Was sind sensible (personenbezogene) Daten?
Was sensible Daten sind, steht in Artikel 9 der Datenschutzgrundverordnung (DSGVO). Kurz gesagt: Sensible personenbezogene Daten oder „Besondere Kategorien personenbezogener Daten“, wie die Überschrift von Artikel 9 DSGVO lautet, sind besonders schützenswerte, da in die Intimsphäre von Menschen eingreifende personenbezogene Daten, die nur unter sehr strengen Voraussetzungen verarbeitet werden dürfen. Es handelt sich daher um eine besondere Form personenbezogener Daten.
In Artikel 9 Absatz 1 DSGVO heißt es:
„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“
Die DSGVO definiert sensible Daten also dadurch, dass die Kategorien solcher besonders schützenswerter Daten aufgezählt werden. Gehören personenbezogene Daten also zu den aufgezählten Kategorien, dann handelt es sich um sensible Daten nach DSGVO bzw. um sensitive Daten.
Es gibt also keinen Unterschied zwischen personenbezogenen Daten und sensiblen Daten, Vielmehr sind sensible Daten eben solche personenbezogene Daten, die den genannten Kategorien zuzuordnen sind. Jetzt dürfte klar sein, weshalb die DSGVO von „besonderen Kategorien personenbezogener Daten“ spricht.
Und warum verarbeitet nahezu jedes Unternehmen auch sensible Daten?
Da auch Gesundheitsdaten und Daten über die religiösen Überzeugungen von Personen zu den sensiblen Daten gehören wird klar, weshalb jedes Unternehmen, das Beschäftigte hat, auch sensible Daten verarbeitet. Denn im arbeitsrechtlichen Kontext werden über die Krankmeldungen und Fehlzeiten, sowie über die Abführung der Kirchensteuer zwangsläufig solche besonderen Kategorien von Daten im Unternehmen verarbeitet.
Welche Kategorien an sensiblen Daten gibt es?
Zum besseren Verständnis sollen neben den Kategorien der sensiblen Daten auch Beispiele für solche sensiblen Daten genannt werden:
Besonders sensible Daten bzw. sensible Informationen sind:
Daten über die rassische und ethnische Herkunft
Daten, die eine bestimmte Person in Verbindung bringen, mit ihrer Herkunft in Bezug auf die Rasse oder die Ethnie, aus der sie oder deren Vorfahren stammen.
(BEISPIELE: Germanische, romanische, keltische, türkische, arabische, afrikanische, indianische, ostasiatische, ozeanische etc. Rasse oder Ethnie).
Daten über politische Meinungen
Daten, die Auskunft darüber geben können, welche Partei eine Person wählt bzw. welcher politischen Auffassung sie anhängt.
(BEISPIELE: Rechtskonservative, linksradikale, gemäßigte etc. politische Einstellung etc.).
Daten über religiöse oder weltanschauliche Überzeugungen
Daten, die die Religionszugehörigkeit, den Glauben, die Zugehörigkeit zu einer Glaubensgemeinschaft, die Eigenschaft als Nichtgläubiger etc. betreffen.
(BEISPIELE: Protestantische, katholische, muslimische Religionszugehörigkeit, Eigenschaft als Agnostiker, Atheist, Mitgliedschaft in einer Sekte etc.).
Daten über die Gewerkschaftszugehörigkeit
Daten, die erkennen lassen, ob eine Person in einer Gewerkschaft ist.
(BEISPIELE: Zugehörigkeit zu verdi, IG Metall etc.).
Genetische Daten
Daten, die Auskunft über die ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person geben.
(BEISPIELE: Daten, die aus der Analyse einer biologischen Probe der betreffenden natürlichen Person, insbesondere einer Chromosomen-, Desoxyribonukleinsäure- (DNS) oder Ribonukleinsäure- (RNS)-Analyse o.ä. gewonnen werden).
Biometrische Daten
Biometrische Daten sind ein Prozess, der menschliche Merkmale durch das Scannen physischer oder verhaltensbezogener Merkmale identifiziert oder erkennt.
(BEISPIELE: Fingerabdrücke, Gesichtsscans, Stimmerkennung, Iris-Scans, Handabdrücke, Handgeometrie etc.).
Gesundheitsdaten
Zu den personenbezogenen Gesundheitsdaten zählen alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.
(BEISPIELE: Daten aus Laboranalysen, wie genetische Tests, Blutwerte, Daten aus Therapien, wie Medikamente, Nebenwirkungen, Daten zum gesundheitlichen Zustand, wie Krankheiten, Symptome).
Daten zum Sexualleben oder der sexuellen Orientierung
Informationen dazu, auf welches Geschlecht oder auf welche Geschlechter eine Person steht, ob sie sich zum Beispiel zu Frauen, zu Männern, zu mehreren, zu allen oder auch zu keinem Geschlecht hingezogen fühlt.
(BEISPIELE: Informationen über Hetero-, Bi-, oder Homosexualität).
Diese besonderen Kategorien von personenbezogenen Daten werden also vom Gesetzgeber als hochsensible Daten angesehen, die eigentlich gar nicht (Art. 9 Abs. 1 DSGVO) und wenn, dann nur unter ganz engen Voraussetzungen (Art. 9 Abs. 2 DSGVO) verarbeitet werden dürfen.
Wie lauten die Vorschriften im Umgang mit sensiblen Daten?
Die Verarbeitung von sensiblen Daten ist gemäß Artikel 9 Absatz 1 DSGVO vom Recht grundsätzlich verboten. Ausnahmen von diesem Verbot nennt Artikel 9 Absatz 2 DSGVO.
Demnach gilt das Verarbeitungsverbot in bestimmten, eng begrenzten Fällen nicht. Insgesamt 10 Fälle werden genannt, in denen das Verarbeitungsverbot nicht besteht.
So dürfen beispielsweise sensible personenbezogene Daten dann verarbeitet werden, wenn die betroffene Person in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat.
Auch zur Ausübung der Rechte aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes darf der Verantwortliche solche Daten verarbeiten, genauso, wie wenn die Verarbeitung zum Schutz lebenswichtiger Interessen erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
Unter anderem dürfen sensible Daten auch dann verarbeitet werden, wenn die Verarbeitung sich auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich selbst öffentlich gemacht hat.
Weitere Fälle können dem Artikel 9 Absatz 2 DSGVO entnommen werden.
Grundsätzlich sollten Sie jedoch nicht ohne datenschutzrechtlichen Rat davon ausgehen, dass ein solcher Ausnahmefall konkret bei Ihnen vorliegt. Denn die Folgen, wenn sich die Annahme einer ausnahmsweise bestehenden Verarbeitungsmöglichkeit als falsch herausstellen sollte, sind nicht unerheblich.
Sensible Daten sicher zu versenden ist eine technische Herausforderung. Denn Sie müssen davon ausgehen, dass eine unverschlüsselte Übertragung solcher Daten in der Regel unzulässig ist. Bei sensiblen Daten ist die Weitergabe grundsätzlich verboten. Prüfen Sie also vorab, auf welchem sicheren Übertragungsweg ein Transfer solcher Daten möglich ist. Letztlich muss die Möglichkeit der Kenntnisnahme durch eine unbefugte Person ausgeschlossen sein. Natürlich muss auch und gerade der Datentransfer rechtmäßig (Rechtsgrundlage) und der Empfänger der Daten berechtigt zum Empfang sein.
Demgemäß müssen sensible Daten auch so gespeichert werden, dass nach dem Stand der Technik und allen vernünftigen Erwartungen eine Kenntnisnahme durch unbefugte Personen ausgeschlossen werden kann.
Im Zweifel lassen Sie sich zur rechtmäßigen Verarbeitung besonderer Kategorien personenbezogener Daten und zum Umgang mit solchen sensibler Daten durch uns beraten.
Nehmen Sie jederzeit gerne Kontakt mit uns auf.
