Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DS-GVO

Worum geht es?

Die Datenschutz-Grundverordnung (DS-GVO) enthält in Art. 9 Abs. 1 DS-GVO das Verbot der Verarbeitung sensibler Daten, die den Kernbereich einer natürlichen Person betreffen, wenn die Verarbeitung nicht ausnahmsweise nach Art. 9 Abs. 2 DS-GVO erlaubt ist. Ausnahmetatbestände können die ausdrückliche Einwilligung oder die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person sein. Gemäß Art. 9 Abs. 1 DS-GVO fallen persönliche Merkmale wie die rassische und ethnische Herkunft, politische Meinung, die religiösen oder weltanschaulichen Überzeugungen einer Person, sowie deren Gewerkschaftszugehörigkeit oder die Verarbeitung von genetischen oder biometrischen Daten zur Identifizierung einer Person oder seine Gesundheitsdaten oder Daten zum Sexualleben oder sexuelle Orientierung unter das strikte Verarbeitungsverbot. Diese Daten sollen einen zusätzlichen Schutz genießen, da die Verarbeitung solcher Daten ein enormes Risiko für Grundrechte oder Grundfreiheiten einer Person haben kann.

Reichweite des Verbots und die Grenze der ausnahmsweisen zulässigen Verarbeitung

Das der gesamten DS-GVO zugrundeliegende Verbot überhaupt personenbezogene Daten zu verarbeiten (Verbot mit Erlaubnisvorbehalt), gilt nicht nur für die Verarbeitung sensibler Daten, sondern für jede Datenverarbeitung, die direkt oder indirekt einen Rückschluss auf die Identität einer Person zulässt. Dieses generelle Verarbeitungsverbot erfährt in Art. 9 DS-GVO eine Verschärfung. Die DS-GVO legt dabei die o.g. persönlichen Merkmale, die vom Verarbeitungsverbot des Art. 9 Abs. 1 DS-GVO erfasst sind sehr weit aus und zieht enge Grenzen für die Ausnahmetatbestände, nach denen die Verarbeitung unter Berücksichtigung hoher Anforderungen ausnahmsweise zulässig sein soll.

Unter das strikte Verbot fallen auch Hinweise oder Indizien, die nicht explizit in Art. 9 Abs. 1 DS-GVO erwähnt werden, aber mittelbar einen Rückschluss auf ein persönliches Merkmal ermöglichen, das vom Verarbeitungsverbot des Abs. 1 erfasst ist. Beispiele hierfür sind die Hautfarbe einer Person, das Abonnement einer speziell ausgerichteten Zeitung, Teilnahme an Offline- und Online-Petitionen, Teilnahme an einer Demonstration, Fingerabdrücke, Venen- oder Iris- und Stimmerkennung, vgl. Mester in: DSGVO, BDSG Kommentar Taeger/Gabel, 3. Auflage, S. 353.

Daher ist die Verarbeitung von sensiblen Daten nur ausnahmsweise beim Vorliegen der Voraussetzungen des abschließenden Katalogs des Art. 9 Abs. 2 DSG-VO zulässig. Dabei werden die Erlaubnistatbestände des Abs. 2 sehr eng ausgelegt.

Für die Einwilligung nach Art. 9 Abs. 2 Buchst. a als Ausnahmetatbestand für eine ausnahmsweise Verarbeitung von sensiblen Daten  müssen die Voraussetzungen nach Art. 7 DSG-VO, zusätzlich aber auch die nach Art. 9 Abs. 2 DS-GVO vorliegen. Danach muss die Einwilligung nur ausdrücklich und nicht durch schlüssiges Verhalten (konkludent) erteilt werden. Den Verantwortlichen trifft dabei eine erhöhte Informations- und Aufklärungspflicht. Er muss die beabsichtigte Verarbeitung und deren Zweck so erklären, dass über die Eindeutigkeit und Freiwilligkeit der Einwilligung keine Zweifel bestehen. Besonders praxisrelevant ist die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 Buchst. h. zum Zweck der Gesundheitsvorsorge. Das kann die Erkrankung, Genesung, Arbeitsmedizin, Arbeitsfähigkeit von Beschäftigten, darauf gestützte präventive, diagnostische, kurative oder die Nachsorge betreffen. Die Verantwortlichen, die ein Interesse an der Verarbeitung solcher Daten haben, trifft eine erhöhte Aufklärungs- und Informationspflicht. Eine datenschutzkonforme Einwilligungserklärung bei der Verarbeitung von sensiblen Daten muss den erhöhten Anforderungen nach Art. 9 DS-GVO Rechnung tragen.

Ihr Nutzen

Die Umsetzung eines Datenschutzkonzepts, das den engen Grenzen des Verarbeitungsverbots Rechnung trägt und zugleich den Interessen derjenigen, die an der Verarbeitung von sensiblen Daten ein berechtigtes Interesse haben, gerecht wird, stellt die Verantwortlichen rechtlich wie technisch vor hohe Anforderungen.

Bei der Umsetzung einer rechtssicheren und zulässigen Verarbeitung von sensiblen Daten können wir Ihnen helfen praktikable Konzepte auszuarbeiten, die den gesetzlichen Anforderungen gerecht werden. Ebenso können wir Ihnen bei der technischen Umsetzung mit Rat und Tat zur Seite stehen. Eben Datenschutz besser machen!

Verfasser: Abbas Taheri, 14.09.2020

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!