Besondere Kategorien personenbezogener Daten nach der DSGVO

Fachbeitrag

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist an bestimmte Voraussetzungen geknüpft. Bekanntes aus dem BDSG-alt findet sich auch in der Datenschutz-Grundverordnung (DSGVO) wieder. Ab dem 25.05.2018 bringt Artikel 9 DSGVO auch ein paar Neuerungen mit sich. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Besondere Kategorien personenbezogener Daten

Die besonderen Kategorien personenbezogener Daten sind bisher als besondere Arten personenbezogener Daten bekannt und in § 3 Abs. 9 BDSG-alt definiert. Danach gehören zu den besonderen Arten personenbezogener Daten Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Die besonderen Kategorien personenbezogener Daten nach der DSGVO entsprechen weitestgehend denen aus dem BDSG-alt. Eine Auflistung der besonderen Kategorien personenbezogener Daten findet sich in Art. 9 DSGVO. Einige der Kategorien werden darüber hinaus in Art. 4 DSGVO ausführlich definiert (genetische Daten, biometrische Daten und Gesundheitsdaten). Im Vergleich zum BDSG-alt sind letztendlich nur die biometrischen Daten und die genetischen Daten wirklich neu hinzugekommen, wobei letztere nach dem BDSG-alt in der Regel unter die Gesundheitsdaten fallen.

Genetische Daten

Eine Definition des Begriffs „genetische Daten“ findet sich in Art. 4 Nr. 13 DSGVO.

Genetische Daten sind demnach personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

Demnach fallen beispielsweise DNA-Analysen, RNS-Analysen und ähnliche unter Art. 9 DSGVO.

Biometrische Daten

Der Begriff der „biometrischen Daten“ ist in Art. 4 Nr. 14 DSGVO definiert.

Biometrische Daten sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

Darunter fallen beispielsweise der Fingerabdruck (zur Entsperrung des Smartphones), Stimmen- oder Iriserkennungen. Auch Lichtbilder können unter die biometrischen Daten fallen. In Erwägungsgrund 51 zu der Datenschutz-Grundverordnung wird zur Verarbeitung von Lichtbildern jedoch einschränkend Stellung genommen. Dort heißt es, dass die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden sollte, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Demnach stellt der Abgleich eines Fotos mit einer Gesichtserkennungssoftware eine Verarbeitung besonderer Kategorien personenbezogener Daten dar, nicht jedoch die Kontrolle eines mit einem Portrait versehenen Mitarbeiterausweises durch bloße Inaugenscheinnahme.

Verbot der Verarbeitung und Ausnahmen

Grundsätzlich ist die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO untersagt. Eine Reihe von Ausnahmen, nach denen die Verarbeitung besonderer Kategorien personenbezogener Daten wiederum gestattet ist, findet sich in Art. 9 Abs. 2 lit. a) – j) DSGVO. Die Ausnahmen entsprechen weitestgehend den bisherigen Erlaubnistatbeständen zur Verarbeitung von besonderen Arten personenbezogener Daten nach dem BDSG-alt. Art. So ist gemäß Art. 9 Abs. 2 lit. a) DSGVO beispielsweise die Verarbeitung nach Einwilligung durch den Betroffenen weiterhin möglich. 9 DSGVO enthält darüber hinaus einige Öffnungsklauseln, die es den Mitgliedsstaaten erlauben, abweichende Regelungen zu treffen. Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht. Ergänzende Regelungen und Ausnahmen zum grundsätzlichen Verarbeitungsverbot finden sich in § 22 BDSG-neu.

Voraussetzungen der Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO

Wie bereits erwähnt ist die Verarbeitung besonderer Kategorien personenbezogener Daten u.a. dann zulässig, wenn die betroffene Person in die Verarbeitung ausdrücklich eingewilligt hat. Entsprechend der Regelung nach § 4a Abs. 3 BDSG-alt muss sich die Einwilligung ausdrücklich auf die besonderen Datenkategorien beziehen. So müssen beispielsweise in vorformulierten Einwilligungstexten die besonderen Kategorien personenbezogener Daten, in deren Verarbeitung eingewilligt werden soll, konkret benannt werden. Auch die übrigen Voraussetzungen an die Wirksamkeit einer Einwilligung i.S.v. Art. 4 Nr. 11 DSGVO müssen erfüllt sein.

Zu beachten ist weiterhin, dass die Möglichkeit einer Verarbeitung besonderer Datenkategorien auf der Grundlage von Einwilligungen durch Unionsrecht oder das Recht der Mitgliedsstaaten wieder ausgeschlossen sein kann. Es bleibt abzuwarten, inwieweit eine Einschränkung der Einwilligungsmöglichkeit durch den europäischen oder nationale Gesetzgeber erfolgt. Für Deutschland haben sich bisher keine Einschränkungen ergeben.

Verarbeitung zu statistischen, historischen und Archivzwecken

Nach Art. 9 Abs. 2 lit. j) DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten auch zulässig, soweit diese für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO erforderlich ist. Das BDSG-alt enthielt insoweit lediglich eine konkrete Ausnahme zur Verarbeitung besonderer Arten personenbezogener Daten zu wissenschaftlichen Zwecken.

Voraussetzung für die Verarbeitung nach Art. 9 Abs. 2 lit. j) DSGVO ist eine entsprechende Rechtsgrundlage im Unionsrecht oder dem Recht eines Mitgliedstaats und das Vorliegen geeigneter Garantien i.S.v. Art. 89 DSGVO. Mit den Garantien soll sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird.

Fazit: Wenig Neues und ein paar Ungewissheiten

Auch wenn sich im Bereich der besonderen Kategorien personenbezogener Daten nach der DSGVO im Wesentlichen viele bereits zu den besonderen Arten personenbezogener Daten nach dem BDSG-alt bekannte Regelungen wiederfinden, sind durchaus auch einige Neuerungen zu erkennen. Insbesondere kann die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 3 lit. b) DSGVO in Fällen, in denen umfangreich besondere Kategorien personenbezogener Daten verarbeitet werden, durchaus einen noch nicht überschaubaren Aufwand bedeuten.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.