Datenschutz – Personenbezogene Daten und besondere Kategorien personenbezogener Daten
Personenbezogenen Daten, Art. 4 Abs.1 DSGVO. Im Mittelpunkt datenschutzrechtlicher Regelungen stehen die sogenannten „personenbezogenen Daten“. Es handelt sich dabei um Daten, die eine eindeutige Bestimmung bzw. eine direkte oder indirekte Zuordnung zu einer natürlichen Person ermöglichen, wie etwa einem Namen, einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, psychologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer. Hierbei unterscheidet man zwischen verschiedene Arten personenbezogener Daten und ihrem Schutzbedürfnis.
Besondere Kategorien personenbezogener Daten, Art. 9 DSGVO
Angaben zur rassischen und ethnischen Herkunft, zu politischen Meiningen, zu religiösen oder weltanschaulichen Überzeugungen oder eine etwaige Gewerkschaftszugehörigkeit fallen ebenso in diese Kategorie wie genetische Daten, biometrische Daten, Daten zur Gesundheit zum Sexualleben oder der sexuellen Orientierung. Der Umgang mit dieser besonderen Kategorie personenbezogener Daten findet sich in Art. 9 DSGVO.
Umgang mit besonderen Kategorien von personenbezogenen Daten
Nach Art. 9 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt. Eine Verarbeitung dieser besonderen Kategorien von Daten ist ausschließlich in besonderen Ausnahmefällen gestattet, die sich in Art. 9 Abs.2 DSGVO finden. Besondere Relevanz hat dabei die Einwilligung zur Verarbeitung durch die betroffene Person selbst die eine der Ausnahmen vom Verbot darstellt.
Einwilligung und Freiwilligkeit
Diese Einwilligung muss grundsätzlich freiwillig erfolgen. Die Beurteilung der Freiwilligkeit kann durchaus schwierig sein. Insbesondere im Rahmen von Rechtsverhältnissen wie etwa einem Arbeitsverhältnis kann die Freiwilligkeit fraglich sein, da der Arbeitnehmer in Abhängigkeit zum Arbeitgeber steht. Freiwilligkeit wird nach dem BDSG angenommen, wenn für die beschäftigte Person mit Erteilung der Einwilligung ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen (§ 26 BDSG).
Besondere Hinweispflichten treffen den Arbeitgeber, wenn es um besondere Arten von personenbezogenen Daten geht. Dabei muss der Arbeitgeber den Arbeitnehmer über den Zweck der Datenverarbeitung aufklären und über sein Widerrufsrecht nach Art. 7 Abs.3 DSGVO in Textform aufzuklären.
Auch im medizinischen Bereich kann es zu Problemen kommen, wenn es um besondere Arten von personenbezogenen Daten und der rechtlichen Grundlage für deren Verarbeitung geht. Insbesondere geht es oft um die Frage, ob medizinische Daten, die in Verarbeitungsketten weitergegeben werden, auf einer dahingehenden Einwilligung beruhen. Eine einmal gegenüber der ersten verarbeitenden Stelle erteilte Einwilligung reicht oftmals nicht aus und es ist durchaus Zweifelhaft, ob sich diese Einwilligung auf die weiteren beteiligten Stellen bei der Verarbeitung von Gesundheitsdaten bezieht – in diesen Fällen bedarf es einer genauen Prüfung des jeweiligen Einzelfalls und den Umfang der Aufklärung der betroffenen Peron mit Hinblick auf den zugrundeliegenden Zweck der Verarbeitung.