Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.

Auch zukünftig werden bestimmte Datenarten, die in der DSGVO als Datenkategorien bezeichnet werden, gegenüber „generellen“ personenbezogenen Daten besonders geschützt sein. Ihre Verarbeitung wird an noch strengere Voraussetzungen geknüpft sein. Der folgende Beitrag dient dazu, aufzuzeigen, ob und inwiefern die normierten Anforderungen der DSGVO zur jetzigen Rechtslage abweichen und was Unternehmen zu beachten haben.

Verarbeitung besonderer Kategorien personenbezogener Daten

Der Blick in die jetzige Fassung der DSGVO verheißt nichts wirklich Gutes: Zwar gibt es eine Regelung zum Schutz bestimmter Datenkategorien. Die einzelnen Absätze wirken jedoch nicht nur bedeutend umfangreicher als die jetzigen Absätze 6 bis 9 von § 28 Bundesdatenschutzgesetz (BDSG), sondern insgesamt auch strenger und etwas unsystematisch.

Zukünftig finden sich die besonderen Kategorien personenbezogener Daten in Artikel 9 DSGVO wieder (hier). Folgende besondere Kategorien sind dabei erfasst:

  • rassische oder ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische Daten,
  • biometrische Daten,
  • Gesundheitsdaten,
  • Sexualleben sowie sexuelle Orientierung.

Insofern sind nur drei weitere Datenkategorien hinzugekommen: die genetischen und biometrischen Daten sowie die sexuelle Orientierung. Den häufigsten Anwendungsfall werden wohl aber weiterhin die Gesundheitsdaten bilden.

Die Verarbeitung dieser besonderen Daten bleibt grundsätzlich verboten. Ein Großteil der diesbezüglich in der DSGVO normierten Erlaubnisvorbehalte ist entweder komplett neu oder wurde verglichen mit dem relevanten Regelungsinhalt des § 28 BDSG modifiziert. Für die Praxis erwähnenswerte Grundlagen zur Verarbeitung der oben genannten Datenkategorien dürften dabei vor allem die Folgenden sein:

1. Einwilligung

Mit einer der wichtigsten Zulässigkeitsvoraussetzung für die Verarbeitung solcher Datenkategorien bleibt weiterhin die Einwilligung des Betroffenen, wobei durch den Wortlaut klargestellt wird, dass diese Erklärung nunmehr ausdrücklich durch den Betroffenen erfolgen muss. Eine konkludente Einwilligungserklärung ist damit ausgeschlossen. Im Umkehrschluss wird die in Artikel 6 Absatz 1 lit a DSGVO generell geregelte Einwilligung zur Datenverarbeitung wohl in konkludenter Form möglich sein.

2. Für die Zwecke der Gesundheitsvorsorge, Arbeitsmedizin etc.

Neben dem gegenwärtig schon zulässigen Zweck der Gesundheitsvorsorge, medizinischen Diagnostik, Gesundheitsbehandlung usw. ist die Verarbeitung der Daten im Rahmen des Beschäftigungsverhältnisses hinzugekommen. Demnach ist die Datenverarbeitung künftig auch zulässig für die Zwecke der Arbeitsmedizin sowie für die Beurteilung der Arbeitsfähigkeit des Beschäftigten. Dadurch wird die Norm aller Voraussicht nach an Bedeutung gewinnen.

Wiederum vergleichbar wie in § 28 Absatz 8 BDSG darf diese Verarbeitung nur von bestimmten Personen – benannt als Fachpersonal – durchgeführt werden, wobei diese nicht zwingend dem Gesundheitssektor angehören müssen. Vielmehr sind sämtliche Personen erfasst, die aufgrund eines geltenden Rechts einer Geheimhaltungspflicht unterliegen. Auf Seiten der handelnden Personen besteht daher ein deutlich größerer Spielraum.

3. Für im öffentlichen Interesse liegende Wissenschaft und Archivzwecke

Der jetzige geregelte Vorbehalt der Durchführung wissenschaftlicher Forschung wird um im öffentlichen Interesse liegende Archivzwecke sowie statistische Zwecke erweitert. Im Unterschied zur bestehenden Regelung, sind entgegenstehende Interessen der betroffenen Person grundsätzlich nicht zu berücksichtigen.

4. Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Auch bei dieser Norm muss kein entgegenstehendes Interesse der betroffenen Person berücksichtigt werden, was das Subsumieren insgesamt vereinfachen dürfte.

5. Öffnungsklausel für genetische, biometrische oder gesundheitliche Daten

Im Hinblick auf die vorgenannten Kategorien besteht auf Seiten der Mitgliedstaaten die Möglichkeit, zusätzliche Regelungen zu schaffen. Gerade im Bereich der noch weit zu verstehenden Gesundheitsdaten verbirgt sich darin auf Seiten des Betroffenen ein Hoffnungsträger hin zu eindeutigen Regelungen, welche gesundheitlichen Daten, wann und wie verarbeitet bzw. nicht verarbeitet werden dürfen.

6. Bekannte Befugnisse

Darüber hinaus findet man in der DSGVO die Erlaubnisvorbehalte, dass die Datenverarbeitung dem Schutz lebenswichtiger Interessen dient oder die Daten durch den Betroffenen offenkundig öffentlich gemacht worden sind, so ziemlich eins zu eins wieder. Dies gilt auch für die Datenverarbeitung durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder vergleichbare Organisation.

7. Weitere gesetzliche Grundlagen

Neben Artikel 9 DSGVO wird auch an anderen Stellen der Verordnung auf die besonderen Datenkategorien konkret Bezug genommen. Erwähnenswerte Fundstellen sind dabei z.B. die Folgenabschätzung in Artikel 35 DSGVO oder die Pflicht zur Führung eines Verfahrensverzeichnisses in Artikel 30 DSGVO.

Sonderfall: Verarbeitung von Daten über strafrechtliche Verurteilung und Straftaten

Mit Einführung der DSGVO wird es zudem eine separate Regelung bezüglich der Datenverarbeitung von Straftaten oder strafrechtlichen Verurteilungen geben (vgl. Artikel 10 DSGVO). Diese klar gesetzlich normierte Rechtfertigung zur Datenverarbeitung darf jedoch grundsätzlich nur unter behördlicher Aufsicht oder aufgrund einer Rechtsvorschrift vorgenommen werden. Arbeitgeber dürfen z.B. Führungszeugnisse nur einholen, sofern eine ausdrückliche gesetzliche Grundlage besteht (z.B. Kindergärten).

Sonderfall: Bedingungen für die Einwilligung eines Kindes

Ein weiterer, zwar nicht direkt als besondere Datenkategorie einzustufender, dennoch erwähnenswerter Sonderfall bildet Artikel 8 DSGVO. Im Klartext wird es zukünftig rechtmäßig sein, dass grundsätzlich auch die Eltern bzw. der Träger der elterlichen Verantwortung für die Datenverarbeitung ihres Kindes einwilligen, sofern Kinder jünger als 16 Jahre sind und die Einwilligung für das Kind oder mit dessen Zustimmung erteilt wird.  Der nationale Gesetzgeber kann diese Altersschwelle noch weiter herabsetzen (maximal auf das 13. Lebensjahr). Sollte ein Kind z.B. ein veröffentlichtes Bild später einmal bereuen, besteht zudem ein bedingungsloser Löschungsanspruch nach Artikel 17 lit f DSGVO.

Fazit

Insgesamt bleibt das Datenschutzniveau durch die weiterhin existierenden besonderen Datenkategorien im Kern erhalten. Auch ist positiv, dass innerhalb des Artikels 9 DSGVO bewusst keine Abwägung mit entgegenstehenden Betroffenenrechten mit aufgenommen wurde. Wann eine Verarbeitung jedoch im Einzelnen zulässig ist, wirkt verkompliziert, nicht zuletzt durch den Wulst an Absätzen, die doch sehr undurchsichtig sind. Man darf nun sehr gespannt sein, wie der nationale Gesetzgeber die bestehenden Lücken ausfüllt und was die ersten Entscheidungen mit sich bringen, und ob durch diese dann die Grenzen der Datenverarbeitung konkreter festgelegt werden.

Weitere Beiträge zur DSGVO in unserem Blog.

Update 11.4.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 6.4.2016 angepasst.