Die DS-GVO zählt Daten zu den besonderen Kategorien personenbezogener Daten, wenn diese zur engsten Privatsphäre einer Person gerechnet werden müssen. Da aus einer Verarbeitung solcher Daten ein sehr hohes für die Rechte und Freiheiten einer natürlichen Person erwachsen können, gilt ein generelles Verarbeitungsverbot. Jede Verarbeitung wird damit untersagt, sofern diese nicht an ganz bestimmte Bedingungen geknüpft ist.
In diesem Bereich personenbezogener Daten räumt die Datenschutz-Grundverordnung den EU-Mitgliedsstaaten das Recht zu weiteren Ausgestaltung ein. Im Beispiel Deutschlands wird die Verarbeitung durch das BDSG-neu ausführlicher geregelt (vgl. §22 BDSG-neu). Neben der näheren Gestaltung der Zulässigkeit für eine Verarbeitung wird auch auf spezifische Maßnahmen des Verantwortlichen eingegangen, die hierbei zu beachten sind.
Welche Daten zählen zu den besonderen Kategorien
Zu den besonderen Kategorien personenbezogener Daten zählen solche, die in aller Regel nur Verantwortlichen zugänglich gemacht werden, die beruflich zur Verschwiegenheit verpflichtet sind. Ärzte und Psychologen dürfen nicht über die Gesundheit ihrer Patienten sprechen, da dies zu einer Verletzung von Privatgeheimnissen zählt. Die besondere Schwere der Verletzung des Privatgeheimnisse entsteht aus Brisanz der Daten, die entgegen personenbezogenen Daten wie Name und Adresse nur mit engen Vertrauten einer Person geteilt wird, wenn überhaupt.
Die DS-GVO zählt zu den besonderen Kategorien folgende:
- rassische und ethische Herkunft
- religiöse und weltanschauliche Überzeugung
- Gewerkschaftszugehörigkeit
- politische Meinung
- genetische Daten
- biometrische Daten zur eindeutigen Identifizierung
- Daten zum Sexualleben oder sexuellen Orientierung
- Gesundheitsdaten
Vor allem die Verarbeitung von Daten zur religiösen und weltanschaulichen Überzeugung ist für Arbeitgeber und Lohnbüros neben den Daten zur Gesundheit eine Herausforderung. Die religiöse Zugehörigkeit ist eine nötige Angabe für die korrekte Erstellung einer Lohnabrechnung und die Zuordnung der Kirchensteuer. Gesundheitsdaten werden bereits mit der Auflistung von Krankheitstagen geführt, die häufig ein Kriterium für Leistungsfähigkeit darstellt und damit für Beförderungen bzw. Gehaltserhöhungen.
Verarbeitung unter Vorbehalt
In bestimmten Fällen ist die Verarbeitung besonderer Kategorien personenbezogener Daten erlaubt. In unserem Beispiel Deutschland werden diese Fälle im BDSG-neu weiter ausformuliert und ergänzt. Für Verantwortliche entstehen eindeutige Regelungen, unter denen die Verarbeitung der Daten betroffener Personen möglich ist. Betroffene Personen hingegen dürfen sich darauf verlassen, dass auch im Zeitalter der Digitalisierung eine Verarbeitung nicht unrechtmäßig erfolgt.
Die Verarbeitung biometrischer Daten aus der Videoüberwachung stellt Verantwortliche häufig vor Probleme, die eine umfassende Konzeption zur Lösung benötigen. Ein Beispiel sind Sicherheitsdienste, die ein Gebäude oder auch Einkaufszentrum für den Betreiber überwachen und auf diese Weise biometrische Daten über Mieter und Kunden sammeln.
Die Fälle, in denen eine Verarbeitung möglich ist, sind umfassend geregelt und sollen hier nicht vollständig aufgezählt werden. Im Folgenden werden nur die häufigsten Fälle aufgeführt, so ist eine Verarbeitung erlaubt, wenn:
- die betroffene Person ausdrücklich eingewilligt hat,
- sie aus Gründen des Arbeitsrechts, dem Recht der sozialen Sicherheit oder des Sozialschutzes geschieht,
- sie zum Schutz lebenswichtiger Interessen geschieht und eine Einwilligung der betroffenen Person unmöglich ist,
- sie aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs geschieht.
Spezifische Vorgaben des BDSG-neu
In unserem Beispiel Deutschland wird das Bundesdatenschutzgesetz-neu genutzt, um die Anforderungen an eine Verarbeitung durch den Verantwortlichen zu spezifizieren. Die Regelungen werden nicht im Detail ausformuliert, sondern beziehen sich immer auf den dann gültigen Stand der Technik, die Implementierungskosten (u.a. von Sicherungsmaßnahmen) und den Umfang der Verarbeitungstätigkeiten. Berücksichtigt werden muss stets die Eintrittswahrscheinlichkeit und Schwere der Risiken, mit denen eine Verarbeitung einhergeht.
Die wichtigsten Kriterien sind ausreichende technische und organisatorische Maßnahmen sowie ein passendes Berechtigungskonzept mit umfangreicher Protokollierung. In diesem Kontext sind die Fragen danach, wie Daten vor unberechtigtem Zugriff gesichert werden, wer zu welchem Zeitpunkt auf sie zugreifen kann / konnte und wie sie ggf. verändert wurden relevant. Vor allem die mit Verarbeitungsvorgängen betrauten Personen sind für die Risiken der Verarbeitung zu sensibilisieren.
Sofern mit besonderen Kategorien personenbezogener Daten umgegangen wird, müssen die Datenschutz-Grundsätze der Verschlüsselung und Pseudonymisierung umgesetzt werden. Und es braucht ein nachvollziehbares Konzept, dass die Sicherheit und Belastbarkeit von IT-Systemen sowie der technischen und organisatorischen Maßnahmen in regelmäßigen Abständen überprüft.
Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics