Einen eigenen Teilbereich innerhalb der personenbezogenen Daten bilden „besondere Kategorien personenbezogener Daten“. Ihre Definition geht auf Art. 9 Abs. 1 DSGVO zurück, der letztlich besagt, dass es sich hierbei um Angaben über die: Show
des Betroffenen handelt. Bei einem Missbrauch dieser Daten besteht eine überdurchschnittlich hohe Gefahr für das informationelle Selbstbestimmungsrecht des Betroffenen. Deshalb hat der Gesetzgeber festgelegt, dass die besonderen Kategorien der personenbezogenen Daten auch einen besonderen Schutz genießen müssen. Hinweis zum SprachgebrauchVielen Entscheidern ist bewusst, dass sie mit sensiblen Daten besonders vorsichtig umgehen müssen. „Sensible Daten“ stehen jedoch für einen Begriff aus der Umgangssprache. Wer sich fachlich korrekt ausdrücken möchte, sollte lieber von „besonderen Kategorien personenbezogener Daten“ sprechen. Letztlich stehen beide Ausdrücke für dieselbe Art von Daten (Art. 9 Abs. 1 DSGVO). Sensible Daten – Blick auf die einzelnen KategorienZur besseren Veranschaulichung haben wir die einzelnen Datenkategorien nachfolgend um konkrete Beispiele ergänzt.
Wann dürfen diese Daten verarbeitet werden?Gemäß Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten zunächst einmal untersagt. Die DSGVO sieht jedoch folgende Ausnahmen vor:
Bei der Erhebung, Verarbeitung oder Nutzung der besonderen Kategorien personenbezogener Daten gelten besondere Pflichten, die unter anderem die Berücksichtigung/Anwendung weiterer Gesetze zur Folge haben können. Geht es beispielsweise um Sozialdaten, sind Vorgaben des Sozialgesetzbuchs (SGB) zu berücksichtigen. Geht es um Bewerbungsdaten, sind die Vorgaben des Allgemeinen Gleichbehandlungsgesetz (AGG) zu beachten. Voraussetzungen der EinwilligungWie zuvor aufgezeigt, kann die Verarbeitung besonderer Kategorien personenbezogener Daten je nach Zweck das vorherige Einholen einer ausdrücklichen Einwilligung (eine stillschweigende Handlung ist nicht ausreichend) erfordern. Diesbezüglich sind nicht nur die Voraussetzungen an die Wirksamkeit einer Einwilligung Art. 4 Nr. 11 DSGVO (freie Entscheidung, ausführliche Information, Schriftform und Widerruflichkeit) zu berücksichtigen. Darüber hinaus muss sich der Einwilligungstext auf die besonderen Kategorien personenbezogener Daten beziehen und diese konkret benennen. Besondere Kategorien personenbezogener Daten: Fallstricke in der PraxisBeim Umgang mit besonderen Kategorien personenbezogener Daten lauern mehrere Fallstricke. So kommt es in einigen Unternehmen vor, dass die Datenkategorie nicht korrekt erkannt wird. Ein gutes Beispiel sind Gesundheitsdaten, sie werden keineswegs nur im medizinischen Umfeld erfasst und verarbeitet. Unternehmen erfassen sie, beispielsweise um Krankheitstage von Mitarbeitern zu dokumentieren. Doch bereits diese Art von Erfassung erfordert die Berücksichtigung der besonderen datenschutzrechtlichen Pflichten. Was zählt zu den besonders sensiblen Daten?Gewerkschaftszugehörigkeit; genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden; Gesundheitsdaten; Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.
Was versteht man unter sensiblen personenbezogenen Daten?Sensible Daten sind Informationen, die geschützt werden müssen und für andere ohne ausdrückliche Genehmigung nicht zugänglich sind. Die Daten können in physischer oder elektronischer Form sein, aber in jedem Fall werden sensible Daten als private Informationen oder Daten behandelt.
Welche Daten sind besonders sensible Daten im Sinne des BDSG?Im Sinne der Norm sind dies solche Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Was sind normale personenbezogene Daten?Personenbezogene Daten in der Praxis
Klar zuzuordnen sind der Name, die Telefonnummer sowie Kreditkarten- oder Personalnummern. Aber auch Kontodaten, Kfz-Kennzeichen, das Aussehen, der Gang, die Kundennummer oder die Anschrift zählen zu den personenbezogenen Daten.
|