Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht Beiträge zur Umsetzung der am 25.05.2018 wirksamen Datenschutz-Grundverordnung (DS-GVO). Hierzu werden relevante Themenkomplexe erörtert. Dies erfolgt im Sinne einer Interpretation bzw. Erörterung uns stellt keine verbindliche Auffassung der Aufsichtsbehörde dar.
6 Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9)
Was hat sich zum § 3 Abs. 9 BDSG bei der Definition personenbezogener Daten geändert? Prinzipiell sind keine gravierenden Änderungen festzustellen:
„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“ (Art. 9 Abs. 1 DS-GVO)
Neu sind bei der DS-GVO die Kategorien „genetische Angaben“ (§ 4 Abs. 13) und „biometrische Daten“ (§ 4 Abs. 14) hinzugekommen (vgl. auch ErwGr 34, 35 und 54). Speziell die biometrischen Daten finden sich in Unternehmen an vielen Stellen (Zutrittskontrollen mit Fingerabdruck, Iris-Erkennung etc.).
Welche Konsequenzen hat dies nun für Unternehmen:
- Prinzipiell spiegelt sich der besondere Schutz diese Daten durch das in Art. 9 Abs. 1 formulierte ausdrückliche Verbot der Verarbeitung dieser Datenkategorien wieder („Verbot mit Erlaubnisvorbehalt“).
- Bei umfangreicher Verarbeitung von Daten dieser Kategorien ist ein Datenschutzbeauftragter zu bestellen (Art. 37 Abs. 1 c).
- Bei umfangreicher Verarbeitung von Daten dieser Kategorien ist eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 Abs. 3 b).
- Eine automatisierte Entscheidung auf der Grundlage der angeführten besonderen Kategorien ist nur begrenzt möglich (Art. 22 Abs. 4).
Wie wird das „Verbot mit Erlaubnisvorbehalt“ geöffnet? Prinzipiell durch
- die Einwilligung des Betroffenen (Art. 9 Abs. 2 a), Diese kann jedoch vom Gesetzgeber ausdrücklich ausgeschlossen werden. Hierzu gibt es eine Öffnungsklausel für spezifische Regelungen der Mitgliedsstaaten und
- weitere Erlaubnistatbestände die sich im Art. 9 Abs. 2 b – j in Verbindung mit Abs. 3 finden.
Fazit
Alles in allem führt die DS-GVO zu einer Erweiterung der besonderen Kategorien personenbezogener Daten. Neu ist zudem die geforderte Datenschutz-Folgenabschätzung, die jedoch bereits in der Vorabkontrolle des § 4d BDSG in Ansätzen zu finden ist.