- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Was sind besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung (DSGVO) kennt den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Wie definiert die DSGVO besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung betrachtet personenbezogene Daten als solche besonderer Kategorien, wenn sie besonders sensibel sind und eines besonderen Schutzes bedürfen, weil ihre Verarbeitung erhebliche Risiken für die betroffenen Personen mit sich bringen kann.

Artikel 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) nennt als entsprechende personenbezogene Daten solche,

Welche weiteren Beispiele gibt es?

Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln.

Die Aufsichtsbehörden für den Datenschutz nennen als Beispiele

Was müssen Verantwortliche beachten, wenn sie solche Daten verarbeiten?

Verantwortliche dürfen personenbezogene Daten besonderer Kategorien nicht verarbeiten. Es sei denn, die Verarbeitung ist in den besonderen Fällen, die Artikel 9 DSGVO nennt, zulässig.

Ausnahmen vom allgemeinen Verbot, diese besonderen Kategorien personenbezogener Daten zu verarbeiten, bestehen unter anderem,

Automatisierte Entscheidungen, die auf Kategorien besonderer Daten beruhen, sind nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat oder die Verarbeitung auf einer speziellen Rechtsgrundlage erfolgt und aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.

Verantwortliche, die besondere Datenkategorien verarbeiten, haben in jedem Fall ein Verzeichnis aller ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten [2] zu führen.

Ist die Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich, müssen Verantwortliche eine Datenschutz-Folgenabschätzung [3] durchführen.

Zudem müssen sie einen Datenschutzbeauftragten benennen [4], wenn in dieser umfangreichen Datenverarbeitung die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt.

Was gehört nicht zu den besonderen Kategorien personenbezogener Daten?

Die Erwägungsgründe zur DSGVO nennen auch Fälle, in denen man fälschlich davon ausgehen könnte, dass personenbezogene Daten besonderer Kategorie vorliegen.

So soll die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden.

Denn Lichtbilder sind nur dann von der Definition des Begriffs „biometrische Daten“ erfasst, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die es ermöglichen, eine natürliche Person eindeutig zu identifizieren oder zu authentifizieren.

Die Aufsichtsbehörden nennen zudem Beispiele, wann Angaben zu personenbezogenen Daten besonderer Kategorie nicht automatisch die strengeren Vorgaben für die Verarbeitung mit sich bringen:

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.