Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO
Datenverarbeitungen sind nur dann rechtmäßig, wenn diese auf einer geeigneten Rechtsgrundlage beruhen. In Teil 1 dieser Blogbeitragsreihe haben wir bereits die Rechtsgrundlagen aus Artikel 6 DS-GVO beleuchtet. Art. 6 der Datenschutz-Grundverordnung (DS-GVO) definiert dabei die zentralen und allgemeinen Rechtsgrundlagen, die für viele Datenverarbeitungsvorgänge Anwendung finden. Darüber hinaus enthält die DS-GVO eine weitere spezielle Erlaubnisnorm, welche die Rechtmäßigkeit der Verarbeitung von besonders sensiblen personenbezogenen Daten regelt. Besonders sensible Daten sind besonders schützenwert und sind in Absatz 1 des Art. 9 definiert:
- Daten zur rassischen oder ethnischen Herkunft
- Daten zu politischen Meinungen
- Daten zu religiösen oder weltanschaulichen Überzeugungen
- Daten zur Gewerkschaftszugehörigkeit
- Genetische Daten
- Biometrische Daten zur eindeutigen Identifizierung
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Ausnahmetatbestände für die Verarbeitung besonderer Kategorien personenbezogener Daten
Vorneweg ist zu erwähnen, dass Art. 9 keine gesonderten, echten Rechtsgrundlagen aufführt, die anstelle der allgemeinen Rechtsgrundlagen aus Art. 6 Anwendung finden. Vielmehr stehen die Normen aus Art. 9 neben den allgemeinen Legitimationsgrundlagen.
Da die oben aufgeführten Daten aber einen erhöhten Schutzbedarf aufweisen, hat dies den Verordnungsgeber dazu veranlasst, gesonderte Ausnahmentatbestände zu definieren, die in Verbindung mit Art. 6 die Verarbeitung dieser Daten legitimieren können. Diese Ausnahmetatbestände sind in Absatz 2 des Art. 9 DS-GVO aufgeführt und erlauben die Verarbeitung der besonderen Kategorien personenbezogener Daten nur unter engen Voraussetzungen. Ist keine der Ausnahmetatbestände einschlägig, ist die Datenverarbeitung der oben aufgeführten Datenkategorien verboten. Im Folgenden werden die zehn Legitimationsgrundlagen näher beleuchtet.
1. Einwilligung (lit. a)
Die erstgenannte Legitimationsgrundlage ist, analog den allgemeinen Rechtsgrundlagen in Art. 6 DS-GVO, die Einwilligung. Allerdings ist bei der Verarbeitung von besonders sensiblen Daten zusätzlich zu berücksichtigen, dass die Einwilligung „ausdrücklich“ erfolgen muss. Obwohl die Anforderungen an Einwilligungen grundsätzlich schon hoch sind und eine eindeutige Willensbekundung erfordern, werden diese hier also nochmals verschärft.
Hieraus lässt sich ableiten, dass eine konkludente oder stillschweigende Einwilligung, die mangels Nachweisbarkeit schon bei der Verarbeitung nicht sensibler Daten nicht optimal ist, bei der Verarbeitung sensibler Daten in jedem Fall nicht ausreicht. Die Verschärfung der Anforderungen verdeutlicht zudem, dass das Informationsbedürfnis über Datenverarbeitungsvorgänge besonders hoch ist. Auf die transparente Kommunikation der Verarbeitungszwecke sollte bei der Erstellung von Einwilligungserklärungen also ein besonderes Augenmerk gelegt werden. Es ist zudem empfehlenswert, Einwilligungen in die Verarbeitung besonders sensitiver Daten optisch deutlich hervorzuheben, z.B. durch Umrahmung mit einem Kasten oder Fettdruck, um den Anforderungen umfassend gerecht zu werden.
2. Arbeitsrecht, Recht der sozialen Sicherheit, Sozialschutz (lit. b)
Dieser Erlaubnistatbestand findet nicht als einzelne Norm Anwendung. Die Rechtmäßigkeit der Verarbeitung auf Basis dieser Legitimationsnorm ergibt sich immer nur in Verbindung mit weiteren Rechten oder Pflichten. Diese ergeben sich z.B. aus der unionrechtlichen oder nationalen Gesetzgebung zum Arbeits- oder Sozialrecht oder auch aus Kollektivvereinbarungen wie Tarifverträgen oder Betriebsvereinbarungen. Die Norm findet zum Beispiel im Arbeitsverhältnis bei der Verarbeitung von Daten zur Gewerkschaftszugehörigkeit für die Lohnabrechnung oder bei der gesetzlich vorgeschriebenen Durchführung des betrieblichen Wiedereingliederungsmanagements, bei der Gesundheitsdaten verarbeitet werden, Anwendung.
3. Schutz lebenswichtiger Interessen (lit. c)
Zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person ist die Datenverarbeitung von besonders sensiblen Daten ebenfalls legitim. Diese Norm findet sich bereits bei den allgemeinen Rechtsgrundlagen aus Art. 6 DS-GVO und wird auch auf die Verarbeitung besonderer Kategorien personenbezogener Daten ausgeweitet. Beispiel hierfür ist eine betroffene Person, die bewusstlos ist und dadurch keine Einwilligung mehr abgegeben kann, obwohl dies eigentlich erforderlich wäre. Die Einwilligung ist in diesem Fall auf Basis dieser Norm also nicht erforderlich, wobei man diese Entscheidung an einer mutmaßlichen Einwilligung messen muss. Ein objektiver Dritter muss also davon ausgehen können, dass der bzw. die Betroffene die Einwilligung geben würde, wenn er oder sie hierzu imstande wäre.
4. Stiftungen, Vereinigungen, sonstige gemeinnützige Organisationen (lit. d)
Gemeinnützige Organisationen, die keine Gewinnerzielungsabsicht haben und z.B. aus politischen, religiösen oder gewerkschaftlichen Zwecken existieren, dürfen besonders sensible Daten ihrer Mitglieder oder ehemaliger Mitglieder sowie von Personen, zu denen sie einen regelmäßigen Kontakt unterhalten (z.B. Spender) verarbeiten. Dies gilt sofern diese die Daten nur für interne legitime Zwecke verarbeiten. Auf diese Legitimationsgrundlage können sich also zum Beispiel Parteien berufen, die zwangsläufig, dem Sinn und Zweck der Organisation entsprechend, Daten zur politischen Ausrichtung ihrer Mitglieder verarbeiten.
5. Öffentlich gemachte Daten (lit. e)
Organisationen dürfen Daten, die eine Person veröffentlicht hat, auf Basis dieser Erlaubnisnorm verarbeiten. Entscheidend ist hierbei, dass die Personen ihre Daten bewusst einem großen Empfängerkreis offenbart haben und dass sie diese freiwillig veröffentlicht haben. Daten, die in sozialen Medien offensichtlich unbeabsichtigt öffentlich gepostet wurden, obwohl sie nur einer bestimmten Gruppe offenbart werden sollten, dürfen damit nicht verarbeitet werden.
Sollte das Kriterium der bewussten freiwilligen Veröffentlichung jedoch erfüllt sein, so entfällt das besondere Schutzbedürfnis der besonders sensiblen Daten und Organisationen können die Verarbeitung mit diesem Erlaubnistatbestand rechtfertigen.
Aber Achtung: Das bedeutet nicht, dass die Daten dann überhaupt nicht mehr schützenswert sind. Vielmehr richtet sich die Rechtmäßigkeit dann nach den allgemeinen Erlaubnisnormen aus Art. 6 DS-GVO. Ein Arbeitgeber darf im Rahmen des Bewerbungsprozesses also nicht die öffentlichen Posts des Bewerbers auf Facebook mit dem offenen Brief an die Regierung oder mit dem Outing über die Homosexualität für die Entscheidung über die Anstellung heranziehen.
6. Rechtsansprüche und Handlungen der Gerichte (lit. f)
Des Weiteren dürfen Organisationen besonders schützenswerte Daten nach Art. 9 DS-GVO auch für die Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen verarbeiten. Es ist dabei unerheblich, ob sie den Rechtsstreit außergerichtlich oder vor Gericht ausfechten.
7. Erhebliches öffentliche Interesse (lit. g)
Liegt für eine Datenverarbeitung ein erhebliches öffentliches Interesse vor, kann auch dies eine Ausnahme vom grundsätzlichen Datenverarbeitungsverbot darstellen. Diese Klausel kann ebenso nicht alleine stehen, sondern gilt immer nur in Verbindung mit Unionrecht oder nationalem Recht. Damit diese Norm greift, muss im Rahmen einer Interessensabwägung sichergestellt sein, dass das Gemeinwohl der Bevölkerung oder das öffentliche Interesse den Schutz der besonders sensiblen Daten einer einzelnen betroffenen Person überwiegt. Für Unternehmen ist dieser Ausnahmetatbestand kaum von Relevanz, da es sich hierbei in erster Linie um Belange der Gefahrenabwehr und öffentlichen Sicherheit dreht (z.B. Terrorismusbekämpfung).
8. Gesundheitsvorsorge, Arbeitsmedizin (lit. h)
Dieser Erlaubnistatbestand betrifft die Verarbeitung durch verantwortliche Stellen aus dem Gesundheits- oder Sozialbereich wie Krankenhäusern, Arztpraxen oder Physiotherapeutinnen aber auch Betriebsärzte. Die Verarbeitung besonders schützenswerter Daten ist demnach für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich rechtmäßig. Hier sind ergänzend unionrechtliche oder nationale Regelungen zur Legitimation heranzuziehen, aber auch vertragliche Regelungen z.B. mit einem Physiotherapeuten können Anwendung finden.
Ergänzend ist Abs. 3 zu beachten: Die Verarbeitung darf nur durch Fachpersonal, dass einem Berufsgeheimnis (Schweigepflicht nach § 203 Strafgesetzbuch) oder einer anderen Geheimhaltungspflicht unterliegt, stattfinden.
9. Öffentliche Gesundheit, schwerwiegende Gesundheitsgefahren (lit. i)
Bei dieser Norm handelt es sich erneut um eine Öffnungsklausel, die nicht alleine stehen kann, sondern in Verbindung mit unionrechtlichen oder nationalen Gesetzen Anwendung findet. Die Datenverarbeitung kann danach ausnahmsweise erlaubt sein, wenn eine Datenverarbeitung für den Gesundheitsschutz der Bevölkerung vor Gesundheitsgefahren erforderlich ist. Das klassische Beispiel für eine solche Verarbeitung sind die Meldepflichten, die sich aus dem Infektionsschutzgesetz ergeben.
10. Archiv-, Forschungs- und statistische Zwecke (lit. j)
Sofern ein öffentliches Interesse an besonders sensiblen Daten aus Art. 9 DS-GVO besteht und Organisationen diese auf Basis dieses öffentlichen Interesses für Archivzwecke, wissenschaftliche oder Forschungszwecke oder für statistische Zwecke verarbeiten, ist dies ebenfalls legitim.
Fazit zu Erlaubnisnormen aus Art. 9 DS-GVO
Die Verarbeitung von Daten ohne einschlägige Rechtsgrundlage ist verboten und kann insbesondere bei besonders sensiblen Daten zu unangenehmen Bußgeldern führen. Die Frage, ob eine spezielle Datenverarbeitung von besonders sensiblen Daten rechtmäßig ist oder nicht, ist in vielen Fällen nicht leicht zu beantworten und sollte sorgfältig geprüft werden. Zumal es neben den Rechtsgrundlagen aus Art. 6 DS-GVO und den ergänzenden Erlaubnisnormen aus Art. 9 DS-GVO noch eine weitere Spezialnorm für Beschäftigtendaten im Bundesdatenschutzgesetz gibt. Diese werden wir in Teil 3 unserer Blogbeitragsreihe betrachten. Schauen Sie auch dann gerne wieder bei uns vorbei!
Falls Sie Fragen zur Einschätzung eines Sachverhaltes haben und Unterstützung bei der Suche der richtigen Rechtsgrundlage benötigen, kontaktieren Sie uns gerne!
Autor: Bastian Maute, 16.04.2021
Hilfreiche Links:
Wann dürfen Daten verarbeitet werden? Teil 1 – Allgemeine Rechtsgrundlagen gemäß Art. 6 DS-GVO