Die DSK (Datenschutzkonferenz) veröffentlicht ein neues Kurzpapier zu Besondere Kategorien personenbezogener Daten. Das weitere Kurzpapier dient als Orientierungshilfe im nicht-öffentlichen Bereichen und soll als Einstiegshilfe für den praktischen Vollzug der DSGO fungieren.
QUALIFIZIERUNG ALS BESONDERE KATEGORIE PERSONENBEZOGENER DATEN
Wie bisher werden auch künftig besondere Kategorien personenbezogener Daten bestimmt, die eines speziellen Schutzes bedürfen. Zu den bislang im Bundesdatenschutzgesetz genannten Kategorien – Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit (vgl. Art. 4 Nr. 15 DS-GVO, ErwGr. 35) oder Sexualleben – treten in Art. 9 DS-GVO nun auch genetische Angaben sowie biometrische Daten (Art. 4 Nr. 13 DS-GVO, ErwGr. 34; Art. 4 Nr. 14 DS-GVO, ErwGr. 51) zur eindeutigen Identifizierung einer Person. Wurden bisher auch philosophische Überzeugungen als besonders schutzbedürftig klassifiziert, fällt diese Kategorie jetzt unter den Begriff der „weltanschaulichen“ Überzeugungen, ohne dass damit inhaltliche Änderungen verbunden wären.
Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu den in Art. 9 DS-GVO angegebenen Datenkategorien vermitteln (z. B. Einnahme von Medikamenten, körperliche oder geistige Verfassung, regelmäßiger Besuch einer bestimmten Kirche).
VERARBEITUNGSVERBOT MIT AUSNAHMEVORBEHALT
Art. 9 Abs. 1 DS-GVO bestimmt ein grundsätzliches Verbot der Verarbeitung von Daten dieser Kategorien. Allerdings werden in Art. 9 Abs. 2 lit. a bis j DSGVO zugleich umfangreiche Ausnahmen von diesem Grundsatz geregelt, sodass zwar einige Veränderungen im Vergleich zur bisherigen Rechtslage zu beachten sind, die praktische Anwendung der Normen aber nur wenige Anpassungen nach sich ziehen dürfte. Neben der ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DS-GVO) kommen besondere Rechtsvorschriften oder spezielle Umstände im Einzelfall als Rechtfertigung für die Verarbeitung besonders schutzbedürftiger Angaben in Betracht: Das o. g. Verarbeitungsverbot gilt gemäß Art. 9 Abs. 2 daher weiterhin nicht, wenn die Verarbeitung (lit. b bis lit. j)
b) für die Ausübung von Rechten und Pflichten aus dem Arbeits- oder Sozialrecht erforderlich ist. Solche Verarbeitungen dürfen jedoch nur dann stattfinden, wenn sie nach einer Rechts- Besondere Kategorien personenbezogener Daten Stand: 27.03.2018 Seite 2 vorschrift erforderlich sind. Davon umfasst sind auch Kollektivvereinbarungen wie Betriebsvereinbarungen. Die Rechtsvorschriften müssen geeignete Garantien für die Grundrechte und die Interessen der betroffenen Personen vorsehen (s. a. ErwGr. 52);
c) zum Schutz lebenswichtiger Interessen einer Person erforderlich ist und diese körperlich oder rechtlich außerstande ist einzuwilligen;
d) auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung/Vereinigung/Organisation ohne Gewinnerzielungsabsicht erfolgt und sich ausschließlich auf aktuelle oder ehemalige Mitglieder oder auf Personen bezieht, die mit der Stelle regelmäßig Kontakte im Zusammenhang mit deren Tätigkeitszweck unterhalten, und die Daten nicht ohne Einwilligung nach außen weitergegeben werden;
e) Daten betrifft, die die betroffene Person offensichtlich öffentlich gemacht hat;
f) zur Rechtsverfolgung oder für die Aufgabenerfüllung der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist;
g) auf rechtlicher Grundlage aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist;
h) für Zwecke der Gesundheitsvorsorge, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich ist, durch Berufsgeheimnisträger erfolgt und auf einer rechtlichen Grundlage oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes beruht;
i) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, z. B. zur Verhinderung von Epidemien oder zur Gewährleistung der Arzneimittelsicherheit, auf rechtlicher Grundlage erforderlich ist;
j) auf rechtlicher Grundlage für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DS-GVO erforderlich ist.
Von den in Art. 9 Abs. 2 lit. b, g, h, i und j DS-GVO benannten Öffnungsklauseln hat der Bundesgesetzgeber in den §§ 22 Abs. 1, 27 und 28 BDSG-neu in Verbindung mit den jeweiligen konkreten spezialgesetzlichen Regelungen Gebrauch gemacht. § 22 Abs. 2 BDSG-neu enthält darüber hinaus beispielhaft aufgezählte Maßnahmen zur Wahrung der Interessen der betroffenen Personen, die jeden Verantwortlichen und damit jeden, der besondere Kategorien personenbezogener Daten verarbeitet, treffen. Ob und wenn ja wie weit die Regelungen des BDSGneu zur Einschränkung der Betroffenenrechte wegen des bestehenden Anwendungsvorrangs der DSGVO angewendet werden können, bleibt einer Entscheidung im jeweiligen konkreten Einzelfall vorbehalten.
WEITERE ANFORDERUNGEN AN DIE DATENVERARBEITUNG
Zusätzlich zu den speziellen Anforderungen an eine Verarbeitung besonderer Kategorien personenbezogener Daten sollen nach ErwGr. 51 die allgemeinen Grundsätze und andere Bestimmungen der DSGVO, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung gelten. Bei besonders schutzbedürftigen Daten ist die Eingriffsintensität regelmäßig höher, weshalb höhere Anforderungen an die Rechtfertigung des Eingriffs zu stellen sind. Dies hat zur Folge, dass Art. 9 DS-GVO den Art. 6 DS-GVO nicht verdrängt, sondern dessen Voraussetzungen zusätzlich zu denen des Art. 6 DSGVO vorliegen müssen. Automatisierte Entscheidungen, die auf Kategorien besonderer Daten beruhen, sind nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat oder die Verarbeitung auf einer speziellen Rechtsgrundlage erfolgt und aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist (Art. 22 Abs. 4 DS-GVO). Der Bundesgesetzgeber hat in § 37 Abs. 1 Nr. 2 BDSG-neu eine solche Regelung zu Entscheidungen getroffen, die auf der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen beruhen. Soweit die Entscheidung auf der Ver- Besondere Kategorien personenbezogener Daten Stand: 27.03.2018 Seite 3 arbeitung von Gesundheitsdaten beruht, hat der Verantwortliche nach § 37 Abs. 2 BDSG-neu angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Abs. 2 Satz 2 BDSG-neu vorzusehen. Verantwortliche, die besondere Datenkategorien verarbeiten, haben in jedem Fall ein Verzeichnis aller ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten zu führen (Art. 30 Abs. 5 DS-GVO). Im Falle einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten muss regelmäßig eine Datenschutz-Folgenabschätzung durchgeführt werden (Art. 35 Abs. 3 lit. b DS-GVO) und es ist außerdem ein Datenschutzbeauftragter zu benennen, wenn in dieser umfangreichen Verarbeitung die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt (Art. 37 Abs. 1 lit. c DS-GVO). Ausführliche Informationen dazu sind im Kurzpapier „Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern“ enthalten.
ANFORDERUNGEN AN DIE DATENVERARBEITENDEN PERSONEN
Grundsätzlich dürfen unter Beachtung der in Art. 9 Abs. 2 DS-GVO genannten Voraussetzungen alle in Frage kommenden Personen die von Art. 9 Abs. 1 DS-GVO erfassten Daten verarbeiten. Soweit derartige Daten allerdings zu den in Art. 9 Abs. 2 lit. h DSGVO genannten Zwecken (insbesondere Gesundheitsvorsorge und medizinische Versorgung) verarbeitet werden, normiert Art. 9 Abs. 3 DS-GVO spezifische Anforderungen an das Personal. Zwingende Voraussetzung für eine zulässige Verarbeitung ist dabei das Bestehen einer besonderen Geheimhaltungspflicht (Berufsgeheimnis oder Geheimhaltungsvorschrift), der die verarbeitende Person unterliegen muss.