbezogenen Daten, die Aufschluss über die körperliche und geistige Verfassung eines Menschen liefern. Zudem gewähren diese Daten eine Einsicht in für die Person erbrachte Gesundheitsdienstleistungen.
Um biometrische Daten im Sinne der Vorschrift handelt es sich nach Art. 4 Nr. 14 DSGVO, wenn die Daten die eindeutige Identifizierung der natürlichen Person ermöglichen.
Insbesondere sind damit also Passbilder gemeint. Die Verarbeitung normaler Lichtbilder ist demgegenüber grundsätzlich erlaubt und jedenfalls nicht, wie häufig fälschlicherweise angenommen, von der Kategorie der besonders sensiblen Daten umfasst.
Genetische Daten sind nach Art. 4 Nr. 13 DSGVO solche Daten, die eine Aussage über die ererbten oder genetischen Eigenschaften eines Menschen sowie eindeutige Infos über seine Physiologie und seine Gesundheit liefern.
Die Relevanz der Regelung der Verarbeitung dieser Daten liegt besonders darin, dass sie Informationen über die intimste Sphäre des Menschen, nämlich seinen Körper und den Zustand desselben geben.
Dieser besonders sensible und auch grundrechtlich relevante Bereich ist besonders zu schützen, weshalb die Hinzunahme der biometrischen und genetischen Daten zu den bereits früher normierten Gesundheitsdaten für einen umfassenden Schutz der Intimsphäre des Menschen sorgt.
Auch vom Verarbeitungsverbot umfasst sind deshalb auch Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln. Dazu gehören insbesondere Infos über die Einnahme von Medikamenten und die momentane körperliche und/oder geistige Verfassung des Betroffenen.
4. Das grundsätzliche Verarbeitungsverbot und seine Ausnahmen
Grundsätzlich ist die Verarbeitung dieser Datenkategorien gesetzlich durch die DSGVO verboten. Teilweise neu gegenüber dem BDSG ist jedoch, dass die DSGVO einen Erlaubnisvorbehalt normiert, sodass der Verarbeiter unter bestimmten Umständen zur Weiterverwertung der Daten autorisiert werden kann.
Oberstes Prinzip ist dabei jedoch bei allen Ausnahmekonstellationen, dass die Konformität der Verarbeitung mit den Grundrechtsgarantien des Betroffenen gewahrt bleibt.
Gänzlich ohne Probleme darf der Verwender die besagten Datenkategorien verarbeiten, wenn der Betroffene die Daten offensichtlich selbst öffentlich gemacht hat, sie also nur in einem geringen Rahmen nach dem strengen Maßstab des Art. 9 DSGVO schutzwürdig sind. Auch im Falle der Relevanz der Daten für den Schutz lebenswichtiger Interessen ist die Verarbeitung der „sensiblen“ Daten grundsätzlich erlaubt.
Des Weiteren ist dem Verwender die Weiterverwertung erlaubt, wenn der Betroffene ausdrücklich zustimmt. Ausgenommen von dieser Einwilligung sind hier Fälle, in denen EU-Recht oder nationales Recht die Einwilligung nicht als Begründung für eine Verarbeitung zulassen.
Zusätzlich kann ohne die Einwilligung des Betroffenen eine Verarbeitung erlaubt sein, wenn diese dem Zweck der Gesundheitsvorsorge, der Diagnostik etc. dient. Dies war auch nach dem BDSG bereits zulässig. Neu ist, dass auch die Verarbeitung im Rahmen eines Beschäftigungsverhältnisses nun erlaubt ist.
Das bedeutet, dass Daten für die Beurteilung der Arbeitsfähigkeit herangezogen werden können. Gegen eine uferlose Ausweitung der Erlaubnis der Verwendung von Daten im Rahmen eines Beschäftigungsverhältnisses normiert die DSGVO, dass nur Personen, die einer Geheimhaltungspflicht unterliegen die Auswertung vornehmen dürfen.
Außerdem dürfen die besonders geschützten Datenkategorien auch verarbeitet werden, wenn sie im öffentlichen Interesse der Wirtschaft liegen oder im öffentlichen Interesse liegenden Archivzwecken dienen.
Die Verwendung im Interesse der Wirtschaft ist bereits im BDSG normiert gewesen, wohingegen die im öffentlichen Interesse liegenden Archivzwecke einen neuen, erst mit der DSGVO hinzugekommenen, Ausnahmetatbestand bilden. Auffällig ist hierbei, dass die sonst so strenge DSGVO in dieser Konstellation ein entgegenstehendes Interesse des Betroffenen für unbeachtlich hält, sodass auch bei einem Widerspruch die Verarbeitung grundsätzlich möglich ist.
5. Datenkategorien außerhalb des Art. 9 DSGVO
Ist der größte Teil sensibler Daten in Art. 9 DSGVO aufgelistet, so gibt es doch auch in anderen Artikel der Verordnung noch Regelungen für besonders schützenswerte Daten.
In Art. 10 beispielsweise findet sich die völlig neue Regelung, dass die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten einer Person unter bestimmten Umständen erlaubt sein kann, grundsätzlich jedoch verboten ist. Handelt es sich bei dieser Information nicht um eine Datenkategorie im eigentlichen Sinne, ist sie aufgrund der Ähnlichkeit zu den Kategorien in Art. 9 DSGVO wohl ebenfalls faktisch dazuzuzählen.
6. Fälschlicherweise den besonderen Kategorien zugeordnete personenbezogene Daten
Sehr häufig wird, wie bereits erwähnt die Verarbeitung von Lichtbildern der besonders geschützten Kategorie der biometrischen Daten zugeordnet. Tatsächlich fällt eine Verarbeitung normaler Lichtbilder jedoch unter die Verarbeitung normaler personenbezogener Daten.
Ebenfalls lediglich ein personenbezogenes Datum ist bloßer Alkoholkonsum. Dieser stellt, anders als eine Alkoholabhängigkeit, kein Gesundheitsdatum dar. Genauso wenig gibt die rein geografische Herkunft eine Auskunft über die rassische und ethnische Herkunft. Auch der einmalige Besuch eines Sakralbaus ist keine Aussage über eine religiöse Überzeugung.
7. Das ist in der Praxis zu beachten
Besonders bei automatisierten Verarbeitungsprozessen, die auf das Handhaben der in Art. 9 DSGVO genannten Datenkategorien Einfluss haben, ist darauf zu achten, dass der Betroffene dieser Verarbeitung bzw. Weiterverwendung seiner Daten ausdrücklich zustimmt. Unternehmen oder Dienstleister, die bereits sensible Daten über einen Betroffenen gespeichert haben, sollten deshalb unbedingt darauf achten dessen Zustimmung einzuholen, bzw. für eine umfassende Absicherung die Daten zu löschen und mit Einwilligung des Betroffenen neu zu erheben, um einen Verstoß gegen die DSGVO zu verhindern.
Auch das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten ist für die Verantwortlichen mit Inkrafttreten der DSGVO obligatorisch geworden.
Neu ist ebenfalls, dass bei der umfangreichen Verarbeitung der speziell geschützten Datenkategorien eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO in bestimmten Fällen gegebenenfalls vorzunehmen ist.
Äußerst praxisrelevant ist ebenfalls, die obligatorische Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO in bestimmten Fällen.
8. Fazit
Durch die Normierung neuer und die Beibehaltung der auch schon im BDSG enthaltenen besonders schützenswerten Kategorien werden persönliche Daten noch umfassender gegen Missbrauch geschützt.
Negativ fällt die Verklausulierung der einzelnen Ausnahmetatbestände auf, die eher verwirrend als klarstellend und wenig systematisch in ihrem inneren Aufbau wirkt. Die dem nationalen Gesetzgeber eingeräumte Gestaltungsfreiheit im in Art. 9 DSGVO gegebenen Rahmen, kann bei einer richtigen Ausnutzung den umfassenden Schutz der sensibelsten Daten gewährleisten.
Ähnliche spannende Beiträge
Der Datenschutzbeauftragte
Ein Datenschutzbeauftragter wird in allen datenschutzrechtlichen Bereichen, vor allem durch Beratung, Kontrolle und Aufklärung tätig. Außerdem unterstützt er das Unternehmen bei der Umsetzung der gesetzlichen Vorschriften.
Informationspflichten DSGVO
Die Informationspflichten der DSGVO sind vielseitig. Hier erfahren Sie, was Sie in der Praxis beachten müssen. Jetzt informieren.
Das Fax als unsicheres Kommunikationsmittel
Faxnutzung aus Sicht des Datenschutzes: Was Sie beachten sollten. Ein Aufruf zur Ablösung des Fax und zur Einführung sicherer Alternativen.
Art 26 DSGVO
Art 26 DSGVO behandelt die gemeinsame Verantwortlichkeit von Unternehmen und Auftraggebern. Wir informieren Sie über alles Wichtige.
Datenkategorien DSGVO
Welche Datenkategorien gibt es in der DSGVO? Welche Daten sind besonders geschützt? Von Datenschutzexperten für die Praxis. Jetzt informieren.
Weitreichende Dokumentationspflichten bei Telefonwerbung
Die Anforderungen an die Telefonwerbung; ein heutzutage sehr verbreitetes Marketinginstrument.