Besondere Kategorien personenbezogener Daten
Welche Datenkategorien nach Art. 9 DSGVO besonders sensibel sind, weshalb für sie ein grundsätzliches Verarbeitungsverbot gilt und unter welchen Ausnahmen eine Verarbeitung dennoch zulässig ist.
Art. 9 DSGVO schützt bestimmte Datenkategorien mit besonderer Sensibilität durch ein grundsätzliches Verarbeitungsverbot. Zu den besonderen Datenkategorien gehören: Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung.
Warum besonderer Schutz?
Der Grund für diesen erhöhten Schutz liegt in der besonderen Verletzlichkeit, die mit diesen Kategorien verbunden ist. Die Offenbarung etwa politischer Überzeugungen oder Gesundheitsdaten kann zu Diskriminierung, sozialem Ausschluss oder existenziellen Nachteilen führen. Erwägungsgrund 51 zur DSGVO betont daher, dass sie nicht verarbeitet werden sollten, es sei denn, die Verarbeitung ist in bestimmten Fällen gestattet.
Ausnahmen vom Verarbeitungsverbot
Das Verarbeitungsverbot gilt nicht absolut. Art. 9 Abs. 2 DSGVO enthält zehn Ausnahmetatbestände: explizite Einwilligung der betroffenen Person, Wahrnehmung von Rechten oder Pflichten im Arbeitsrecht, lebenswichtige Interessen, Tätigkeiten von Stiftungen oder anderen Einrichtungen ohne Gewinnerzielungsabsicht mit politischem, weltanschaulichem, religiösem oder gewerkschaftlichem Zweck, offenkundig öffentlich gemachte Daten, Rechtsansprüche, öffentliches Interesse, medizinische Behandlung, öffentliche Gesundheit sowie Archiv-, Forschungs- und statistische Zwecke.
Für die in der Praxis häufig relevante explizite Einwilligung (lit. a) gilt: Die Anforderungen sind noch strenger als bei der regulären Einwilligung. Die Einwilligung muss ausdrücklich und für die spezifischen besonderen Datenkategorien erteilt werden. Formulierungen wie „Ich stimme der Verarbeitung meiner Daten zu“ reichen nicht aus.
Nationale Oeffnungsklauseln
In Deutschland ergänzt § 22 BDSG die europäische Regelung um nationale Öffnungsklauseln. § 22 erlaubt die Verarbeitung besonderer Datenkategorien unter anderem für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin und des Gesundheitsschutzes sowie zur Geltendmachung und Abwehr von Rechtsansprüchen, jeweils unter der Voraussetzung angemessener und spezifischer Maßnahmen zum Schutz der Interessen der betroffenen Person.
Besondere Sorgfalt ist bei der technischen und organisatorischen Absicherung dieser Daten geboten. Empfohlen werden unter anderem: verschlüsselte Speicherung, strikte Zugriffskontrollen, Pseudonymisierung, regelmäßige Sicherheitsüberprüfungen sowie eine DSFA nach Art. 35 DSGVO, da die Verarbeitung besonderer Datenkategorien typischerweise ein hohes Risiko darstellt.