Die Verarbeitung besonders sensibler Daten nach der Datenschutz-Grundverordnung
Das Datenschutzrecht behandelt besonders sensible Daten in vielen Punkten anders als „gewöhnliche“ Daten mit einem Personenbezug. Dies ist eine Ausprägung des risikobasierten Ansatzes der DSGVO. Relevant wird dies gerade vor dem Hintergrund, dass sehr viele Datenkategorien jedenfalls indirekt sensible Informationen beinhalten können. Verantwortliche sehen sich insbesondere vor der Herausforderung, unbeabsichtigte Datenverarbeitungen zu vermeiden.
Relevanz der Einstufung als besondere Kategorie
Nach ErwGr 51 DSGVO verdienen „Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, […] einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können.“
Zentrale Auswirkungen hat die Einstufung als sog. „besondere Datenkategorie“ auf die Rechtmäßigkeit der Datenverarbeitungen. Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung im Einzelnen aufgeführter Daten besonders rechtfertigungsbedürftig. Dabei sind die Ausnahmen nach Art. 9 Abs. 2 DSGVO als zusätzliche Anforderungen an eine rechtmäßige Datenverarbeitung zu sehen. Darüber hinaus muss stets auch eine Rechtfertigung aus dem „gewöhnlichen“ Katalog des Art. 6 Abs. 1 DSGVO einschlägig sein (s. ErwGr 51 DSGVO).
Daneben wirken sich einbezogene besondere Kategorien personenbezogener Daten auch auf andere Anforderungen und Pflichten innerhalb der DSGVO aus, beispielhaft folgende:
- Art. 6 Abs. 4 lit. c (verschärfte Anforderungen an eine Zweckbindung)
- Art. 22 Abs. 4 (verschärfte Anforderungen an eine automatisierte Einzelfallentscheidung)
- Art. 30 Abs. 5 (Rückausnahme zur Pflicht zum Führen eines Verarbeitungsverzeichnisses)
- Art. 32 Abs. 1, Abs. 2 (nicht explizit erwähnt, aber: erforderliche Maßnahmen sind abhängig von der „Schwere des Risikos“)
- Art. 35 Abs. 3 lit. b (Pflicht zur Durchführung einer Datenschutzfolgenabschätzung)
- Art. 37 Abs. 1 lit. c (Pflicht zur Benennung eines Datenschutzbeauftragten).
Einbezogene besondere Kategorien personenbezogener Daten können zudem zu einem erhöhten Bußgeld führen (Art. 83 Abs. 2 lit. g DSGVO).
Umfasste Datenkategorien
Art. 9 Abs. 1 DSGVO zählt abschließend Datenkategorien auf, die einem solchen besonderen Schutz unterliegen. Falls Daten in anderer Weise sensibler Natur sind, kann dies gleichwohl Auswirkungen haben (etwa bei der Angemessenheit bestimmter Sicherungsmaßnahmen oder der Durchführung einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO). Bei Daten mit strafrechtlichem Bezug sind zudem die besonderen Anforderungen des Art. 10 DSGVO zu beachten. Gesondert unter Art. 9 DSGVO geschützt sind im Einzelnen folgende Datenkategorien:
- Daten, aus denen die rassische und ethnische Herkunft hervorgehen
- Daten, aus denen politische Meinungen hervorgehen
- Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen
- Daten, aus denen eine Gewerkschaftszugehörigkeit hervorgeht
- Genetische Daten
- Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
Relevanz des Verarbeitungskontexts
Interessant an der gesetzlichen Konstruktion ist, dass es hinsichtlich der ersten vier Kategorien ausreicht, dass diese Informationen aus den Daten „hervorgehen“, wohingegen die übrigen Datenkategorien eine solche weite Auffassung nicht voraussetzen. Dies kann einen wesentlichen Unterscheid machen, da für das „Hervorgehen“ ein indirekterer Bezug ausreichen kann, ohne dass diese Informationen unmittelbar offen liegen würden oder diese zielgerichtet auswertet werden müssten.
Relativiert wird dies, betrachtet man die Definitionen zu „Genetischen Daten“, „Biometrischen Daten“ und „Gesundheitsdaten“ aus Art. 4 Nr. 13-15 DSGVO. Jedenfalls diejenigen zu genetischen Daten und Gesundheitsdaten deuten an, dass es auch hier um indirekte Informationen geht. Hinsichtlich der Definition der „biometrischen Daten“ scheint dies weniger eindeutig, zumal Art. 9 Abs. 1 selbst von biometrischen Daten „zur eindeutigen Identifizierung einer natürlichen Person“ spricht, wodurch deutlich wird, dass es nur um zielgerichtete Auswertungen geht.
Daraus könnte man entnehmen, dass hinsichtlich der biometrischen Daten und Daten zum Sexualleben ein direkter Bezug und eine zweckgebundene Auswertung erforderlich sind, hinsichtlich der übrigen Datenkategorien jedoch auch indirekte Informationen ausreichen.
Im Hinblick auf letztere könnte ein solches Verständnis jedoch zu einer uferlosen Anwendbarkeit dieser besonderen Anforderungen führen. Beispielsweise enthalten Bildaufnahmen von Menschen diverse Informationen, die auf besondere Datenkategorien schließen lassen können. Es liegt auf der Hand, dass nicht jede Ablichtung eines Menschen dazu führen kann, dass beispielsweise die Vertragsbeziehung als Rechtfertigung entfällt.
Es sollten daher grundsätzlich nur solche Datenverarbeitungen als unter Art. 9 Abs. 1 fallend angesehen werden, die mit dem Ziel der Auswertung oder sonstigen Nutzung speziell der besonders sensiblen Informationen erfolgen oder deren Sensitivität sich jedenfalls auch aus dem Verarbeitungskontext ergibt. Dies widerspricht zwar streng genommen dem recht starren Wortlaut des Art. 9 Abs. 1. Es entspricht jedoch dem Sinn der Norm, Diskriminierungen zu vermeiden.
Relevant bei der Entscheidung, ob der Anwendungsbereich des Art. 9 Abs. 1 DSGVO eröffnet ist oder nicht, sind beispielsweise folgende grobe Fallgruppen:
- Eine besonders sensible Information hat nur randständige Bedeutung und fällt lediglich bei Gelegenheit der Verarbeitung an, ohne dass es auf sie ankäme. Beispiel: Vertraglich geschuldete Bildbearbeitung einer Fotografie, auf der eine Person erkennbar ist, die ein Kreuz/ ein Kopftuch/ eine Kippa trägt; automatisiertes Scannen von Kontobewegungen/Rechnungen, auf denen gelegentlich Arztrechnungen/Beiträge an politische Parteien etc. erkennbar sein können, auf eine bestimmte (andere) Information.
- Eine Information, welche mittelbar sensible Daten enthalten kann, soll zielgerichtet verwendet werden, wobei es nicht auf die Nutzung der mittelbaren Information ankommt. Beispiel: Eine Airline nimmt Bestellungen zu glutenfreiem/ koscherem Essen entgegen. Daraus kann (muss aber nicht) ein bestimmter Gesundheitszustand oder eine Religionszugehörigkeit hervorgehen. Hierauf kommt es der Airline jedoch nicht an, da diese ausschließlich bestelltes Essen liefern möchte.
- Eine Information, welche unmittelbar sensible Informationen enthält, soll als solche genutzt werden. Beispiel: Eine Airline/ ein Flughafenbetreiber stellt Einstiegshilfe für Passagiere mit beeinträchtigter Mobilität auf deren Anfrage bereit; ein Anbieter von Treppenlift-Systemen durchsucht Datenbanken mit Einschränkungen zur Mobilität, um Direktwerbung zu betreiben.
Welche dieser Fallgruppen dem Verbot des Art. 9 Abs. 1 DSGVO unterfallen und welche nicht, muss auch anhand der Umstände des Einzelfalls geprüft werden. Fallgruppe 3 wäre insofern jedoch ungleich relevanter als die ersten beiden Fallgruppen.
Ausnahmen vom Verarbeitungsverbot
Art. 9 Abs. 2 DSGVO umfasst einen Katalog mit Ausnahmen vom Verarbeitungsverbot (teilweise i.V.m. §§ 22 und 27 BDSG). Von großer Relevanz ist dabei insbesondere die Einwilligung aus Art. 9 Abs. 2 lit. a DSGVO, die „ausdrücklich“ erfolgen muss. Nicht ausreichend sind damit konkludente Einwilligungen. Damit der „Warncharakter“ dieser besonders gravierenden Datenverarbeitung deutlich wird, sollte eine solche Einwilligung zudem die umfassten sensiblen Datenkategorien gesondert benennen und dabei idealerweise auch auf die besondere Gefahrenlage aufmerksam machen.
Da die Rechtfertigungsmöglichkeiten nach Art. 9 Abs. 2 DSGVO kein Äquivalent zu Art. 6 Abs. 1 lit. b (Vertragsanbahnung oder -erfüllung) oder lit. f DSGVO (Interessenabwägung) auflisten, ist von umso größerer Bedeutung, die initiale Frage sorgsam zu beantworten, ob überhaupt besondere Kategorien personenbezogener Daten verarbeitet werden oder nicht
Sie möchten noch mehr zu diesem Thema erfahren?
Treffen Sie Dr. Till Gerhardt auf den hybriden Datenschutztagen mit dem Vortrag: „Aktuelle Herausforderungen bei der Verarbeitung sensibler Daten“
Zum Referenten:
Dr. Till Gerhardt
Dr. Till Gerhardt hat an der Universität Hamburg im Europäischen Privatrecht promoviert. Nach seinem Referendariat in Hamburg, Berlin und Madrid arbeitete er zunächst als Rechtsanwalt bei der Kanzlei Hogan Lovells. Seit April 2017 ist er im Datenschutz-Team von Flemming Moos und Jens Schefzig am Hamburger Standort von Osborne Clarke als Rechtsanwalt tätig.