Was sind sensible personenbezogene Daten?

Im Datenschutz gibt es zwei Kategorien personenbezogener Daten: Es gibt einerseits die besonderen Kategorien personenbezogener Daten und andererseits sozusagen „normale“ personenbezogene Daten. Was die Datenschutz-Grundverordnung (DS-GVO) etwas sperrig als „besondere Kategorien“ bezeichnet, wird häufig auch „sensible Daten“ genannt.

Für sensible personenbezogene Daten gelten strengere Vorschriften, weil ihre Verarbeitung hohe oder sehr hohe Risiken für die Personen bedeuten kann, auf die sich diese Daten beziehen.

Die Verarbeitung von sensiblen Daten ist deswegen nur unter ganz bestimmten Voraussetzungen erlaubt. Und wenn ein Unternehmen sensible personenbezogene Daten verarbeitet, muss eine Datenschutz-Folgenabschätzung durchgeführt und ein Datenschutzbeauftragter benannt werden.

Die Caladan GmbH hilft Ihnen gerne, mittels eines Risiko-Checks herauszufinden, ob Ihr Unternehmen sensible Daten verarbeitet.

Beispiele für sensible personenbezogene Daten

Zu den besonderen Kategorien personenbezogener Daten zählen folgende Arten von Daten:

• rassische und ethnische Herkunft,
• politische Meinung,
• religiöse oder weltanschauliche Überzeugungen,
• Gewerkschaftszugehörigkeit,
• Gesundheitsdaten,
• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung von Personen und
• Daten zum Sexualleben oder der sexuellen Orientierung.

Dabei ist es wichtig zu beachten, dass auch Angaben, die direkt oder indirekt auf die Rückschlüsse auf die oben genannten Kategorien erlauben, genauso schutzbedürftig sind.

Außerdem zu berücksichtigen ist die Intention hinter der Datenerhebung. Wenn Videoaufnahmen zum Beispiel der Erhebung sensibler Daten dienen, sind diese Aufnahmen ebenfalls sensible Daten.

Was sind keine sensiblen personenbezogenen Daten?

Daten, die nicht sensibel, aber dennoch personenbezogen sind, sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das sind somit alle Daten, die eine betroffene Person direkt oder indirekt betreffen oder beschreiben, wie beispielsweise

• Name,
• E-Mail-Adresse,
• Telefonnummer,
• Steuernummer,
• Kfz-Kennzeichen,
• Zeugnisse oder
• Bankverbindungen etc.

Wann dürfen sensible Daten verarbeitet werden?

Die Datenschutz-Grundverordnung erlaubt die Verarbeitung von besonderen Kategorien personenbezogener Daten nur in bestimmten Fällen. Für Unternehmen sind die folgenden Fälle relevant, in denen sensible Daten verarbeitet werden dürfen:

• bei ausdrücklicher Einwilligung des Betroffenen;
• wenn die betroffene Person die sensiblen Daten selbst veröffentlicht hat, z.B. im Internet;
• Zu Zwecken des Beschäftigungsverhältnisses z. B., innerhalb des Arbeitsrechts für den Sozialschutz der beschäftigten Person;
• Zu Zwecken der Gesundheitsvorsorge von z. B. Mitarbeitern;
• Im Rahmen der Versorgung und Behandlung im Gesundheits- und Sozialbereich;
• für die Durchsetzung von Rechtsansprüchen;
• aus Gründen der öffentlichen Gesundheit z. B. zum Zweck des Schutzes vor übertragbaren Krankheiten sowie die dazugehörige Meldepflicht laut Infektionsschutzgesetz;
• bei der Erbringung von Sozialleistungen;
• für wissenschaftliche Forschungszwecke;
• Im Rahmen rechtmäßiger Tätigkeiten politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichteter Organisationen.

Was heißt besonderer Schutz?

Da die Verarbeitung sensibler Daten ein hohes Risiko für die Betroffenen bedeuten kann, sind Unternehmen, die sensible Daten verarbeiten, gesetzlich verpflichtet, ein hohes Schutzniveau zu gewährleisten. Hierfür müssen vor allem zwei Pflichten erfüllt werden:

1. Zunächst muss ein Datenschutzbeauftragter (DSB) benannt werden.
2. Unter Einbezug des Datenschutzbeauftragten muss dann eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Diese Datenschutz-Folgenabschätzung ist jährlich zu aktualisieren, damit auf neue und veränderte Bedrohungslagen reagiert werden kann.

Im Rahmen der Datenschutz-Folgenabschätzung wird ein Sicherheitskonzept erarbeitet, das durch geeignete Sicherheitsvorkehrungen die möglichen Risiken für die Betroffenen auf ein akzeptables Niveau senkt. Dringend notwendig sind hier zum Beispiel Maßnahmen wie die Verschlüsselung von sensiblen Daten bei deren Verarbeitung und Aufbewahrung, sowie die Schulung von Personal zum richtigen Umgang mit sensiblen Daten.

Nochmal in trocken!

• Art. 9 DS-GVO beschreibt welche Daten zu den Kategorien sensibler Daten zählen, und wann diese verarbeitet werden dürfen.
• Art. 22 BDSG beschreibt weitere zulässige Fälle in denen sensible Daten verarbeitet werden dürfen.
• Der Erwägungsgrund 51 der DS-GVO beinhaltet weiterführende Erklärungen zum besonderen Schutz sensibler Daten.
• Der Erwägungsgrund 52 der DS-GVO beinhaltet weiterführende Erklärungen zu den Ausnahmen vom Verbot der Verarbeitung sensibler Daten.
• Die Erwägungsgründe 53 und 54 der DS-GVO beinhalten weiterführende Erklärungen zur Verarbeitung sensibler Daten im Gesundheits- und Sozialbereich und zu Zwecken der öffentlichen Gesundheit.

Wo erfährt man mehr darüber?

• Die Datenschutzkonferenz (DSK) hat das „Kurzpapier Nr. 17“ herausgegeben, das die besonderen Kategorien personenbezogener Daten und die Anforderungen an die Zulässigkeit ihrer Verarbeitung allgemeinverständlich erklärt.
• Weitere Inhalte lassen sich im „Advice paper on special categories of data (“sensitive data”)“ der Artikel-29-Datenschutzgruppe finden.