Umgang mit besonderen Datenkategorien

Praxisratgeber

Logo Datenschutz im Ehrenamt

Verarbeitung personenbezogener Daten auf Rechtsgrundlage

Ziel des Datenschutzes ist der Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Diesen Schutz gewährleistet unter anderem Art. 6 Datenschutzgrundverordnung (DSGVO). Gemäß dieser Vorschrift ist die Verarbeitung von personenbezogenen Daten grundsätzlich nur rechtmäßig ist, wenn eine Rechtsgrundlage vorhanden ist, die diese Verarbeitung zulässt.

Beispiel Für die Aufnahme von Namen, Geburtsdatum und Anschrift eines Vereinsmitglieds in die Mitgliederliste, ist demnach immer eine Rechtsgrundlage erforderlich. Das Eintragen der Daten des angehenden Mitglieds in die Mitgliederliste ohne entsprechende Rechtsgrundlage wäre also rechtswidrig und würde einen Verstoß gegen die DSGVO darstellen.

Wo liegt der Unterschied zu besonderen Datenkategorien?

Nun gibt es aber Daten, die sensibler sind als andere. Zum Beispiel Gesundheitsdaten oder Daten über die sexuelle Orientierung einer Person. Wie verhält es sich mit diesen Daten? Sind diese schützenswerter als andere personenbezogene Daten? In Art. 9 DSGVO sind diese so genannten personenbezogenen Daten besonderer Kategorien geregelt. Hintergrund ist, dass der Gesetzgeber dem Umstand Rechnung tragen wollte, dass mit der Verarbeitung dieser besonders sensiblen Daten höhere Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen einhergehen.

Beispiel Eine Person wird aufgrund einer Behinderung benachteiligt. Ein Betroffener wird aufgrund seiner Herkunft diskriminiert.

Unter diese besonderen Datenkategorien fallen folgende personenbezogene Daten:

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

Rassische und ethnische Herkunft

Unter „rassische und ethnische Herkunft“ sind Informationen über Merkmale, die Rückschlüsse auf die Zugehörigkeit zu einer „Rasse“ bzw. einer Ethnie erlauben, zu verstehen.

Beispiele Insbesondere Angaben über das äußere Erscheinungsbild einer Person, wie zum Beispiel die Hautfarbe, Haartyp, Augen- und Nasenform.

Die Vorschrift dient dazu, Menschen vor Diskriminierungen aus rassistischen Motiven, aufgrund ihrer Abstammung, ihrer Heimat oder ihrer Herkunft zu schützen. Es ist demnach unzulässig, entsprechende Informationen zur Rekonstruktion einer „rassischen“ bzw. ethnischen Herkunft heranzuziehen.

Dabei wird mit „Rasse“ ein äußerst problematischer Begriff gewählt, der Raum für Diskriminierungen schafft. Dessen bewusst, wird in Erwägungsgrund 51 zur DSGVO festgehalten, dass die Verwendung des Begriffs „rassische Herkunft“ nicht bedeutet, dass die Union Theorien gutheißt, mit denen versucht wird, „die Existenz verschiedener menschlicher Rassen zu belegen.“

Politische Meinungen

Der Schutz von politischen Meinungen soll die Freiheit gewährleisten, sich eine bestimmte Meinung oder Überzeugung zu bilden, sie zu haben, zu äußern und auch aufzugeben. Es geht um den Schutz sowohl der inneren Haltung als auch der Äußerungen und Tätigkeiten, die aus der inneren Haltung folgen.

Eine Meinung wird als „politisch“ verstanden, wenn sie sich auf Fragen des Zusammenlebens in menschlichen Gemeinschaften beziehen.

Darunter fallen jegliche Informationen, die Rückschlüsse auf eine politische Einstellung zulassen. Umfasst werden sowohl die Zustimmung als auch die Ablehnung einer politischen Haltung.

Beispiele Parteimitgliedschaft, persönliche politische Einstellung.

Die Teilnahme an einer politischen Veranstaltung fällt nur darunter, soweit sie den Schluss auf eine politische Einstellung nahelegt. Es ist dabei immer der Kontext entscheidend. So lässt die Teilnahme an einer politischen Demonstration ggf. eher einen Rückschluss auf die politische Gesinnung zu als die Teilnahme an einer Wahlkampfveranstaltung, die ja auch lediglich der Information und Willensbildung dienen kann.

Religiöse oder weltanschauliche Überzeugung

Hiervon erfasst werden Informationen über religiöse oder weltanschauliche Einstellung einer Person.

Der besondere Schutz von religiösen und weltanschaulichen Überzeugungen soll die Freiheit gewährleisten, sich eine bestimmte Meinung oder Überzeugung zu bilden, sie zu haben, zu äußern und auch aufzugeben (Art. 10 und Art. 11 Grundrechtscharta). Es spielt dabei keine Rolle, ob die innere Haltung, die eine Person hat, wissenschaftlich begründbar ist oder nicht.

Neben der inneren Einstellung einer Person fällt auch die äußerliche Betätigung, mittels derer sie ihre religiöse oder weltanschauliche Überzeugung zum Ausdruck bringt, darunter: Hier zum Beispiel die Zugehörigkeit zu einer Religionsgemeinschaft oder das Tragen von Kippa oder Kopftuch.

Das Tragen einer Halskette mit Kreuz ist dahingegen nicht zwingend ein Zeichen der Verbundenheit mit dem Christentum. Die Halskette mit Kreuz kann nämlich lediglich modisches Accessoire sein ohne Ausdruck einer religiösen Überzeugung.

Zu Daten der besonderen Kategorien gehören auch atheistische oder agnostische Überzeugungen, diese sind im gleichen Maße schützenswert. Es spielt ebenfalls keine Rolle, ob die Religionsgemeinschaft staatlich anerkannt ist (zum Beispiel die katholische oder evangelische Kirche).

Weltanschauliche Überzeugungen befassen sich mit den grundlegenden Zielen des Menschen, dem Sinn der Welt und des menschlichen Lebens.

Gewerkschaftszugehörigkeit

Mitglieder einer Gewerkschaft sollen bei der Ausübung ihrer Rechte frei agieren können, ohne dabei Beschränkungen zu befürchten, unter anderem durch eine Diskriminierung am Arbeitsmarkt aufgrund ihrer Gewerkschaftszugehörigkeit.

Hintergrund dafür ist die Koalitionsfreiheit (Art. 28 Grundrechtscharta) sowie das Diskriminierungsverbot (Art. 31 Grundrechtscharta).

Bei der Zugehörigkeit zu einer Gewerkschaft handelt es sich demnach um ein sensibles Datum gemäß Art. 9 DSGVO. Es gilt somit ein grundsätzliches Verbot der Verarbeitung von Daten, aus denen die Zugehörigkeit zu einer Gewerkschaft hervorgeht. Unerheblich ist dabei, welche Ausrichtung die Gewerkschaft hat.

Wie auch sonst bei den besonderen Datenkategorien ist die Einstufung als sensibles Datum im jeweiligen Gesamtkontext differenziert zu betrachten.

Beispiel Frau A überlegt, einer Gewerkschaft beizutreten. Sie besucht eine Veranstaltung, um sich näher über die Ziele und Aktivitäten der Gewerkschaft zu informieren. Es kann also alleine durch die Teilnahme von Frau A an dieser Gewerkschaftsveranstaltung nicht auf eine Gewerkschaftszugehörigkeit von Frau A geschlossen werden.

Genetische Daten

Bei den genetischen Daten handelt es sich um personenbezogene Daten zu genetischen Eigenschaften, die eindeutige Informationen über die Physiologie oder die Gesundheit der Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden (Definition in Art. 4 Nr. 13 DSGVO).

Erfasst werden alle körperlichen Substanzen einer natürlichen Person, aus deren Analyse der genetische Code hervorgeht, inklusive einer einzelnen Zelle.

Beispiele Chromosomen-, DNS- oder RNS-Analysen

Biometrische Daten

Bei den biometrischen Daten handelt es sich um mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person. Biometrische Daten müssen geeignet sein, natürliche Personen eindeutig zu identifizieren oder ihre Identität zu bestätigen. „Normale Fotografien fallen nach herrschender Meinung nicht darunter, biometrische Fotos auf Personalausweisen und Pässen jedoch schon.

Beispiele Fingerabdruck, biometrische Fotos (Pässe, Personalausweise), biometrische Daten für Zugriffe auf IT Systeme 

Gesundheitsdaten

Gesundheitsdaten sind personenbezogene Daten über die körperliche oder geistige Gesundheit, aus denen Informationen über den Gesundheitszustand einer Person hervorgehen (komplette Definition in Art. 4 Nr. 15 DSGVO). Der Begriff Gesundheitsdaten ist weit zu verstehen.

Nicht nur Erkrankungen, sondern auch positive oder neutrale Informationen zum Gesundheitszustand fallen darunter, z.B. die Information über die Heilung von einer Krankheit.

Es spielt keine Rolle, woher die Daten stammen, zum Beispiel von einem Arzt oder vom Krankenhaus. Ebenfalls keine Rolle spielt es, ob es sich bei den Angaben um aktuelle oder auf die Vergangenheit bezogene Angaben handelt.

Beispiele Krankheiten, Behinderungen, Allergien, Sucht, Impfung, Schwangerschaft, Klinische Behandlungen, Laboruntersuchungen von Körperproben.

Daten zum Sexualleben oder der sexuellen Orientierung

Informationen über die Sexualität eines Menschen betreffen in hohem Maße die persönliche Intimsphäre. Der besondere Schutz dieser Daten geht auf das Diskriminierungsverbot (Art. 21 Abs. 1 Grundrechtscharta) zurück.

BeispieLE Informationen über Hetero-, Bi-, Homo-, Transsexualität, über Häufigkeit oder auch zur Art des Geschlechtsverkehrs der betroffenen Person, Information über Geschlechtsumwandlung.

Rechtsgrundlagen – Ausnahmefälle für besondere Datenkategorien

Die Verarbeitung der in Art. 9 Abs. 1 DSGVO genannten besonderen Kategorien von personenbezogenen Daten ist grundsätzlich nicht erlaubt. Art. 9 Abs. 2 DSGVO regelt jedoch die Fälle, in denen ausnahmsweise eine Verarbeitung zulässig ist. Es handelt sich unter anderem um folgende Fälle:

  • Die betroffene Person willigt in die Verarbeitung ihrer sensiblen Daten ein
  • Arbeits-/Sozialrechtliche Pflichten erfordern eine Verarbeitung der sensiblen Daten
  • Besondere Kategorien von Daten werden zum Schutz lebenswichtiger Interessen der betroffenen Person verarbeitet
  • Verarbeitung durch politische, weltanschauliche, religiöse, gewerkschaftliche Organisation.

Einwilligung – und wann ist sie wirksam

Art. 9 Abs. 2 lit. a) DSGVO

Die Verarbeitung von besonders sensiblen Daten ist rechtmäßig, soweit eine Einwilligung der betroffenen Person in die Verarbeitung der Daten vorliegt.

Die Voraussetzungen für eine wirksame Einwilligung sind:

  • Die Einwilligung muss freiwillig erfolgen.
  • Sie muss informiert erfolgen.
  • Sie muss sich auf einen bestimmten Zweck und eine bestimmte Verarbeitung beziehen.
  • Die Einwilligung muss unmissverständlich sein.
  • Sie muss den Hinweis auf das Widerrufsrecht enthalten.
  • Sie muss ausdrücklich erteilt werden.

Die Voraussetzung der Freiwilligkeit der Einwilligung hat eine große Praxisrelevanz. Die betroffene Person darf nicht unter Druck gesetzt werden. Sie muss auch eine echte Wahl haben, sich gegen eine Einwilligung zu entscheiden.

Die Einwilligung muss sich ausdrücklich auf die Verarbeitung der besonders sensiblen Daten beziehen. Die betroffene Person muss umfassend informiert werden, dazu gehört auch die Information über den besonderen Stellenwert der zu verarbeitenden Daten. Dadurch soll gewährleistet werden, dass die betroffene Person umfassend über die Risiken, die mit der Verarbeitung der sensiblen Daten einhergeht, informiert wird. Die betroffene Person muss die Einwilligung ausdrücklich erteilen, eine stillschweigende Zustimmung ist nicht ausreichend. Es muss vielmehr eine eindeutige, bestätigende Handlung seitens der betroffenen Person erfolgen.

Es empfiehlt sich aus Gründen der Rechenschafts- und der Beweispflicht, die Einwilligung schriftlich einzuholen.

Arbeitsrecht und Sozialversicherungspflichten

Art. 9 Abs. 2 lit. b) DSGVO

Arbeitgeber müssen bestimmte personenbezogene Daten verarbeiten, um ihren Pflichten aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes nachzukommen. Darunter fallen auch einige besonders sensible personenbezogene Daten. Aus diesem Grund wird in Art. 9 Abs. 2 lit. b DSGVO bestimmt, dass die Verarbeitung besonders sensibler Daten in diesen Fällen – sofern alle Voraussetzungen erfüllt sind – rechtmäßig ist.

Beispiel Der Sportverein beschäftigt einige Arbeitnehmer (Arbeitnehmer des Vereins sind alle Personen, die zu dem Verein in einem Dienstverhältnis stehen und daraus Arbeitslohn beziehen). Um die Kirchensteuer für ihre Arbeitnehmer ordnungsgemäß abzuführen, ist die Verarbeitung des besonders sensiblen personenbezogenen Datums „Religionszugehörigkeit“ erforderlich.

Auch das Recht der sozialen Sicherheit sieht die Verarbeitung von besonders sensiblen personenbezogenen Daten vor: Vorschriften zur Rente, Abrechnung in den sozialen Krankenversicherungssystemen, Verarbeitung von Gesundheitsdaten, wie beispielsweise Beschäftigungsverbote und Krankheitstage.

Die Verarbeitung der Daten muss zur Erfüllung der Pflichten erforderlich sein. Eine Rechtsgrundlage ist erforderlich (z.B. Gesetze, Tarifverträge und Betriebsvereinbarungen).

Weiterführende Vorschrift: § 26 Bundesdatenschutzgesetz (BDSG), der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt.

Schutz lebenswichtiger Interessen

Art. 9 Abs. 2 lit. c) DSGVO

Die Verarbeitung von besonders sensiblen Daten ist ebenfalls zulässig, wenn diese zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.

Beispiele körperliche Gründe schwere Erkrankung, Bewusstlosigkeit, Intoxikation.

Beispiele rechtliche Gründe Fehlende oder eingeschränkte Geschäftsfähigkeit. Hier muss es für Verantwortlichen unmöglich sein, einen Vertreter der betroffenen Person zu erreichen.

Die Verarbeitung der Daten muss zum Schutz lebenswichtiger Interessen erforderlich sein. Es ist zunächst zu prüfen, ob die betroffene Person ihre Einwilligung abgeben kann, ist dies nicht der Fall, ist der mutmaßliche Wille der betroffenen Person zu ermitteln.

Politische, weltanschauliche, religiöse, gewerkschaftliche Organisation

Art. 9 Abs. 2 d) DSGVO

Bestimmte Gruppen von Organisationen (so genannte Tendenzbetriebe) dürfen – sofern die Voraussetzungen vorliegen – besonders sensible Daten verarbeiten. Hintergrund ist, dass diesen Organisationen wichtige Funktionen in einer demokratischen Gesellschaft zukommen.

Voraussetzung ist, dass die Organisation politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtet ist. Sie darf zudem keine Gewinnerzielungsabsicht haben.

Organisationen, die darunter fallen sind zum Beispiel:

  • Parteien und ihre Jugend- und Unterorganisationen
  • Staatlich anerkannte Kirchen
  • Andere Religionsgemeinschaften
  • Gewerkschaftliche Organisationen
  • Berufsverbände, die Interessen ihrer abhängig beschäftigten Mitglieder vertreten

Organisationen, die nicht darunter fallen:

  • Selbsthilfegruppen: Hier ist eine Einwilligung der betroffenen Person in die Verarbeitung der besonders sensiblen Daten erforderlich (oder es findet Art. 9 Abs. 2 h) DSGVO Anwendung, wenn die Gruppe von einem Angehörigen eines Gesundheitsberufs geleitet wird)
  • Rechtsanwalts- oder Ärztekammern

Es werden hierbei nur Verarbeitungsvorgänge erfasst, die für die spezifische Ausrichtung der Tendenzorganisation erforderlich sind.

Beispiel Eine Religionsgemeinschaft darf nur die sensiblen Daten verarbeiten, aus denen die religiöse Überzeugung der betroffenen Person hervorgeht. Eine Verarbeitung von Daten, aus denen beispielsweise die politische Einstellung der betroffenen Person erkennbar ist, wäre demnach nicht zulässig.

Die Vorschrift bezieht sich nur auf eigene Mitglieder, ehemalige Mitglieder und Personen, die regelmäßig Kontakt mit Tendenzorganisation unterhalten.

Wichtig Eine Offenlegung von Daten nach außen nur mit ausdrücklicher Einwilligung zulässig.

Neben diesen vorstehend genannten Rechtsgrundlagen gibt es weitere Rechtsgrundlagen für die Verarbeitung besonders sensibler personenbezogener Daten, siehe Art. 9 Abs. 2 DSGVO.

Benennung Datenschutzbeauftragter, Verzeichnis der Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung

In Art. 37 DSGVO wird die Benennung eines Datenschutzbeauftragten geregelt. Es besteht nach dieser Vorschrift eine Pflicht zur Benennung, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

Eine Verarbeitung bezieht sich auf die Kerntätigkeit eines Verantwortlichen, wenn diese seine Haupttätigkeiten und nicht eine Nebentätigkeit betreffen. Demnach würden die Personaldatenverarbeitung oder auch die eigene Buchhaltung nur Unterstützungsprozesse sein, die keine Kerntätigkeit darstellen.

Die Verarbeitungen müssen zudem umfangreich sein, das heißt, das übliche Maß wird bei Weitem überstiegen.

Bei Verarbeitung besonderen Datenkategorien ist zudem zwingend ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Es muss zudem im Falle einer umfangreichen Verarbeitung von personenbezogenen Daten der besonderen Kategorie eine Datenschutz-Folgenabschätzung erfolgen.

Autorin: Cristina Bittner

…oder in verwandten Einträgen

Prev
Next