Gratis
5. April 2018 - Datenschutz-Aufsichtsbehörden

Kurzpapier zu besonderen Kategorien personenbezogener Daten

Drucken

Die Europäische Datenschutz-Grundverordnung bewertet einige Daten, etwa Gesundheitsdaten, als besonders schützenswerte personenbezogene Informationen. Ein neues Kurzpapier der Datenschutz-Aufsichtsbehörden schafft dazu jetzt mehr Klarheit.

Gesundheitsdaten gehören zu den besonders schützenswerten personenbezogenen Daten Gesundheitsdaten gehören zu den besonders schützenswerten personenbezogenen Daten (Bild: Prykhodov / iStock / Thinkstock)

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder hat ein neues Kurzpapier veröffentlicht.

Die Kurzpapiere wenden sich an nicht-öffentliche Stellen und zeigen auf, wie Verantwortliche nach Auffassung der DSK die Datenschutz-Grundverordnung (DSGVO) anwenden sollten.

Besonders schützenswerte Daten

Das bisherige Bundesdatenschutzgesetz (BDSG-alt) definiert als besonders schützenswerte personenbezogene Informationen alle Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Diese Kategorien finden sich nun auch in Art. 9 DSGVO. Hinzu kommen genetische Angaben sowie biometrische Daten zur eindeutigen Identifizierung einer Person.

Ein besonderer Schutz ist deswegen für alle Daten notwendig, die direkt oder indirekt Informationen zu diesen Kategorien liefern.

Höhere Anforderungen an die Erlaubnis

Verarbeitet ein Unternehmen besonders schutzwürdige Daten, stellt das einen intensiveren Eingriff in die Rechte der betroffenen Personen dar. Deswegen gelten hier höhere Anforderungen an die Rechtfertigung für einen solchen Eingriff.

So dürfen automatisierte Entscheidungen, die auf Informationen aus den genannten Kategorien beruhen, nur dann erfolgen, wenn die betroffene Person ausdrücklich eingewilligt hat oder die Verarbeitung auf einer speziellen Rechtsgrundlage erfolgt.

Verarbeitungsverzeichnis und Datenschutz-Folgenabschätzung nötig

Verantwortliche, die besondere Kategorien personenbezogener Daten verarbeiten, müssen auf jeden Fall ein Verzeichnis der Verarbeitungstätigkeiten führen. Außerdem kann die Durchführung einer regelmäßigen Datenschutz-Folgenabschätzung notwendig sein.

Sofern die Kerntätigkeit der verantwortlichen Stelle in der Verarbeitung von Informationen aus besonders schutzbedürftigen Kategorien liegt, ist die Benennung eines Datenschutzbeauftragten zwingend erforderlich, so der Hinweis im Kurzpapier.

Außerdem beschreibt die DSK ausführlich die Ausnahmen vom Verarbeitungsverbot solcher Informationen. Dazu gehören

  • besondere Rechtsvorschriften,
  • Informationen, die der Betroffene selbst öffentlich gemacht hat, aber auch
  • berechtigtes öffentliches Interesse, etwa im Zusammenhang mit Rechtsverfolgung.

Die Verfasser benennen in dem Kurzpapier auch stets die zugrundeliegenden Rechtsvorschriften. So kann der Leser sich rasch orientieren und im Gesetzestext nachlesen.

Das Kurzpapier können Sie sich als PDF-Datei kostenlos herunterladen.

Stephan Lamprecht