DSGVO - BDSG - TTDSG. Группа авторов
I. Regelungsinhalt
1
Art. 9 DSGVO enthält für die Verarbeitung personenbezogener Daten besondere Zulässigkeitsvoraussetzungen, wenn es sich um ausgewählte Datenkategorien handelt. Dadurch sollen solche personenbezogenen Daten einen zusätzlichen Schutz genießen, bei deren Verarbeitung ein erhebliches Risiko für die Grundrechte und Grundfreiheiten der betroffenen Personen nicht auszuschließen sind (vgl. ErwG 51).1 Diese als besonders schützenswert deklarierten Kategorien von Daten – zumeist als „sensitive“ oder auch besonders „sensible“ Daten bezeichnet2 – unterliegen nach Art. 9 DSGVO zunächst einmal einem strikten Datenverarbeitungsverbot (Abs. 1).3 Die aufgeführten besonders geschützten Datenarten sind dabei zum größten Teil bereits nach dem alten Bundesdatenschutzgesetz bekannt, wurden jedoch um die genetischen und biometrischen Daten ergänzt.4 Nicht vom Katalog der besonderen Datenarten erfasst, werden die Daten über strafrechtliche Verurteilungen und Straftaten bzw. damit zusammenhängende Sicherungsmaßregeln, deren Verarbeitung jedoch den besonderen Voraussetzungen des Art. 10 DSGVO unterliegen.5
2
Die in Abs. 1 genannten besonderen Datenarten unterliegen einem Verarbeitungsverbot, sofern nicht einer der in Abs. 2 genannten Ausnahmetatbestände vorliegt.6 Als spezielle Erlaubnistatbestände für die besonderen Datenkategorien entwickeln die in Abs. 2 genannten Ausnahmetatbestände eine Sperrwirkung gegenüber allgemeinen Erlaubnistatbeständen (insbesondere der Interessenabwägungsklausel gem. Art. 6 Abs. 1 lit. f DSGVO), insoweit sind sie als leges speciales für die in Abs. 1 genannten Datenkategorien zu betrachten.7
3
Darüber hinaus benennen Abs. 3 und Abs. 4 allgemeine Rahmenbedingungen der Verarbeitung der in Abs. 1 genannten Daten, unterscheiden dabei aber zwischen der Verarbeitung von Daten im Gesundheitsbereich (Abs. 2 lit. h), die einem Berufsgeheimnis unterliegen, und genetischen, biometrischen und Gesundheitsdaten, an deren Verarbeitung zusätzliche Bedingungen gestellt werden. Außerdem enthält Abs. 4 für die im Rahmen dessen genannten Datenkategorien die Möglichkeit spezifischer mitgliedstaatlicher Regelungen.8 Ziel ist dabei der Schutz der informationellen Selbstbestimmung bzw. des Grundrechts auf Datenschutz im Sinne des Art. 8 GRCh.9
4
Der Inhalt und die Art der Daten wirken sich demnach auf den Umfang der Schutzbedürftigkeit aus,10 auch wenn bereits das Bundesverfassungsgericht die Feststellung traf, dass es eigentlich unter den Bedingungen einer automatischen Datenverarbeitung so etwas wie belanglose Daten nicht mehr gibt.11 Der Verwendungszweck ist aber dennoch weiterhin ein entscheidendes Kriterium für die Frage der Zulässigkeit einer Verarbeitung.12
5
Darüber hinaus kann die Verarbeitung sensibler Daten im Sinne des Art. 9 Abs. 1 DSGVO zu weiteren Pflichten des Verantwortlichen führen. So muss ein Verzeichnis von Verarbeitungstätigkeiten geführt (Art. 30 Abs. 5 DSGVO) und die Notwendigkeit einer Datenschutz-Folgenabschätzung geprüft werden (vgl. § 35 Abs. 3 lit. b DSGVO). Darüber hinaus sind die engen Grenzen von Art. 22 Abs. 4 DSGVO zu beachten.13 Außerdem müssen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten im Falle dessen zwingend benennen, sofern die Verarbeitung der sensiblen Daten