Serie Rechtsgrundlagen: Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO

Sensible personenbezogene Daten dürfen nur unter sehr engen Voraussetzungen verarbeitet werden.

17.02.2020

Sie lesen den achten und damit letzten Artikel unserer Serie zu den Rechtsgrundlagen der DSGVO. Im Rahmen dieser Serie konnten Sie bisher die in der DSGVO festgelegten Regelungsgrundsätze sowie eine Reihe an Rechtsgrundlagen kennenlernen; die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVOdie Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO, die rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO, die lebenswichtigen Interessen gemäß Art. 6 Abs. 1 lit. d, die Wahrnehmung öffentlicher Aufgaben gemäß Art. 6 Abs. 1 lit. e DSVGO sowie das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

Dieser Artikel befasst sich mit Art. 9 DSGVO, der Verarbeitung besonderer Kategorien personenbezogener Daten. Rechtsdogmatisch handelt es sich hierbei gar nicht um eine Rechtsgrundlage, aber dazu später mehr.

Welche Daten fallen darunter?

Zu den besonderen Kategorien personenbezogener Daten gehören

  • personenbezogene Daten aus denen
    • die rassische und ethnische Herkunft,
    • politische Meinungen,
    • religiöse oder weltanschauliche Überzeugungen,
    • die Gewerkschaftszugehörigkeit hervorgehen,
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Daten zum Gesundheitszustand einer natürlichen Person.
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Die Verarbeitung dieser Daten ist durch Art. 9 Abs. 1 DS-GVO grundsätzlich untersagt.

Ausnahmen

Und wenn der Jurist sagt „grundsätzlich“, dann heißt das, es gibt Ausnahmen. In Art. 9 Abs. 2 DSGVO ist ein Katalog mit Ausnahmetatbeständen aufgeführt, der in einem eng auszulegenden Rahmen Ausnahmen zulässt:

  1. Es liegt eine ausdrückliche Einwilligung der betroffenen Person vor.
  2. Die Verarbeitung ist im Rahmen des Arbeits- oder Sozialrechts erforderlich und es gibt eine spezialgesetzliche Regelung auf nationaler Ebene.
  3. Die Verarbeitung ist zum Schutz lebenswichtiger Interessen einer Person erforderlich und diese ist körperlich oder rechtlich außerstande einzuwilligen.
  4. Die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten für ihre (ehemaligen) Mitglieder oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten und die personenbezogenen Datendürfen nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden.
  5. Die betroffene Person hat die Daten offensichtlich öffentlich gemacht.
  6. Die Verarbeitung ist zur Rechtsverfolgung oder für die Aufgabenerfüllung der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich.
  7. Die Verarbeitung ist auf rechtlicher Grundlage aus Gründen eines erheblichen öffentlichen Interesses erforderlich.
  8. Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich, erfolgt durch Berufsgeheimnisträger und beruht auf einer rechtlichen Grundlage oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes. Die an der Verarbeitung Beteiligten müssen dem Berufsgeheimnis oder einer vergleichbaren Geheimhaltungspflicht unterliegen.
  9. Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, beispielsweise zur Verhinderung von Epidemien oder zur Gewährleistung der Arzneimittelsicherheit, auf einer rechtlichen Grundlage erforderlich.
  10. Die Verarbeitung erfolgt auf einer rechtlichen Grundlage für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche Forschungszwecke oder ist für statistische Zwecke gemäß 89 Abs. 1 DSGVO erforderlich.
  11. Darüber hinaus kann der Gesetzgeber aufgrund der benannten Öffnungsklauseln in Art. 9 Abs. 2 lit. b, g, h, i und j DSGVO spezialgesetzlichen Regelungen erlassen. Davon hat er in den §§ 22 Abs. 1 (Verarbeitung besonderer Kategorien personenbezogener Daten), 27 (Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken) und 28 BDSG (Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken) in Verbindung mit den jeweiligen konkreten spezialgesetzlichen Regelungen Gebrauch gemacht.

§ 22 Abs. 2 BDSG enthält darüber hinaus Maßnahmen zur Wahrung der Interessen der betroffenen Personen. Diese sind für jeden Verantwortlichen und damit jeden, der besondere Kategorien personenbezogener Daten verarbeitet, zu beachten.

Auf die beiden am häufigsten genutzten Ausnahmetatbestände wollen wir nachfolgend noch etwas näher eingehen.

Die ausdrückliche Einwilligung

Anders als in Art. 6 Abs. 1 lit. a DSGVO beschrieben, besteht Art. 9 Abs. 2 lit. a DSGVO auf einer ausdrücklichen Einwilligung. Hiermit ist gemeint, dass beispielsweise konkludentes Handeln nicht als Einwilligungstatbestand anzusehen ist. Es muss zwingend eine Erklärung hierzu geben. Diese kann grundsätzlich auch mündlich erfolgen, allerdings würden wir hiervon aus Gründen der Nachweisbarkeit abraten. Gemäß Art. 7 Abs. 1 DS-GVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

In Verbindung mit Beschäftigtendatenschutz

Die Verarbeitung besonderer personenbezogener Daten ist für die Zwecke des Beschäftigungsverhältnisses zulässig. Neben diesem Ausnahmetatbestand müssen gemäß § 26 BDSG folgende Punkte vorliegen:

  • Die Verarbeitung ist zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich und
  • es besteht kein Grund zu der Annahme, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Alternativ kann es notwendig (beziehungsweise möglich) sein, dass eine Einwilligung des Beschäftigten vorliegt. Die Einwilligung muss sich ausdrücklich auf die besonderen Kategorien personenbezogener Daten beziehen.

Wie steht Art. 9 DSGVO im Verhältnis zu Art. 6 Abs. 1 DSGVO?

Diese Serie bezog sich bislang auf die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO. Wie passt das nun mit dem Art. 9 DSGVO zusammen? Gelten die Vorschriften nebeneinander oder ist Art. 9 DSGVO auch ohne Art. 6 DSGVO zu betrachten?

Es gelten in erster Linie die allgemeinen Grundsätze und andere Bestimmungen der DSGVO hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung. Da die besonderen Kategorien personenbezogener Daten einem höheren Schutzbedarf unterliegen, sind natürlich auch höhere Anforderungen an die Rechtfertigung und Intensität eines Zugriffs und die Wirksamkeit der technischen und organisatorischen Maßnahmen zu stellen. Daher muss neben den Voraussetzungen des Art. 9 DSGVO auch eine Rechtsgrundlage für die Verarbeitung nach Art. 6 DSGVO vorliegen.

Begründen lässt sich das sehr schön mit dem Ausnahmetatbestand aus Art. 9 Abs. 2 lit. e DSGVO: Die Verarbeitung „normaler“ öffentlicher Daten ist nur zulässig, sofern sich eine entsprechende Rechtsgrundlage des Art. 6 DS-GVO findet. Dort ist für öffentlich bekannt gemachte Daten keine Ausnahme definiert. Stellen wir uns nun vor, es wäre ausreichend, für besondere Kategorien personenbezogener Daten lediglich Art. 9 DSGVO heranzuziehen. Wir hätten dann die paradoxe Situation, dass aufgrund der Ausnahme, die in Art. 9 Abs. 2 lit. e DSGVO definiert wird, die Verarbeitung öffentlich gemachter Daten der besonderen Kategorien ohne weitere Prüfung der Zulässigkeit immer stattfinden dürfte, normale öffentlich gemachte Daten jedoch nicht. Dies kann nicht im Sinne des Verordnungsgebers gewesen sein.

Bei der Begründung (oder Prüfung) der Rechtmäßigkeit einer Verarbeitung hat das Vorgehen sich also stets zuerst an Art. 6 DSGVO auszurichten. Nur wenn hier eine Rechtmäßigkeit der Verarbeitung festgestellt werden kann, ist die weitere Begründung der rechtmäßigen Verarbeitung auch bei besonderen Kategorien personenbezogener Daten mit den Ausnahmetatbeständen des Art. 9 DSGVO zulässig.

Fazit

Die Verarbeitung von besonderen Kategorien personenbezogener Daten ist nur unter engen Voraussetzungen zulässig. Diese sind in den sogenannten Ausnahmetatbeständen zu dem grundsätzlich konstituierten Verarbeitungsverbot festgelegt, die nicht einfach zu überblicken sind. Bei Einsatz einer Einwilligungserklärung gibt es einige Fallstricke. Wenn nicht alle Besonderheiten beachtet werden, liegt gegebenenfalls eine unrechtmäßige Verarbeitung und damit ein Verstoß gegen Art. 9 DSGVO vor, welcher gemäß Art. 83 Abs. 5 DSGVO mit einem Bußgeld von bis zu 20 Mio. Euro geahndet werden kann.

Planen Sie, besondere Kategorien personenbezogener Daten zu verarbeiten und sind unsicher, ob Sie den korrekten Ausnahmetatbestand gemäß Art. 9 DSGVO zugrunde legen? Melden Sie sich, wir unterstützen Sie!

 

Dieser Artikel ist Teil unserer Reihe zu den Rechtsgrundlagen. Die weiteren Artikel finden Sie hier: