Personenbezogene Daten besonderer Kategorien

Personenbezogene Daten besonderer Kategorien

Einer Einrichtung, die sich mit dem Datenschutz beschäftigt bzw. eine Datenschutzorganisation etabliert hat, sind Begriffe der DSGVO nicht unbekannt. In einem unserer früheren Beiträge sind wir auf den Begriff personenbezogene Daten eingegangen. Mit Sicherheit sind auch personenbezogene Daten besonderer Kategorien kein Fremdwort. Dennoch entstehen in Bezug zu diesen Daten Situationen, in denen sich ein Verantwortlicher eventuell darüber unsicher ist, wie er sich datenschutzkonform verhalten muss. Darauf gehen wir näher in diesem Beitrag ein.

Fangen wir beim Begriff „personenbezogene Daten“ an

Personenbezogene Daten sind jegliche Informationen, die sich auf eine natürliche Person (= eines lebenden Menschen – siehe EwG 27) beziehen können. Hierbei reden wir von lebenden Personen . – Die DSGVO umfasst also nicht die personenbezogenen Daten verstorbener Personen. – Dabei ist es gleich, ob es sich um das private oder das berufliche Umfeld handelt. Mehr zu diesem zentralen datenschutzrechtlichen Begriff können Sie gern in unserem Beitrag „Personenbezogene Daten“ nachlesen.

Personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO

Unter personenbezogenen Daten besonderer Kategorien versteht die DSGVO jegliche Informationen

1)    zur rassischen und ethnischen Herkunft,

2)    zu politischen Meinungen,

3)    zu religiösen oder weltanschaulichen Überzeugungen,

4)    zur Gewerkschaftszugehörigkeit sowie zur Verarbeitung

5)    genetischer Daten und

6)    biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person,

7)    Gesundheitsdaten,

8)    Daten zum Sexualleben oder

9)    der sexuellen Orientierung

einer natürlichen Person.

Verarbeitung personenbezogener Daten

Schon bei der Verarbeitung „allgemeiner“ personenbezogener Daten ist zu beachten, dass ein Verbot mit Erlaubnisvorbehalt gilt. – Das heißt, personenbezogene Daten dürfen ausschließlich verarbeitet werden, sofern es dafür eine Rechtsgrundlage gibt. – (Mehr zur Rechtmäßigkeit der Verarbeitung personenbezogener Daten finden Sie hier.) Dies gilt erst recht bei der Verarbeitung personenbezogener Daten besonderer Kategorien. Hier regeln auch Art. 9 Abs. 2 DSGVO und § 22 Abs. 1 BDSG, wann Verantwortliche solche personenbezogenen Daten verarbeiten dürfen bzw. welche Voraussetzungen dafür gegeben sein müssen.

Unterschied personenbezogener Daten besonderer Kategorien zu den “allgemeinen” personenbezogenen Daten

Personenbezogene Daten besonderer Kategorien sind sensible, also besonders schutzbedürftige Daten. Dies folgt u. a. daraus, dass bei der Verarbeitung solcher Daten ein für die Rechte und Freiheiten betroffener Personen weitaus höheres Risiko besteht. Die möglichen Folgen unrechtmäßiger Verarbeitung können schwerwiegender sein als bei der Verarbeitung “allgemeiner” personenbezogener Daten. Demnach müssen Verantwortliche darauf achten, dass sie technische und organisatorische Maßnahmen nach Art. 32 DSGVO  und § 22 Abs. 2 BDSG implementieren, die auch den verarbeiteten personenbezogenen Daten angemessen sind, die Standards zur Datensicherheit bei dieser Verarbeitung sind durch einen Verantwortlichen höher zu setzen. Gesundheitsdaten fallen z. B. in die Schutzklasse 3, für die höhere Schutzmaßnahmen ergriffen werden müssen, beispielsweise durch längere Passwörter, verstärkter Einsatz von Verschlüsselung etc. Des Weiteren müssen sie natürlich die Grundsätze und die Sicherheit der Verarbeitung personenbezogener gewährleisten können.

Ein weitere wesentlicher Unterschied ist bei den engeren und strengeren Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten zu sehen. So kann beispielsweise die Verarbeitung von Gesundheitsdaten, vermutlich einem der praktischen Hauptanwendungsfälle des Art. 9 DSGVO, nicht auf berechtigte Interessen gestützt werden.

Fazit

Verantwortliche müssen die Sicherheit der personenbezogenen Daten, die sie verarbeiten, gewährleisten. Folglich stellen sie dann auch den Datenschutz sicher. Sie agieren also im Einklang mit der DSGVO. Dies kann in vielerlei Sicht von Vorteil sein. Zum einen trägt dies zu einem positiven Unternehmensbild bei – Vertragspartner wissen, dass ihre Daten vertraulich behandelt werden, Beschäftigte vertrauen darauf, dass ihre Daten nicht in unangemessener Weise verarbeitet werden. Möglicherweise kann eine Einrichtung so auch Cyber-Angriffe und demnach Folgeschäden abwehren. Im Übrigen schützt eine Einrichtung so aber auch Unternehmensgeheimnisse – dies kommt, da es sich bei der DSGVO um die Regelung der Verarbeitung personenbezogener Daten handelt, nur selten zur Erwähnung.

Wenn Sie also Unterstützung bei der Implementierung oder Nachbesserung Ihres Datenschutzsystems in Ihrer Einrichtung wünschen, kontaktieren Sie uns. Wir erstellen gern ein unverbindliches Angebot für Sie.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.