Sensible Daten nach der DSGVO: Definition & Beispiele

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nach der DSGVO nur unter strengen Voraussetzungen zulässig. Denn diese Daten gelten als besonders sensibel und genießen daher einen besonderen Schutz. Welche Angaben im Einzelnen darunter fallen und was es mit dem Schutz auf sich hat, erklären wir anhand von Definitionen und Beispielen in diesem Blogbeitrag.

Definition der sensiblen Daten in der DSGVO

Die DSGVO stellt personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, unter einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten der Betroffenen auftreten können. Die DSGVO spricht in diesem Zusammenhang nicht von sensiblen personenbezogenen Daten, sondern weist diese als besondere Kategorie personenbezogener Daten aus.

Aber was sind überhaupt Kategorien personenbezogener Daten? Unter Kategorie wird im datenschutzrechtlichen Sinne eine gewisse Klassifizierung gemeint. Der Begriff der Kategorisierung meint aber – im Gegensatz zur Klassifizierung – eher einen unbewussten, intuitiven Vorgang der Klassenbildung für beliebige Objekte oder Ereignisse der alltäglichen Wahrnehmung. Deshalb hat man sich für den Begriff der Kategorie entschieden. Das können zum Beispiel die gewöhnlichen „Stammdaten“ einer Person sein. Also: Name, Adresse, usw. Weitere Datenkategorien können sein: Bankdaten, Telefondaten, Auftragsdaten, IP-Adresse – die Liste ist lang.

Darüber hinaus gibt es noch die besonderen Kategorien personenbezogener Daten. Gemäß Art. 9 Abs. 1 DSGVO sind besondere Kategorien personenbezogener Daten:

„…personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie [..] genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“

Liste der besonderen Kategorien personenbezogener Daten

Da die Kategorien sehr weit und unbestimmt sind, gehen wir diese einmal durch, um ein Gefühl dafür zu vermitteln, wann es sich um einen Fall des Art. 9 DSGVO handelt.

Rassische und Ethnische Herkunft

Mit Daten über die rassische und ethnische Herkunft sind solche Informationen gemeint, die Rückschlüsse auf die Zugehörigkeit zu einer „Rasse“ bzw. einer Ethnie erlauben. Dem Gesetzgeber ist dabei die Problematik des Begriffs der Rasse bewusst. Eine Erläuterung findet sich in Erwägungsgrund 51.

Hierunter fallen beispielsweise die Hautfarbe oder typische, regional begrenzte Sprachen. Nicht erfasst werden aber die Staatsangehörigkeit, und auch nicht allein der Geburtsort. Weitere Beispiele sind hingegen Merkmale der äußeren Erscheinungsform, wie der Haartyp oder die Augenform.

Politische Meinungen

Unter den Begriff politische Meinung im Art. 9 DSGVO fallen Parteimitgliedschaften oder politische Einstellungen. Nicht aber bereits die bloße Teilnahme an einer politischen Veranstaltung. Die berufliche Tätigkeit für eine politische Partei wird nur dann vom Schutzbereich erfasst, wenn ein politischer Bezug besteht. Nicht erfasst wird also beispielsweise die Tätigkeit in einem Parteibüro, wenn es sich dabei um die Arbeit des IT-Administrators handelt, oder um Tätigkeiten im Sekretariat.

Religiöse oder weltanschauliche Überzeugungen

Mit religiöser oder weltanschaulicher Überzeugungen ist die Konfessionszugehörigkeit oder die Mitgliedschaft in einer Sekte gemeint. Nicht dagegen der bloße Austritt aus der Staatskirche oder das Tragen eines Kleidungsstücks, beispielsweise mit satanistischem Motiv. Bei der Verarbeitung von Daten über das Tragen von Kopftüchern, der Kippa oder eines Rosenkranzes kommt es darauf an, wie diese Daten ausgewertet werden sollen.

Weltanschauliche Überzeugungen sind die Gesamtheit der persönlichen Wertungen, Vorstellungen und Sichtweisen. Erfasst sind damit ideologische Gesinnungen oder Mitgliedschaften in bestimmten Bünden, beispielsweise den Freimaurern, nicht aber bloße Einstellungen und Merkmale der individuellen Lebensgestaltung wie „Vegetarier“, oder „Pazifist“.

Gewerkschaftszugehörigkeit

Mitglieder einer Gewerkschaft sollen bei der Ausübung ihrer Tätigkeit frei und ohne Angst agieren können, dabei Diskriminierungen zu erfahren. Deshalb ist die Gewerkschaftszugehörigkeit ein sensibles Datum. Die Tätigkeit für eine gewerkschaftsnahe Stiftung ist nur dann erfasst, wenn ein inhaltlicher Zusammenhang zur Gewerkschaftstätigkeit besteht.

Genetische Daten

Eine Definition des Begriffs „genetische Daten“ findet sich in Art. 4 Nr. 13 DSGVO. Genetische Daten sind demnach personenbezogene Daten

„zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.“

Demnach fallen beispielsweise DNA-Analysen, RNS-Analysen und ähnliche unter Art. 9 DSGVO. Auch gleichwertige Daten, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern, sind erfasst.

Biometrische Daten

Der Begriff der „biometrischen Daten“ ist in Art. 4 Nr. 14 DSGVO definiert:

„Biometrische Daten sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.“

Darunter fallen beispielsweise der Fingerabdruck (zur Entsperrung des Smartphones), sowie Stimmen- oder Iriserkennungen. Auch Lichtbilder können unter die biometrischen Daten fallen. In Erwägungsgrund 51 zu der Datenschutz-Grundverordnung wird zur Verarbeitung von Lichtbildern jedoch einschränkend Stellung genommen. Dort heißt es, dass die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden sollte, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.

Demnach stellt der Abgleich eines Fotos mit einer Gesichtserkennungssoftware eine Verarbeitung besonderer Kategorien personenbezogener Daten dar, nicht jedoch die Kontrolle eines mit einem Portrait versehenen Mitarbeiterausweises durch bloße Inaugenscheinnahme.

Gemeint sind also nur solche biometrischen Daten, die zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden. Lichtbilder nur dann, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung einer natürlichen Person ermöglichen und eine Auswertungsabsicht besteht. Also nicht bereits das schlichte Passbild eines Brillenträgers oder die Aufnahme eines Fotos mit einem biometriefähigen Endgerät (z.B. Smartphone).

Gesundheitsdaten

Gesundheitsdaten sind in Art. 4 Nr. 15 DSGVO definiert und werden im Erwägungsgrund 35 weiter erläutert. Es handelt sich um

„personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“

Bei Gesundheitsdaten handelt es sich um Nummern, Symbole oder Kennzeichen, die eine natürliche Person für gesundheitliche Zwecke eindeutig identifizieren können. Auch Informationen über Behinderungen zählen zu den Gesundheitsdaten.

Die Vorschrift dient dem individuellen Schutz von Leben und Gesundheit, sowie dem generellen Gesundheitsschutz.
Zur medizinischen informationellen Selbstbestimmung gehört, dass der Betroffene darüber entscheiden kann, ob er sich mit Wissen um seine individuellen gesundheitlichen Besonderheiten belasten möchte, weshalb es auch ein Recht auf Nichtwissen gibt.

Der Begriff der Gesundheitsdaten ist weit zu verstehen. Aus dem Gesamtzusammenhang können bereits Arztbesuche Angaben über den Gesundheitszustand des Einzelnen vermitteln. Weitere Beispiele sind Daten aus einer Online-Bestellung von Medikamenten, was aber schon infolge des oft gegebenen Auseinanderfallens von Besteller und Patient fragwürdig ist. Der Impfstatus ist ebenfalls Gesundheitsdatum.

Beispiele sind weiter:

• Befunddaten, z.B. Röntgenbilder, Blutgruppe, Untersuchungsergebnisse,
• Ereignisse, wie z.B. Operationen, Unfälle, Impfungen, Krankheiten, seien sie akut oder chronisch, körperlich oder seelisch, sichtbar oder unsichtbar.
• Daneben auch medizinische Bewertungen, wie z.B. die Einstufung als Schwerbehinderter oder eine Krankschreibung für den Arbeitgeber,
• die Einnahme von Stoffen mit gesundheitlicher Wirkung, wie z.B. von Alkohol, Drogen oder Medikamenten,
• der kurzfristige oder längerdauernde Aufenthalt in gesundheitsrelevanten Einrichtungen, wie z.B. allgemeinen Krankenhäusern, Aids-, Krebs- oder Kurkliniken, Pflegeheimen, Arzt- oder Heilpraxen, psycho-sozialen Wohngruppen oder Maßregelvollzugsanstalten,
• Bestands-, Verkehrs- wie auch Inhaltsdaten des Telekommunikationsverkehrs zwischen Betroffenen und Gesundheitseinrichtungen wie auch Kommunikationsinhalte generell.

Die Zugehörigkeit zu einer bestimmten Krankenkasse oder Krankenversicherung oder der Umstand einer Beihilfeberechtigung ist kein Gesundheitsdatum. Zudem wird zwischen Gesundheitsdaten und Krankheitsdaten unterschieden. Des Weiteren können auch Sozialdaten nach dem Sozialgesetzbuch zugleich Gesundheits- oder sonstige sensitive Daten sein. Zu denken ist beispielsweise an medizinische Diagnosen, behandelnde (Amts-) Ärzte oder Mutterschaften. Aber auch eine spezifische Form des Versicherungsschutzes, oder die Teilnahme an einem strukturierten Behandlungsprogramm bei chronischen Erkrankungen (Disease Management Programm) stellen Gesundheitsdaten dar und sind damit besonders geschützt.

Daten zum Sexualleben oder der sexuellen Orientierung

Diese Kategorie geht auf das Diskriminierungsverbot der Grundrechtecharta zurück. Erfasst sind Informationen über Hetero-, Bi-, oder Homosexualität. Ferner Informationen über eine Geschlechtsumwandlung oder die Zugehörigkeit zu einem anderen, dritten Geschlecht. Ebenso, ob jemand in einer Ehe oder in einer eingetragenen Partnerschaft lebt. Wobei die Angabe, ob jemand verheiratet oder ledig ist, nicht unter diese besondere Kategorie fällt. Weitere Beispiele über Daten zum Sexualleben sind die Kundeneigenschaft in einem Sexshop, der Kauf von Viagra oder Verhütungsmitteln oder der Konsum von erotischen oder pornografischen Medien.

Sensible Daten können auch aus anderen Daten hervorgehen

Es gibt einen interessanten Zusammenhang zwischen den „normalen“ Kategorien personenbezogener Daten und den besonderen Kategorien. Der EuGH verbindet die Kategorien derart, dass auch vermeintlich „normale“ Daten vom strengeren Verarbeitungsverbot des Art. 9 DSGVO umfasst sind, wenn sich hieraus mittelbar besondere Kategorien personenbezogener Daten ableiten lassen. Der EuGH hält den Anwendungsbereich des Art. 9 DSGVO schon dann für eröffnet, wenn Informationen sensible Daten „indirekt offenbaren“. Das ist dann der Fall, wenn sich sensible Daten durch „gedankliche Kombinationen oder Ableitung“ ergeben. Das stellt eine bemerkenswerte Erweiterung des Schutzbereichs des Art. 9 DSGVO dar. Der genannte Fall vor dem EuGH hatte den Hintergrund, dass es in Litauen zur Korruptionsbekämpfung eine gesetzliche Pflicht für gewisse Personen gibt, bestimmte Daten an eine Behörde zu geben und diese Behörde den Großteil dieser Daten dann auf ihrer Internetseite veröffentlicht. Zu den Daten gehören auch namensbezogene Daten über Ehegatten, Partner oder Lebensgefährten. Aus diesen Daten kann man aber auch die sexuelle Orientierung herauslesen. Beispielsweise dann, wenn ein Mann angibt, dass er mit einem Mann verheiratet ist. Das offenbart nach Ansicht des EuGH die sexuelle Orientierung, womit Art. 9 Abs. 1 DSGVO anwendbar ist – selbst wenn die Daten dies selbst nicht (direkt) offenbaren.

Das Vorliegen einer Kategorisierung in diesem Sinne ist auch nicht davon abhängig, ob diese Kategorisierung richtig oder wahr ist. Entscheidend ist die Möglichkeit, dass eine solche Kategorisierung zu einem erheblichen Risiko für die Grundrechte und Grundfreiheiten der betroffenen Person führen kann. Und damit eine Möglichkeit darstellt, die unabhängig von ihrem Wahrheitsgehalt besteht; so auch Erwägungsgrund 51.

Besondere Vorsicht ist daher geboten, wenn eine große Menge an Daten erhoben wird. Denn der EuGH postuliert:

„Wenn ein Datensatz, der sowohl sensible als auch nicht sensible Daten enthält, als Ganzes erhoben wird, ohne dass die Daten zum Zeitpunkt dieser Erhebung voneinander getrennt werden können, ist die Verarbeitung dieses Datensatzes aber als im Sinne von Art. 9 Abs. 1 DSGVO untersagt anzusehen, sofern sie mindestens ein sensibles Datum umfasst und keine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen greift.“

Ausnahmen vom Verbot der Verarbeitung sensibler Daten

Grundsätzlich ist die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO untersagt. Das erscheint im ersten Moment interessant, da die Verarbeitung aller Daten bereits nach Art. 6 DSGVO dem sogenannten Verbot mit Erlaubnisvorbehalt (Verbotsprinzip mit Erlaubnisvorbehalt) unterliegt. Nach dieser Systematik ist jede Verarbeitung von personenbezogenen Daten verboten, es sei denn, sie wird ausdrücklich erlaubt (siehe hierzu unseren ausführlichen Blogbeitrag). Art. 9 DSGVO stellt aber – anders als Art. 6 DSGVO – ein „striktes“ Verarbeitungsverbot für ausgewählte Datenkategorien dar (welches freilich durchbrochen werden kann) und unterstreicht somit die besondere Schutzwürdigkeit dieser Daten. Hier wird also klar gemacht: Bei der Verarbeitung dieser besonders sensiblen Daten bestehen höhere Risiken für die Rechte und Freiheiten der betroffenen Personen. Eine Reihe von Ausnahmen, nach denen die Verarbeitung besonderer Kategorien personenbezogener Daten wiederum gestattet ist, findet sich in Art. 9 Abs. 2 lit. a) – j) DSGVO.

Voraussetzungen der Einwilligung bei besonderen Kategorien personenbezogener Daten

Die Verarbeitung der Daten nach Art. 9 DSGVO ist so z.B. mit einer Einwilligung erlaubt. Die Einwilligung muss sich ausdrücklich auf die besonderen Datenkategorien beziehen. So müssen beispielsweise in vorformulierten Einwilligungstexten die besonderen Kategorien personenbezogener Daten, in deren Verarbeitung eingewilligt werden soll, konkret benannt werden. Auch die übrigen Voraussetzungen an die Wirksamkeit einer Einwilligung i.S.v. Art. 4 Nr. 11 DSGVO müssen erfüllt sein.

Verarbeitung zu statistischen, historischen und Archivzwecken

Nach Art. 9 Abs. 2 lit. j) DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten auch zulässig, soweit diese für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO erforderlich ist.

Voraussetzung für die Verarbeitung nach Art. 9 Abs. 2 lit. j) DSGVO ist eine entsprechende Rechtsgrundlage im Unionsrecht oder dem Recht eines Mitgliedstaats und das Vorliegen geeigneter Garantien i.S.v. Art. 89 DSGVO. Mit den Garantien soll sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird.

Selbst veröffentlichte sensible Daten

Der Ausnahmetatbestand aus Art. 9 Abs. 2. lit. e) DSGVO normiert eine Erlaubnis für die Verarbeitung besonderer Kategorien personenbezogener Daten, wenn die betroffene Person offensichtlich und willentlich, selbst (oder durch eine von ihr beauftragte Person) veröffentlicht hat. Unter Öffentlichkeit ist hierbei ein unbestimmter Kreis von Personen zu verstehen, denen die Daten zugänglich gemacht werden (z.B. frei im Internet oder über allgemeine Medien). Die einfache Teilnahme an einer öffentlichen Veranstaltung genügt den Anforderungen von Art. 9 Abs. 2 e) DSGVO jedoch nicht, ebenso wenig wie der alleinige Umstand, dass die Informationen über eine Suchmaschine im Internet aufgefunden werden können.

Rechtsgrundlage zusätzlich zu Art. 9 Abs. 2 DSGVO erforderlich

Oben wurde bereits auf das Verhältnis zu Art. 6 DSGVO eingegangen. Werfen wir noch einmal einen Blick darauf: Umstritten war nämlich, ob Art. 9 DSGVO eine eigene Rechtsgrundlage für die Datenverarbeitung der entsprechenden Kategorien darstellt, oder immer gemeinsam mit Art. 6 DSGVO gelesen werden muss. Im Ergebnis kann eine Verarbeitung  nicht allein auf Art. 9 Abs. 2 DSGVO gestützt werden. Der EuGH urteilte auf eine Vorlage des Bundesarbeitsgerichts,

„dass eine auf die erstgenannte Bestimmung [Art. 9 Abs. 2 Buchst. h DSGVO] gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.“

Korrekte Identifizierung besonderer Kategorien sehr praxisrelevant

Die DSGVO unterscheidet zwischen „normalen“ Kategorien und „besonderen“ Kategorien personenbezogener Daten. Werden besonders sensible Daten verarbeitet, so ist dies nur zulässig, wenn neben einer Rechtsgrundlage besondere Rechtfertigungsgründe vorliegen. Dabei wird der Anwendungsbereich dieser sensiblen Daten und damit der Schutzbereich der Norm von der Rechtsprechung weit ausgelegt. Man landet also schnell in den besonderen Kategorien, etwa wenn sich aus „normalen“ Kategorien Gesundheitsdaten oder Daten über die sexuelle Orientierung mittelbar herauslesen lassen.

Eine Verarbeitung sensitiver Daten, die nicht durch einen Erlaubnistatbestand gem. Art. 9 Abs. 2 DSGVO gedeckt ist, ist unzulässig und gem. Art. 83 Abs. 5 lit. a bußgeldbewehrt. Außerdem wird auf die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sowie die Strafprozessordnung (StPO) und das Gerichtsverfassungsgesetz (GVG) verwiesen. Es besteht auch in bestimmten Fällen eine Strafandrohung, wobei jeweils ein Strafantrag erforderlich ist. Neben einem Anspruch auf Unterlassen gem. §§ 1004, 823 Abs. 1 BGB i. V. m Art. 6 Abs. 1 DSGVO steht der betroffenen Person ein Anspruch auf Löschung gem. Art. 17 und gegebenenfalls ein Anspruch auf Schadensersatz gemäß Art. 82 DSGVO zu.

Die Kenntnis und Beachtung der besonderen Kategorien spielen in der Praxis also eine wichtige Rolle. Insbesondere, da eine Ausweitung des Schutzbereichs der Vorschrift zu erkennen ist und seitens der Behörden tendenziell verstärkt punitiv agiert wird.