Besondere Kategorien personenbezogener Daten – Definition und Bedeutung

Die Datenschutz-Grundverordnung (DSGVO) unterscheidet zwischen „normalen“ personenbezogenen Daten und besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO). Letztere gelten als besonders schützenswert, da sie sensible Informationen über eine Person enthalten, deren Missbrauch erhebliche Risiken für die Grundrechte und Grundfreiheiten haben kann (ErwG. 51). Deshalb unterliegen sie strengeren Anforderungen und einem höheren Schutzniveau.

Definition besonderer Kategorien personenbezogener Daten

  • Erklärungen gemäß Art. 9 Abs. 1 DSGVO:
    • Rassische und ethnische Herkunft
    • Politische Meinungen
    • Religiöse oder weltanschauliche Überzeugungen
    • Gewerkschaftszugehörigkeit
    • Genetische Daten
    • Biometrische Daten (z. B. Fingerabdruck, Gesichtserkennung)
    • Gesundheitsdaten
    • Daten zum Sexualleben oder zur sexuellen Orientierung

Warum sind diese Daten besonders schützenswert?

  • Risiko der Diskriminierung, Stigmatisierung und weiterer Nachteile.

  • Einfluss auf zentrale Aspekte der Identität und Würde einer Person.

  • Gefahren durch unbefugten Zugriff, beispielsweise im Arbeitsumfeld oder sozialen Kontexten.

Rechtliche Grundlagen zur Verarbeitung besonderer Kategorien personenbezogener Daten

Grundsatz der Unzulässigkeit der Verarbeitung gemäß Art. 9 Abs. 1 DSGVO.

Die Verarbeitung von den in Art. genannten personenbezogen Daten ist grundsätzlich verboten. In Art. 9 Abs. 2 DSGVO finden sich jedoch Ausnahmetatbestände, unter denen -bei vorliegen der jeweiligen Voraussetzungen die Verarbeitung erlaubt ist.

Ausnahmen gemäß Art. 9 Abs. 2 DSGVO:

  • ausdrücklichen Einwilligung erforderlich
    • –> konkludente Einwilligung ist nicht möglich
    • ausdrücklich im Sinne der Norm ist unter konkreter Nennung der Datenkategorie zu verstehen
  • Legaldefinition der Einwilligung: Art. 4 Nr. 11 DSGVO
  • Rückausnahme ist zu beachten: Wenn eine unionsrechtliche oder eine mitgliedsstaatliche Rechtsvorschrift existiert, die die Einwilligungsmöglichkeit der betroffenen Person ausschließt, dann greift das Verarbeitungsverbot aus Art. 9 Abs. 1 DSGVO wieder. Damit ist die Verarbeitung in diesem Fall so zu behandeln, als läge keine Einwilligung vor. Damit wäre die Verarbeitung -gestützt auf die Einwilligung- mangels Ausnahmetatbestand unrechtsmäßig.

  • die personenbezogenen Daten sind für die Erfüllung arbeitsrechtlicher Pflichten, Rechte der sozialen Sicherheit oder des Sozialschutzes erforderlich
    • Beispiel: Religionszugehörigkeit – erforderlich für die steuerlichen Abgaben

  • alle existenziellen Interessen des Betroffenen oder eines Dritten. Insbesondere Leib und Leben.
  • Voraussetzung: Betroffener ist selber nicht in der Lage eine Einwilligung zu erteilen.
  • Es sind sowohl rechtliche als auch tatsächliche Hindernisse erfasst.
    • Beispiel rechtliche Hindernisse: Minderjährigkeit, Geschäftsunfähigkeit
    • Beispiel: tatsächliche Hindernisse: Ohnmacht, Rausch

  • Grundvoraussetzungen:
    • Es darf kein Erwerbszweck bzw. Gewinnerzielungsabsicht verfolgt werden.
    • nur Daten von Mitgliedern der Organisation oder Personen die mit solch einer in regelmäßigem Kontakt stehen.
      • Beispiel: Spender
    • Daten müssen in Beziehung der Ausgaben der Organisation stehen.
    • Daten dürfen die Organisation nicht verlassen. –> Keine Weitergabe an Dritte.
  • Nur einschlägig für:
    • politisch ausgerichtete Organisationen
    • philosophisch ausgerichtete Organisationen
    • religiös ausgerichtete Organisationen
    • gewerkschaftlich ausgerichtete Organisationen

  • Betroffene Personen muss die Daten eigenhändig offenkundig öffentlich gemacht haben.

  • Voraussetzungen:
    • Anspruch i.s.d § 194 Abs. 1 BGB
    • Interessen des Betroffen dürfen nicht überwiegen
    • Interessenabwägung erforderlich
  • Anwendungsbereich:
    • gerichtliche Verfahren
    • außergerichtliche Verfahren
    • sowohl öffentlich- als auch privatrechtliche Ansprüche erfasst

  • Öffnungsklausel, die es Mitgliedstaaten ermöglicht weitere Ausnahmen zu normieren.
    • Nur Gründe eines erheblichen öffentlichen Interesses erfasst.
    • Verhältnismäßigkeitsprinzip muss gewahrt sein.

  • Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin erforderlich für:
    • die Beurteilung der Arbeitsfähigkeit des Beschäftigten
    • die medizinische Diagnostik
    • die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
    • die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich
  • Rechtsgrundlage aus dem Unionsrecht oder eines Mitgliedstaats erforderlich
    oder
  • aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs
    • Hier müssen zusätzlich die in Art 9 Abs. 3 genannten Bedingungen und Garantien vorliegen.

  • Öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich
    • Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren.
    • Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten.
  • Rechtsgrundlage aus dem Unionsrecht oder eines Mitgliedstaats erforderlich.
    • Angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses erforderlich.

  • Verarbeitungszwecke des öffentlichen Interesses:
    • Archivzwecke
    • wissenschaftliche oder historische Forschungszwecke
    • statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO
  • Rechtsgrundlage aus dem Unionsrecht oder eines Mitgliedsstaats erforderlich, die die notwendige Garantie aus Art. 89 Abs. 1 DSGVO erfüllt, erforderlich.

Die vorausgegangene Aufzählung der Ausnahmen ist abschließend! Eine Möglichkeit Verarbeitungen auf ein berechtigtes Interesse wie bei Art. 6 Abs.1 lit. f. DSGVO zu stützen existiert bei den besonderen Kategorien personenbezogener Daten nicht.

Wichtig! Es bedarf zu einer Ausnahme nach Art. 9 Abs. 2 DSGVO auch immer ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO. Diese müssen kumulativ vorliegen, damit eine Verarbeitung der personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) rechtmäßig ist.

Beispiele für besondere Kategorien personenbezogener Daten

  • Krankheitsdiagnosen
  • Befunde und Laborwerte
  • Informationen über Behinderungen
  • Daten zu Behandlungen und Medikamenten.

  • Fingerabdrücke
  • Gesichtsscans
  • Iris-Scans

  • DNA-Analysen
  • Informationen aus genetischen Tests

  • Religionszugehörigkeit
  • Mitgliedschaften in politischen Parteien oder Gewerkschaften.

  • Informationen über sexuelle Vorlieben oder Beziehungen.

Pflichten von Unternehmen bei der Verarbeitung besonderer Kategorien personenbezogener Daten

  • Erforderlichkeit einer ausdrücklichen, informierten Einwilligung oder gesetzlicher Grundlage.

  • Notwendigkeit von Sicherheitsmaßnahmen, z. B. Verschlüsselung, Zugriffskontrollen, Protokollierung der Verarbeitung

Mehr Informationen zu TOMs

  • Dokumentation aller Verarbeitungsvorgänge.

Mehr Informationen zum Verarbeitungsverzeichnis

  • Durchführung einer DSFA bei hohem Risiko für die Rechte und Freiheiten der Betroffenen.

Mehr Informationen zur Datenschutz-Folgeabschätzung 

Sensible Daten, hohe Verantwortung

Besondere Kategorien personenbezogener Daten sind besonders schützenswert und unterliegen strengen gesetzlichen Vorgaben. Der Umgang mit diesen Daten erfordert ein hohes Maß an Sorgfalt, Transparenz und Sicherheitsvorkehrungen. Wenn Ihr Unternehmen solche Daten verarbeitet, ist es unerlässlich, die Anforderungen der DSGVO zu kennen und umzusetzen, um rechtliche Konsequenzen und Datenschutzverstöße zu vermeiden.

Benötigen Sie Unterstützung bei der Einhaltung der Datenschutzvorgaben?

Kontaktieren Sie uns für Beratung und praxisnahe Lösungen – gemeinsam machen wir Ihre Datenverarbeitung sicher und rechtskonform.

Vertrauen Sie auf unsere Erfahrung und unser Know-how.

Beratung anfragen