Was sind sensible Daten nach Art. 9 DSGVO?
Ab wann ist ein Datenschutzbeauftragter wegen der Verarbeitung sensibler Daten gesetzlich vorgeschrieben? Die Antwort liegt in der Verbindung dreier DSGVO-Normen: Art. 9 DSGVO (besondere Kategorien personenbezogener Daten), Art. 10 DSGVO (strafrechtliche Daten) und Art. 37 DSGVO (Benennungspflicht). Als erfahrene Kanzlei im Datenschutz und IT-Recht begleitet SITTIG LAW Unternehmen und Organisationen durch diese komplexen Anforderungen.
Im folgenden Beitrag erfahren Sie, welche Datenkategorien als besonders schützenswert gelten, wann die Benennungspflicht entsteht und welche praktischen Konsequenzen ein Verstoß hat.
Die Datenschutz-Grundverordnung unterscheidet zwischen gewöhnlichen personenbezogenen Daten – etwa Name, Adresse oder E-Mail-Adresse – und solchen Datenkategorien, die ein besonders hohes Risiko für die Grundrechte und Grundfreiheiten der betroffenen Personen tragen. Diese besonderen Kategorien sind in Art. 9 DSGVO aufgeführt.
Zu den besonderen Kategorien zählen: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten (zur eindeutigen Identifizierung einer Person), Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung.
Der Gesetzgeber hat diesen Katalog bewusst eng und abschließend gefasst. Es können keine weiteren Kategorien durch Auslegung hinzugefügt werden. Allerdings sind auch indirekte Daten erfasst: Informationen, die mittelbar auf eine dieser Kategorien schließen lassen, unterfallen ebenfalls dem Schutz des Art. 9 DSGVO.