Worum geht es?
Seit Mai 2018 ist die Europäische Verordnung 2016/679, bekannt als Datenschutz-Grundverordnung (DS-GVO), anwendbar. Die DS-GVO regelt den Umgang mit personenbezogenen Daten und besonders schützenswerten personenbezogenen Daten.
Definition personenbezogene Daten
Die DS-GVO definiert personenbezogene Daten (p.b.D.) als „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen“. Eine Person ist durch den Namen, eines Geburtsdatums und einer Adresse identifizierbar. Diese Informationen beziehen sich auf eine klar identifizierte Person.
Besonderes Augenmerk ist auf die die Identifizierbarkeit gelegt worden. Werden genügend feingranulare Informationen zu einer Person gesammelt, ist diese früher oder später immer identifizierbar. Ein Beispiel für die Identifizierbarkeit ist die IP-Adresse, welche in Computernetzwerken wie dem Internet verwendet wird, um Daten und Nachrichten zwischen Kommunikationspartnern auszutauschen. Grundsätzlich können die Kommunikationspartner nur anhand der IP-Adresse allein keinen Personenbezug herstellen. Sie sind nicht in der Lage, die IP-Adresse einer natürlichen Person zuzuordnen. Anders verhält sich der Sachverhalt in Bezug auf den Internetprovider. Dieser verfügt als Vertragspartner über die Informationen zu der konkreten Person. In Zusammenspiel mit den Protokollierungen, die unter anderem die IP-Adresse umfassen, können Provider demnach den Personenbezug herstellen.
Neben „gewöhnlichen“ personenbezogenen Daten kennt die DS-GVO auch besonders schützenswerte Daten.
Um welche Datenarten handelt es sich bei besonders schützenswerten Daten?
In Art. 9 DS-GVO sind besondere Kategorien von personenbezogenen Daten formuliert. Bei der Verarbeitung dieser Daten sind besondere Voraussetzungen zu erfüllen. Folgende Datenarten gehören zu den besonders schützenswerten Daten:
- Rassische und ethnische Herkunft
- Religiöse oder weltanschauliche Äußerungen*
- Gewerkschaftszugehörigkeit
- Genetische Daten wie DNA oder RNS
- Biometrische Daten (Irisprofil, Fingerabdrücke, Gesichtsbild, etc.)
- Gesundheitsdaten (Krankmeldungen, Patientenakten, etc.)
- Daten zum Sexualleben wie Schwangerschaft
- Daten zur sexuellen Orientierung
* Für Einrichtungen, die dem DSG-EKD unterliegen gilt: ausgenommen sind Angaben über die Zugehörigkeit zu einer Kirche oder einer Religions- oder Weltanschauungsgemeinschaft.
Bei der Verarbeitung dieser Kategorien von Daten sind andere Rechtsgrundlagen zu bemühen und die Sicherheit der Verarbeitung ist durch geeignete technische und organisatorische Maßnahmen der Sensibilität der Daten anzupassen. Das Team der ENSECUR berät Sie gern bei der Umsetzung.
Verfasser: Steven Bösel, 08.06.2020
Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!