Sensible Daten. Diese Worte hat wohl jeder schon einmal im Zusammenhang mit Datenschutz gehört. Was genau unter „sensible Daten“ nach Art. 9 DS-GVO fällt, warum sie besonders zu schützen sind und Sie eine Verarbeitung dergleichen möglichst vermeiden sollten, klären wir heute. Fällt die Verarbeitung sensibler Daten in die Kernaktivität Ihres Unternehmens, ist es umso wichtiger, diese richtig zu schützen.

Aber was genau sind sensible Daten gemäß Art. 9 DS-GVO?

Gemäß Artikel 9 der DS-GVO sind sensible Daten persönliche Daten, die Informationen über:

• rassistische oder ethnische Herkunft,
• politische Meinungen,
• religiöse oder weltanschauliche Überzeugungen,
• Gewerkschaftszugehörigkeit,
• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung einer Person,
• Gesundheitsdaten oder
• Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person offenbaren.

In Art. 9 DS-GVO werden sensible Daten auch als „besondere Kategorien personenbezogener Daten“ bezeichnet. Diese Kategorien von Daten gelten als besonders sensibel, da ihre Offenlegung ein höheres Risiko für die Privatsphäre und die Grundrechte und -freiheiten der betroffenen Personen darstellen kann.

Der EuGH nimmt in seinem Urteil vom 01.08.2022 (Rs. C-184/20) eine weite Auslegung des Anwendungsbereiches des Art. 9 DS-GVO vor: Daten, aus denen mittels „gedanklicher Kombination oder Ableitung“ z.B. auf die sexuelle Orientierung einer Person geschlossen werden kann, unter Art. 9 DS-GVO fallen. Im Rahmen einer pflichtigen Angabe in einem Formular der litauischen Verwaltung fällt die Bekanntgabe des vollständigen Namens des Ehegatten, Partners oder Lebensgefährten in den Anwendungsbereich des Art. 9 DS-GVO, weil Rückschlüsse auf die sexuelle Orientierung der erklärungspflichtigen Person geschlossen werden können.

Warum sollten sensible Daten besonders geschützt werden?

Der Schutz sensibler Daten ist von entscheidender Bedeutung, da ihre Offenlegung oder unbefugte Verarbeitung schwerwiegende Auswirkungen auf die Privatsphäre und die persönliche Integrität einer Person haben kann.

Zum Beispiel könnten Informationen über die religiöse Überzeugung oder die sexuelle Orientierung einer Person dazu führen, dass diese Opfer von Diskriminierung oder Stigmatisierung werden. Gesundheitsdaten könnten sensible Informationen über medizinische Zustände oder genetische Merkmale einer Person preisgeben, die sie möglicherweise nicht mit anderen teilen möchten. Was sie grundsätzlich auch nicht müssen, denn diese Informationen können ggf. ebenfalls zu Diskriminierung zum Beispiel auf dem Arbeitsmarkt führen. Auch hierdurch kann der betroffenen Person ein einschneidender Nachteil entstehen.

Wie sollten sensible Daten behandelt werden?

Gemäß der DS-GVO dürfen sensible Daten nur unter bestimmten Bedingungen verarbeitet werden und es gelten strengere Anforderungen für ihre Verarbeitung im Vergleich zu anderen Arten von persönlichen Daten. Beispielsweise ist die Verarbeitung sensibler Daten in der Regel nur dann zulässig, wenn die betroffene Person ihre ausdrückliche Einwilligung gegeben hat oder wenn die Verarbeitung für spezifische legitime Zwecke erforderlich ist, wie z.B. im Gesundheitswesen oder für die Erfüllung rechtlicher Verpflichtungen im Arbeitsrecht. Hierbei geht es vor allem um das Abführen der Sozialversicherungsbeiträge durch den Arbeitgeber.

Eine Verarbeitung von Art. 9 DS-GVO senkt darüber hinaus die Schwelle für die Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 3 lit. b DS-GVO) und der Benennung eines Datenschutzbeauftragten (Art. 37 Abs. 1 lit. c DS-GVO).

Da die Verarbeitung von sensiblen Informationen zwangsläufig mit einem potenziell höheren Risiko für die Rechte und Freiheiten der betroffenen Personen einhergeht, ist es wichtig, angemessene Sicherheitsmaßnahmen zu ergreifen, um sensible Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Dazu gehören technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffskontrollen und Schulungen für Mitarbeiter im Umgang mit sensiblen Daten.

Abschließend ist zu betonen, dass der Schutz sensibler Daten eine gemeinsame Verantwortung ist und dass jeder Einzelne dazu beitragen kann, die Privatsphäre und die Grundrechte anderer zu respektieren und zu schützen.