Die Verarbeitung besonderer Kategorien personenbezogener Daten ist an bestimmte Voraussetzungen geknüpft. Bekanntes aus dem BDSG-alt findet sich auch in der Datenschutz-Grundverordnung (DSGVO) wieder. Ab dem 25.05.2018 bringt Artikel 9 DSGVO auch ein paar Neuerungen mit sich. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.
Besondere Kategorien personenbezogener Daten
Die besonderen Kategorien personenbezogener Daten sind bisher als besondere Arten personenbezogener Daten bekannt und in § 3 Abs. 9 BDSG-alt definiert. Danach gehören zu den besonderen Arten personenbezogener Daten Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Die besonderen Kategorien personenbezogener Daten nach der DSGVO entsprechen weitestgehend denen aus dem BDSG-alt. Eine Auflistung der besonderen Kategorien personenbezogener Daten findet sich in Art. 9 DSGVO. Einige der Kategorien werden darüber hinaus in Art. 4 DSGVO ausführlich definiert (genetische Daten, biometrische Daten und Gesundheitsdaten). Im Vergleich zum BDSG-alt sind letztendlich nur die biometrischen Daten und die genetischen Daten wirklich neu hinzugekommen, wobei letztere nach dem BDSG-alt in der Regel unter die Gesundheitsdaten fallen.
Genetische Daten
Eine Definition des Begriffs „genetische Daten“ findet sich in Art. 4 Nr. 13 DSGVO.
Genetische Daten sind demnach personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.
Demnach fallen beispielsweise DNA-Analysen, RNS-Analysen und ähnliche unter Art. 9 DSGVO.
Biometrische Daten
Der Begriff der „biometrischen Daten“ ist in Art. 4 Nr. 14 DSGVO definiert.
Biometrische Daten sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.
Darunter fallen beispielsweise der Fingerabdruck (zur Entsperrung des Smartphones), Stimmen- oder Iriserkennungen. Auch Lichtbilder können unter die biometrischen Daten fallen. In Erwägungsgrund 51 zu der Datenschutz-Grundverordnung wird zur Verarbeitung von Lichtbildern jedoch einschränkend Stellung genommen. Dort heißt es, dass die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden sollte, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Demnach stellt der Abgleich eines Fotos mit einer Gesichtserkennungssoftware eine Verarbeitung besonderer Kategorien personenbezogener Daten dar, nicht jedoch die Kontrolle eines mit einem Portrait versehenen Mitarbeiterausweises durch bloße Inaugenscheinnahme.
Verbot der Verarbeitung und Ausnahmen
Grundsätzlich ist die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO untersagt. Eine Reihe von Ausnahmen, nach denen die Verarbeitung besonderer Kategorien personenbezogener Daten wiederum gestattet ist, findet sich in Art. 9 Abs. 2 lit. a) – j) DSGVO. Die Ausnahmen entsprechen weitestgehend den bisherigen Erlaubnistatbeständen zur Verarbeitung von besonderen Arten personenbezogener Daten nach dem BDSG-alt. Art. So ist gemäß Art. 9 Abs. 2 lit. a) DSGVO beispielsweise die Verarbeitung nach Einwilligung durch den Betroffenen weiterhin möglich. 9 DSGVO enthält darüber hinaus einige Öffnungsklauseln, die es den Mitgliedsstaaten erlauben, abweichende Regelungen zu treffen. Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht. Ergänzende Regelungen und Ausnahmen zum grundsätzlichen Verarbeitungsverbot finden sich in § 22 BDSG-neu.
Voraussetzungen der Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO
Wie bereits erwähnt ist die Verarbeitung besonderer Kategorien personenbezogener Daten u.a. dann zulässig, wenn die betroffene Person in die Verarbeitung ausdrücklich eingewilligt hat. Entsprechend der Regelung nach § 4a Abs. 3 BDSG-alt muss sich die Einwilligung ausdrücklich auf die besonderen Datenkategorien beziehen. So müssen beispielsweise in vorformulierten Einwilligungstexten die besonderen Kategorien personenbezogener Daten, in deren Verarbeitung eingewilligt werden soll, konkret benannt werden. Auch die übrigen Voraussetzungen an die Wirksamkeit einer Einwilligung i.S.v. Art. 4 Nr. 11 DSGVO müssen erfüllt sein.
Zu beachten ist weiterhin, dass die Möglichkeit einer Verarbeitung besonderer Datenkategorien auf der Grundlage von Einwilligungen durch Unionsrecht oder das Recht der Mitgliedsstaaten wieder ausgeschlossen sein kann. Es bleibt abzuwarten, inwieweit eine Einschränkung der Einwilligungsmöglichkeit durch den europäischen oder nationale Gesetzgeber erfolgt. Für Deutschland haben sich bisher keine Einschränkungen ergeben.
Verarbeitung zu statistischen, historischen und Archivzwecken
Nach Art. 9 Abs. 2 lit. j) DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten auch zulässig, soweit diese für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO erforderlich ist. Das BDSG-alt enthielt insoweit lediglich eine konkrete Ausnahme zur Verarbeitung besonderer Arten personenbezogener Daten zu wissenschaftlichen Zwecken.
Voraussetzung für die Verarbeitung nach Art. 9 Abs. 2 lit. j) DSGVO ist eine entsprechende Rechtsgrundlage im Unionsrecht oder dem Recht eines Mitgliedstaats und das Vorliegen geeigneter Garantien i.S.v. Art. 89 DSGVO. Mit den Garantien soll sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird.
Fazit: Wenig Neues und ein paar Ungewissheiten
Auch wenn sich im Bereich der besonderen Kategorien personenbezogener Daten nach der DSGVO im Wesentlichen viele bereits zu den besonderen Arten personenbezogener Daten nach dem BDSG-alt bekannte Regelungen wiederfinden, sind durchaus auch einige Neuerungen zu erkennen. Insbesondere kann die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 3 lit. b) DSGVO in Fällen, in denen umfangreich besondere Kategorien personenbezogener Daten verarbeitet werden, durchaus einen noch nicht überschaubaren Aufwand bedeuten.
Der Art. 9 kennt kein berechtigtes Interesse als Rechtsgrundlage, noch nicht einmal ein zwingendes. Ist das nicht eine planwidrige Regelungslücke? Damit fehlt z.B. jede Rechtsgrundlage, um Daten besonderer Kategorien zur Realisierung von Synergieeffekten in ein anderes technisches System zu migrieren, z.B. nach Unternehmensverschmelzung. Im Vergleich dazu noch zu verkraften mag da sein, dass auch das kleine Konzernprivileg (Erwägungsgrund 48) dann fehlt (das kann man ja als Auftragsverarbeitung gestalten).
Wie sich aus den Erwägungsgründen (insbesondere Erwägungsgründe 51 und 52) zur Datenschutz-Grundverordnung ergibt, war es ein besonderes Anliegen des Gesetzgebers, die Verarbeitung besonderer Kategorien personenbezogener Daten nur in streng geregelten Fällen zu gestatten. Dem widerspräche es, die Verarbeitung besonderer Kategorien personenbezogener Daten auf der Grundlage eines berechtigten Interesses zu gestatten (bzw. müsste man in diesem Fall in der Regel zu dem Ergebnis kommen, dass die berechtigten Interessen der betroffenen Personen die Interessen der datenverarbeitenden Stelle überwiegen). Von einer Regelungslücke kann daher nicht ausgegangen werden. Über eine Einwilligung der betroffenen Personen ist jedoch auch grundsätzlich die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten möglich.