Daten sind schneller als sensibel einzuordnen, als viele denken
Sprechen Sie mit Kollegen, ob man mit sensiblen personenbezogenen Daten arbeitet, werden Sie häufig ziemlich schnell hören, dass dem nicht so sei.
Und Sie ahnen es: Oft wird man mit dieser Einschätzung danebenliegen. Der Grund: Häufig ist nicht so wirklich bekannt, was mit sensiblen Daten, sprich den besonderen Kategorien personenbezogener Daten, gemeint ist.
Schauen Sie mit den Kollegen ins Gesetz, wird deutlich, was alles umfasst ist. Und zwar sind das
- personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
- genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten oder
- Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.
Und hier steckt oftmals der Teufel im Detail. So kann der Name im Zusammenhang mit der Mitgliedschaft in einem Verein für Betroffene einer Krankheit selbst zum personenbezogenen Datum im Sinne von Art. 9 Abs. 1 DSGVO werden.
Auch die biometrische Zutrittskontrolle im Unternehmen muss an den besonderen Vorgaben gemessen werden, weil etwa der Fingerabdruck zur eindeutigen Identifizierung genutzt werden soll.
Sprechen Sie „einfach“
Juristisch sauber müssten Sie immer von „besonderen Kategorien personenbezogener Daten“ sprechen. Das ist aber ziemlich sperrig und für „Nicht-Datenschützer“ kaum im Gedächtnis zu behalten.
Daher: Setzen Sie auf eine einfache Sprache. „Sensible personenbezogene Daten“ verdeutlicht sprachlich viel einfacher, worum es geht. Erklären Sie aber bei Bedarf, dass es sich um Daten im Sinne von Art. 9 Abs. 1 DSGVO handelt.
Verbot mit Erlaubnisvorbehalt
Einfach sensible personenbezogene Daten verarbeiten ist nicht drin. Das liegt am Verbot mit Erlaubnisvorbehalt.
Nach Art. 9 Abs. 1 DSGVO ist das Verarbeiten solcher Daten grundsätzlich verboten. Es ist aber erlaubt, wenn beispielsweise nach Art. 9 Abs. 2 DSGVO ein Ausnahmetatbestand erfüllt ist.
Das kann etwa die Einwilligung des Betroffenen sein. Außerdem ist wichtig: Ausnahmetatbestände kann es auch in anderen Gesetzen geben.
Unter Datenschutzaspekten besonders relevant sind die Festlegungen des § 22 Bundesdatenschutzgesetz (BDSG).
Danach gibt es hier in Deutschland spezifische für öffentliche und nicht öffentliche Stellen (z. B. Unternehmen, Vereine) geltende Ausnahmen.
Auch bei Beschäftigten gelten besondere Rahmenbedingungen
Sollen etwa sensible Daten zu Beschäftigten verarbeitet werden, z. B. für eine biometrische Zutrittskontrolle, ist es unerlässlich, dass Sie ein Auge auf die deutschen Festlegungen zum Beschäftigtendatenschutz haben.
So finden Sie in § 26 Abs. 3 und 4 BDSG die Bedingungen, unter denen eine Verarbeitung sensibler Daten von Beschäftigten zulässig sein kann.
So kann sich die Erlaubnis z. B. auch aus einer Betriebsvereinbarung ergeben.
Betrachten Sie nicht nur die sensiblen Daten
Meist ist es nicht so, dass nur sensible Daten verarbeitet werden. Vielmehr geht es in erster Linie um „normale“ personenbezogene Daten. Für die „normalen“ Daten bedarf es ebenfalls einer Rechtsgrundlage, die sich z. B. aus Art. 6 Abs. 1 Satz 1 DSGVO ergeben kann.
Im Hinblick auf die sensiblen Daten bedarf es dann ggf. eines weiteren Erlaubnistatbestands, etwa nach Art. 9 Abs. 2 DSGVO oder § 22 BDSG.
Besonderer Schutz ist unerlässlich
Sensible personenbezogene Daten sind schon allein deswegen besonders zu schützen, weil hier meist ein erheblich höheres Missbrauchs-, Rufschädigungs- oder Schadensrisiko für Betroffene besteht, wenn sie in falsche Hände geraten.
Dies muss bei der Auswahl der technischen und organisatorischen Maßnahmen unbedingt berücksichtigt werden.
Zudem: Auch die spezifischen deutschen Regelungen dürfen Sie nicht übersehen. Stützt man eine Verarbeitung auf die Ausnahmetatbestände des § 22 Abs. 1 BDSG, müssen spezifischere Schutzmaßnahmen umgesetzt werden (§ 22 Abs. 2 BDSG).
Neben den sich aus Art. 32 DSGVO ergebenden risikoangemessenen Schutzmaßnahmen muss beispielsweise eine Protokollierung vorgenommen werden.
Auch sind die an der Verarbeitung Beteiligten zu sensibilisieren. Ferner müssen die gewählten Schutzmaßnahmen regelmäßig überprüft werden.
Übrigens: Auf die besonderen Vorgaben zum Schutz der sensiblen Daten verweist auch § 26 Abs. 3 Satz 3 BDSG.
Insofern sind entsprechende Schutzmaßnahmen auch bei der Verarbeitung sensibler Daten im Beschäftigungsverhältnis vorzusehen.
Zwar kann mit einer Betriebsvereinbarung die nötige Rechtsgrundlage geschaffen werden. Dadurch darf das Schutzniveau der DSGVO nicht unterschritten werden.
