Aufgezwungene besondere Kategorien personbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten hatten wir schon häufig in unseren Beiträgen thematisiert. So beispielsweise hier, hier oder hier.

Was sind besondere Kategorien personenbezogener Daten?

Die Kurzzusammenfassung lautet so: Die DSGVO erklärt einige Kategorien personenbezogener Daten für besonders sensibel und erlaubt deren Verarbeitung nur unter sehr strengen Voraussetzungen. Hierzu werden diese Kategorien in Art. 9 Abs. 1 DSGVO zunächst abschließend festgelegt. Im Einzelnen handelt es sich um personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Um bezüglich dieser Daten ein besonderes Schutzniveau zu erreichen, wird deren Verarbeitung in Art. 9 Abs. 1 DSGVO zunächst grundsätzlich untersagt. In Art. 9 Abs. 2 DSGVO werden dann einige Ausnahmen definiert, bei deren Vorliegen eine Verarbeitung dieser Kategorien möglich ist. Zu nennen wären hier beispielsweise die Einwilligung oder die Erforderlichkeit zum Schutz lebenswichtiger Interessen. Weich formulierte Ausnahmetatbestände, ähnlich der Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, finden sich in diesen Ausnahmetatbeständen nicht.

Rechtsgrundlage oder Ausnahmetatbestand?

Rechtsdogmatisch handelt es sich bei diesen Ausnahmetatbeständen übrigens nicht um eigene Rechtsgrundlagen, sondern um genau das, was auch im Verordnungstext steht: Nämlich die Ausnahme vom Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten. Die diesbezügliche Rechtsgrundlage dieser Verarbeitung ist weiterhin in Art. 6 Abs. 1 DSGVO zu suchen. Ob dies tatsächlich der Fall ist oder ob Art. 9 Abs. 2 DSGVO eigene Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten definiert, wurde in der Vergangenheit übrigens kontrovers diskutiert. Wir haben schon immer erstere Auffassung vertreten, beispielsweise in unserem Beitrag vom 17.02.2020. Der EuGH hat diese Auffassung mit seiner Entscheidung vom 21.12.2023 (C-667/21) bestätigt.

Sind besondere Kategorien personenbezogener Daten immer sensibler als andere personenbezogene Daten?

Ob diese strenge Aufteilung in besonders schützenswerte und weniger schützenswerte Kategorien personenbezogener Daten sinnvoll ist oder nicht, kann sicherlich kontrovers diskutiert werden. Zumindest führt das Ergebnis dieser strengen Aufteilung teilweise zu Ergebnissen, die weder von unseren Kunden noch von den betroffenen Personen gut nachvollzogen werden können. So würde die Information über einen harmlosen Mückenstich (Gesundheitsdatum) grundsätzlich einem höheren Datenschutz unterliegen als beispielsweise umfangreiche Informationen zu Gehalt und Vermögen einer Person. Wir vermuten mal, dass der größte Teil der Bevölkerung das wohl anders einschätzen würde und eher die Kontoauszüge geheim halten würde als den Mückenstich unter langer Kleidung zu verstecken. Aber gut – so ist es halt in der DSGVO definiert und wir müssen damit leben. Etwas relativiert wird diese Diskrepanz übrigens durch den in der DSGVO festgelegten risikobasierten Ansatz. Auch wenn die Daten zu Gehalt und Vermögen nicht zu den besonderen Kategorien personenbezogener Daten zählen, ist deren Verarbeitung dennoch mit einem höheren Risiko verbunden als beispielsweise die Verarbeitung von Adressdaten. Sie sind daher schon aus diesem Grund besser zu schützen.

Besondere Kategorien personenbezogener Daten als Beifang

Bleiben wir aber mal bei dem Thema der besonderen Kategorien personenbezogener Daten. Ab wann verarbeitet man eigentlich solche Daten und was gehört eigentlich genau dazu? Wenn jemand beispielweise in die Veröffentlichung seines Fotos einwilligt und auf diesem Foto ist zu sehen, dass derjenige eine Brille trägt, eine Beinprothese hat oder dass die Person, wie in unserem obigen Beispiel, von einem Mückenstich betroffen ist. Handelt es sich hierbei bereits um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten?

Bislang hatte man größtenteils hier einen recht pragmatischen Ansatz vertreten. Und zwar hatte der EDSA in seinen bereits am 29.01.2020 angenommenen Leitlinien zur Verarbeitung personenbezogener Daten durch Videogeräte festgestellt, dass deren Verarbeitung nicht zwangsläufig die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO bedeutet. Diese Auffassung findet sich auch wieder in Erwägungsgrund 51 zur DSGVO mit Satz 3:

Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.

Soweit war die Welt also in Ordnung und mit dieser pragmatischen Lösung konnten alle Beteiligten gut leben. Wäre da nicht der EuGH…. Dieser hatte sich bereits im Juli 2023 mit der Thematik befasst und die Definition der Verarbeitung besonderer Kategorien personenbezogener Daten sehr weit ausgelegt (C-252/21).

Im Kern ging es bei der zu beantwortenden Frage um ein soziales Netzwerk (hier Meta), das über die auf vielen Apps oder Webseiten zu findende Verknüpfung mit dem jeweiligen Nutzerkonto des sozialen Netzwerks, Informationen zu den verarbeiteten Daten auf der App oder Webseite erhalten hat. Haben die auf solchen Apps oder Webseiten verarbeiteten Daten nun einen Bezug zu den besonderen Kategorien personenbezogener Daten, dann ist nicht auszuschließen, dass auch das soziale Netzwerk Kenntnis von diesen Daten erhält. Dies könnte beispielsweise der Fall sein, bei Onlinekäufen von Artikeln im Gesundheitsbereich oder bei Beiträgen in Foren zu besonderen Interessensgebieten. Und genau hier wird es spannend. Verarbeitet das soziale Netzwerk nun besondere Kategorien personenbezogener Daten und benötigt hierfür eine Rechtsgrundlage (Spoiler: die sich kaum finden lassen wird)? Oder kann hier sinngemäß argumentiert werden, dass durch das soziale Netzwerk keine besonderen Kategorien personenbezogener Daten verarbeitet werden, unter anderem weil der Zweck der Verarbeitung ja gar nicht darin besteht, besondere Kategorien personenezogener Daten zu verarbeiten, sondern diese Informationen eher als „Beifang“ übermittelt werden. Der EuGH vertrat hier die strenge Auffassung. Es genügte, dass diese Daten verarbeitet wurden oder zumindest Rückschlüsse auf diese Daten möglich waren.

Konsequenzen für soziale Netzwerke?

Einerseits ist das Urteil nachvollziehbar. Wenn besondere Kategorien personenbezogener Daten bei dem sozialen Netzwerk landen, dann spricht auch einiges dafür, dass man es dann auch dahingehend klassifiziert und die Verarbeitung nur zulässig ist, wenn eine Ausnahme gemäß Art. 9 Abs. 2 DSGVO für diese Verarbeitung vorliegt. Für die sozialen Netzwerke auf der anderen Seite bedeutet das Urteil eine „Mission Impossible“. Die Datenübermittlung erfolgt auf Basis von automatisierten Schnittstellen, die von den Betreibern der Apps oder Webseiten beliebig eingesetzt werden können. Das heißt, die Betreiber der sozialen Netzwerke können im Vorfeld überhaupt nicht wissen, was Ihnen an Daten bereitgestellt wird. In den meisten Fällen wird es sich dabei nicht um besondere Kategorien personenbezogener Daten handeln. Es kann aber auch nie ganz ausgeschlossen werden. Zurück zur Überschrift des Artikels: Die Daten werden dem Betreiber des sozialen Netzwerks praktisch „aufgezwungen“. Im Prinzip steht damit dieser gesamte Bereich des Geschäftsmodells der sozialen Netzwerke auf der Kippe.

Konsequenzen für andere Verantwortliche?

Denken wir das Ganze mal weiter: Auch bei der oben genannten Videoüberwachung kann man, in Anlehnung an das vorgenannte Urteil des EuGH, durchaus argumentieren, dass hier besondere Kategorien personenbezogener Daten verarbeitet werden. Und auch hier stellt sich, genau wie bei den sozialen Netzwerken, das Problem, dass sich in Art. 9 Abs. 2 DSGVO kein Ausnahmetatbestand finden lassen wird, auf den eine Verarbeitung gestützt werden könnte. Die Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO scheidet schon mal aus. Niemand wird freiwillig in eine Videoüberwachung einwilligen. Teilweise wird argumentiert, man könne den Art. 9 Abs. 2 lit. f DSGVO heranziehen. Aber auch hier haben wir unsere Zweifel. Die vorgenannte Ausnahme greift dann, wenn „die Verarbeitung […] zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen […] erforderlich“ ist. Tatsächlich liegt zumindest ein Teil der Zwecke einer Videoüberwachung darin, Personen irgendwelcher Vergehen, wie Vandalismus oder Diebstahl zu überführen und entsprechende Rechtsansprüche gegenüber dieser Personen geltend zu machen. Dennoch halten wir diese Argumentation für zu weitgehend. Letztlich hat sich der Großteil der aufgenommen Personen nichts zu Schulden kommen lassen und dementsprechend bestehen gegenüber diesen Personen auch keine Rechtsansprüche. Diese Regelung so weit zu interpretieren, dass man daraus ableitet, dass es zulässig sei, zunächst beliebige viele Daten von einer Vielzahl an Personen auf Vorrat zu speichern, nur für den Fall, dass sich daraus in Einzelfällen gegebenenfalls mal Rechtsansprüche ergeben könnten, wäre aus unserer Sicht eine Überdehnung.

Fazit

Wir empfehlen derzeit, nicht in Panik zu verfallen und die weitere Entwicklung abzuwarten. Es ist durchaus möglich, dass der EuGH hier eine Einzelfallentscheidung getroffen hat, die für die konkrete Übermittlung zwischen Betreibern von Apps oder Webseiten an soziale Netzwerke Gültigkeit hat, auf andere Verarbeitungen aber nicht übertragbar ist, wie beispielsweise auf die Videoüberwachung. Wäre dies anders, dann käme man schnell auf weitere nicht wünschenswerte Ergebnisse. Denn auch bei vielen anderen Verarbeitungen kann nicht ausgeschlossen werden, dass im Zweifelsfall ungewollt besondere Kategorien personenbezogener Daten verarbeitet werden. Denken wir nur mal an ein simples Kontaktformular oder eine Anmeldung zum Newsletter. Kann man ausschließen, dass jemand im Kontaktformular oder bei der Anmeldung zum Newsletter (im Zweifelsfall im Feld „Name“) irgendwelche Gesundheitsdaten einträgt? Nein, kann man nicht.

Insofern hoffen wir, dass sich am Ende ein pragmatischer Ansatz durchsetzen wird. Sollte es nicht so sein – werden wir auf jeden Fall sofort einen Artikel dazu veröffentlichen…

____________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.