Der Begriff „sensible“ Daten oder „höchstsensible“ Daten wird oft in Berichten verwendet. Und dann über Namen und Adressen, Bankinformationen oder Kreditkartendaten bis hin zur politischen Meinung oder Gesundheit alles gemeint. Einiges davon ist definitiv falsch. Namen, Emailadressen, Bankinformationen, ja sogar Kreditkartendaten: Alle nicht sensibel. Doch was genau sind Daten besonderen Kategorien und warum genießen sie einen so hohen Schutz? Wir entschlüsseln die Komplexität und bringen Licht ins Dunkel.
Besondere Datenkategorien gemäß Art. 9 DSGVO
In der Welt des Datenschutzes ist nicht jede Information gleich. Die DSGVO legt strengere Regeln für die Verarbeitung besonderer Kategorien personenbezogener Daten fest, früher wurden diese Daten auch als „sensible“ bezeichnet. Überraschung: Die Verarbeitung von Daten ist grundsätzlich verboten. Außer, man hat eine gute Begründung für die Verarbeitung, die sich auch Rechtsgrundlage nennt. Noch verbotener ist die Verarbeitung „sensibler“ Daten – sie genießen, um Menschen zum Beispiel ganz besonders vor Diskriminierung zu schützen einen besonders hohen Schutz. Was fällt da darunter?
- Gesundheitsdaten: Diese umfassen Informationen über den körperlichen sowie geistigen Gesundheitszustand einer Person, medizinische Diagnosen, Behandlungen und Krankheitsgeschichten. Dieser Begriff wird besonders weit ausgelegt. Selbst eine Krankenstands-Bestätigung ist ein sensibles Datum, auch wenn keine Diagnose darauf zu finden ist.
- Rassische und ethnische Herkunft: Diese umfassen Informationen, die Rückschlüsse auf die Zugehörigkeit zu einer bestimmten Rasse oder Ethnie ermöglichen.
- Politische Meinungen: Hierunter fallen nicht nur Parteimitgliedschaften, sondern auch politische Einstellungen und Tätigkeiten, die einen politischen Bezug haben. Auch die Gewerkschaftszugehörigkeit ist hier einzuordnen.
- Religiöse oder weltanschauliche Überzeugungen: Dies bezieht sich auf die Konfessionszugehörigkeit oder
- Mitgliedschaft in bestimmten Glaubensgemeinschaften sowie ideologische Gesinnungen.
- Genetische und biometrische Daten: Dazu gehören ererbte oder erworbene genetische Informationen sowie biometrische Merkmale wie Fingerabdrücke oder Gesichtserkennungsdaten.
- Informationen über das Sexualleben oder die sexuellen Orientierung: Hierzu zählen Informationen über die sexuelle Ausrichtung, Partnerschaftsstatus und sexuelle Aktivitäten. Die Verarbeitung der Information m/w/d ist nicht sensibel.
Vorsicht! Wenn „normale“ Daten sensibel werden
Sensible Informationen können aus vermeintlich gewöhnlichen Daten abgeleitet werden, was die Verbindung zwischen alltäglichen und sensiblen Datenkategorien verdeutlicht, wie sie vom Europäischen Gerichtshof (EUGH) definiert werden. Selbst unscheinbare Daten können unter das strengere Verarbeitungsverbot fallen, wenn sie indirekte Hinweise auf sensible Informationen ermöglichen.
Ein bedeutender Fall vor dem EuGH illustriert dies, er stellte fest: Im Rahmen der Korruptionsbekämpfung in Litauen wurden Daten von der Behörde veröffentlicht, darunter Angaben zu (Ehe)Partnern, aus denen die sexuelle Orientierung abgeleitet werden konnte. Beispielsweise dann, wenn ein Mann angibt, dass er mit einem Mann verheiratet ist. Das legt nach Ansicht des EuGH die sexuelle Orientierung offen, womit Art. 9 Abs. 1 DSGVO zur Anwendung kommt – selbst wenn die Daten dies selbst nicht (gleich und unmittelbar) offenbaren.
Diese Entscheidung erweitert den Anwendungsbereich der DSGVO erheblich. Ein Foto einer Person mit beispielsweise Kopftuch oder Rollstuhl kann als sensibles Datum betrachtet werden, da daraus Gesundheitsdaten oder religiöse Überzeugungen abgeleitet werden können. Also muss man Vorsicht walten lassen!
Gibt es Möglichkeiten, sensible Daten verarbeiten zu dürfen?
Mit der richtigen Rechtsgrundlage ist auch – wenn überhaupt erforderlich – die Verarbeitung sensibler Daten zu lässig. Für Unternehmer & Unternehmerinnen gilt mit wenigen Ausnahmen Folgendes:
- Einwilligung: Der Betroffene stimmt der Verarbeitung beweisbar zu, gibt also seine Einwilligung in die Verarbeitung.
- Gesetzliche Verpflichtung: Der Gesetzgeber schreibt die Verarbeitung sensibler Daten vor, z. B. müssen Gastronomiebetriebe aufzeichnen, wenn ihre Mitarbeitenden an ansteckenden Krankheiten leiden. Die Verarbeitung einer Krankenstands- oder auch einer Schwangerschaftsbestätigung ist Arbeitgebenden ebenfalls gesetzlich „erlaubt“.
- Vertrag: Jeder Gesundheitsdienstleister muss medizinische Daten verarbeiten, um seinen Vertrag erfüllen zu können, und zwar den Behandlungsvertrag (Krankenhäuser, Ärzte, Physiotherapeuten etc.). Aber auch Versicherungsmakler oder Versicherungen, die Gesundheitsversicherungen anbieten, dürfen die Daten zur Vertragserbringung verarbeiten.
MeineBerater-Tipps
- Bewusstsein schärfen: Stellen Sie sicher, dass Ihr Team über die Bedeutung und den Schutz sensibler Daten ebenfalls informiert ist.
- Einwilligung einholen: Wenn Sie sensible Daten verarbeiten müssen, stellen Sie sicher, dass Sie eine ausdrückliche Einwilligung von den betroffenen Personen einholen – wenn dies nötig ist.
- Sicherheit gewährleisten: Achten Sie gerade bei den sensiblen Daten auf besonders eingeschränkte Zugriffsberechtigungen und hohe Sicherheitsstandards.
- Regelmäßige Schulungen: Nur das regelmäßige Updaten und Auffrischen von Wissen sorgt für die richtige Herangehensweise der Beschäftigten an das Thema Schutz aller, insbesondere sensibler, Daten.