Inhaltsverzeichnis
Auf den Punkt gebracht: Besondere personenbezogene Daten
- Besondere Kategorien personenbezogener Daten sind noch höher zu schützen, als „normale“ personenbezogene Daten.
- Unter die besonderen Daten fallen zum Beispiel: politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit
Gesundheitsdaten (auch z.B. Medikamenteneinnahme), Sexuelle Orientierung - Grundsätzlich dürfen diese Daten NICHT verarbeitet werden, es sei denn, es liegt ein Erlaubnistatbestand nach Art. 9 vor
- Die Voraussetzungen des Art. 9 (wann dürfen besonders schützenswerte Daten verarbeitet werden) und des Art. 6 DSGVO (wann ist eine Verarbeitung grundsätzlich rechtmäßig) sind bei der Verarbeitung zu beachten.
Das DSK-Papier beschäftigt mit der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Wer darf diese Daten überhaupt verarbeiten? Wer benötigt für die Verarbeitung eine Einwilligung? Dies sind die zentralen Fragen.
Was sind besondere Kategorien personenbezogener Daten?
In der DSGVO werden in Art. 9 folgende Kategorien von Daten genannt, welche besonders schützenswerte sind:
- Angaben über rassische und ethnische Herkunft
- politische Meinung
- religiöse Überzeugungen
- Gewerkschaftszugehörigkeit
- Gesundheitsdaten (auch z.B. Medikamenteneinnahme)
- Sexuelle Orientierung
- genetische Angaben
- biometrische Daten
Es fallen darunter alle Daten, die sich aus den genannten Datenkategorien direkt oder indirekt ergeben.
Sogenannte mittlere Angaben fallen jedoch nicht unter besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Darunter versteht man zum Beispiel:
- bloßer Alkoholkonsum im Gegensatz zu einer Alkoholabhängigkeit
- geographischer Geburtsort gibt keine Auskunft über rassische oder ethnische Herkunft
- einmaliger Besuch einer Kirche/Gebetsstätte lässt keine Rückschlüsse auf die Religionszugehörigkeit ziehen
Fallen Lichtbilder unter biometrische Daten?
Lichtbilder sind als biometrische Daten und dadurch als besonders schützenswert anzusehen, wenn:
- diese mit technischen Mitteln verarbeitet werden
- die Identifizierung oder Authentifizierung dadurch ermöglicht wird
Was bedeutet das Verbot mit Erlaubnisvorbehalt bei besonders schützenswerten Daten?
Grundsätzlich dürfen Daten nach Art. 9 DSGVO nicht verarbeitet werden. Das heißt, die Verarbeitung ist verboten.
Die Datenverarbeitung ist jedoch unter bestimmten Voraussetzungen des Art. 9 Abs. 2 DSGVO erlaubt. Ebenfalls ist die Verarbeitung erlaubt, wenn eine Einwilligung des Betroffenen vorliegt.
Konkreter Erlaubnistatbestand liegt in folgenden Fällen vor:
- Erforderliche Ausübung von Rechten und Pflichten aus dem Arbeits- oder Sozialrecht
- Erforderlicher Schutz lebenswichtiger Interessen einer Person und wenn diese außerstande ist, einzuwilligen
- Auf Grundlage geeigneter Garantien durch eine politische, weltanschauliche, religiöse oder gewerkschaftliche Stiftung/Vereinigung/Organisation ohne Gewinnerzielungsabsicht
- Durch den Betroffenen öffentlich zugänglichgemachte Daten
- Rechtsverfolgung oder Aufgabenerfüllung der Gerichte
- Auf Grund des erforderlichen öffentlichen Interesses oder öffentlichen Interesses des Gesundheitsschutzes
- Zur Gesundheitsvorsorge, Behandlung durch Berufsgeheimnisträger oder Angehörigen Gesundheitsberufs
- Öffentliche Interesse liegende Archivzwecke, wissenschaftliche Forschungszwecke, statistische Zwecke
Anmerkungen der Datenbeschützerin
Wer darf konkret die Daten in Bezug auf die Gesundheitsvorsorge verarbeiten?
- Ärzte
- Apotheker
- Logopäde
- Notfallsanitäter
- Physiotherapeuten
- Psychologen
- Pharmazeutisch-technische Assistenten
- Krankenpfleger
Eine Auflistung über die Gesundheitsberufe ist auf der Webseite des Bundesministeriums für Gesundheit einsehbar.
Wer benötigt eine Einwilligung der Betroffenen?
- Heilpraktiker
- Optiker
- Sanitätshäuser
- Yoga-Lehrer
Das BayLDA nimmt in seinem 8. Tätigkeitsbericht zu dieser Thematik kurz Stellung.
Hinweis der Datenbeschützerin: Aktuell wird seitens der Aufsichtsbehörde Bayern geprüft, in welchem Umfang und welche Arten von Gesundheitsdaten bei Freizeitmaßnahmen von Kindern erhoben werden dürfen.
Was ist bei der Datenverarbeitung besonderer Kategorien personenbezogener Daten zu beachten?
- Die Voraussetzungen des Art. 9 (wann dürfen besonders schützenswerte Daten verarbeitet werden) und des Art. 6 DSGVO (wann ist eine Verarbeitung grundsätzlich rechtmäßig) sind bei der Verarbeitung zu beachten.
- Automatisierte Entscheidungsfindungen sind nur mit Einwilligung des Betroffenen zulässig oder
- aufgrund eines erheblichen öffentlichen Interesses oder
- durch eine spezielle Rechtsgrundlage.
- Der Verantwortliche hat spezielle Maßnahmen zur Wahrung der Interessen der betroffenen Person zu treffen (§ 37 Abs. 2 i.V.m § 22 BDSG-neu)
- Die Verarbeitung muss im Verfahrensverzeichnisses dokumentiert sein.
- Bei umfangreicher Verarbeitung ist regelmäßig eine DSFA durchzuführen.
- Die Bestellung eines Datenschutzbeauftragten ist bei umfangreicher Verarbeitung nötig.
Was müssen die Mitarbeiter bei der Datenverarbeitung beachten?
- Die Verarbeitung durch den Mitarbeiter darf durchgeführt werden, wenn ein Erlaubnistatbestand nach Art. 9 Abs. 2 DSGVO (siehe ausführliche Auflistung weiter oben) erfüllt ist.
- Eine Geheimhaltungspflicht mit dem Mitarbeiter, der die Verarbeitung durchführt, ist zwingende Voraussetzung für die Verarbeitung.
Empfehlung der Datenbeschützerin:
Die Mitarbeiter sollten regelmäßig durch eine Mitarbeiterschulung sensibilisiert werden. Des Weiteren sollten die Vorgaben seitens des Verantwortlichen (z.B. Arbeitsanweisung/Betriebsvereinbarung) und die daraus resultierende Arbeitsweise geprüft werden. Abweichungen von den Vorgaben sind zu dokumentieren und die Mitarbeiter zu sensibilisieren.
Quelle
Hinweis: Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.