DSGVO - BDSG - TTDSG

Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

1 a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

2 b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

3 c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,

4 d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

5 e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

6 f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,

7 g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,

8 h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

9 i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

10 j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

Mit der Norm korrespondieren die Erwägungsgründe 46, 51–56.

Literatur: Albrecht, Überblick und Hintergründe zum finalen Text für die Datenschutz-Grundverordnung, CR 2016, 88; Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Remagen 2018; Däubler, Das neue Bundesdatenschutzgesetz und seine Auswirkungen im Arbeitsrecht, NZA 2001, 874; Eckhardt/Kramer/Mester, Auswirkungen der geplanten EU-DSGVO auf den deutschen Datenschutz, DuD 2013, 623; Eckhardt/Menz, Bußgeldsanktionen der DSGVO, DuD 2018, 139; Hauser, Einwilligung im Krankenhaus nach der EU DS-GVO, KH 2018, 403; Kort, Überwachungsrecht des Betriebsrats bei Maßnahmen des betrieblichen Eingliederungsmanagement, DB 2012, 688; Krügel, Das personenbezogene Datum nach der DSGVO, ZD 2017, 455; Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht, EuZW 2016, 448; Mester, Haftungsrisiko i.S.d. DSGVO, DuD 2018, 181; Nguyen, Videoüberwachung in sensitiven Bereichen, DuD 2011, 715; Oettel, Wesensdaten: Regulierungslücke im derzeitigen Datenschutzrecht, DuD 2021, 623; Schläger/Thode, Handbuch zum Datenschutzrecht und IT-Sicherheit, Berlin 2018; Schmitz, Der Abschied vom Personenbezug, ZD 2018, 5; Spindler, Die neue EU-Datenschutz-Grundverordnung, DB 2016, 937; Steffen, Zivilrechtliche Haftung von Datenschutzbeauftragten für Bußgelder, DuD 2018, 145; Wybitul, Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte?, ZD 2016, 203.

Übersicht

I. Regelungsinhalt

1

Art. 9 DSGVO enthält für die Verarbeitung personenbezogener Daten besondere Zulässigkeitsvoraussetzungen, wenn es sich um ausgewählte Datenkategorien handelt. Dadurch sollen solche personenbezogenen Daten einen zusätzlichen Schutz genießen, bei deren Verarbeitung ein erhebliches Risiko für die Grundrechte und Grundfreiheiten der betroffenen Personen nicht auszuschließen sind (vgl. ErwG 51).1 Diese als besonders schützenswert deklarierten Kategorien von Daten – zumeist als „sensitive“ oder auch besonders „sensible“ Daten bezeichnet2 – unterliegen nach Art. 9 DSGVO zunächst einmal einem strikten Datenverarbeitungsverbot (Abs. 1).3 Die aufgeführten besonders geschützten Datenarten sind dabei zum größten Teil bereits nach dem alten Bundesdatenschutzgesetz bekannt, wurden jedoch um die genetischen und biometrischen Daten ergänzt.4 Nicht vom Katalog der besonderen Datenarten erfasst, werden die Daten über strafrechtliche Verurteilungen und Straftaten bzw. damit zusammenhängende Sicherungsmaßregeln, deren Verarbeitung jedoch den besonderen Voraussetzungen des Art. 10 DSGVO unterliegen.5

2

Die in Abs. 1 genannten besonderen Datenarten unterliegen einem Verarbeitungsverbot, sofern nicht einer der in Abs. 2 genannten Ausnahmetatbestände vorliegt.6 Als spezielle Erlaubnistatbestände für die besonderen Datenkategorien entwickeln die in Abs. 2 genannten Ausnahmetatbestände eine Sperrwirkung gegenüber allgemeinen Erlaubnistatbeständen (insbesondere der Interessenabwägungsklausel gem. Art. 6 Abs. 1 lit. f DSGVO), insoweit sind sie als leges speciales für die in Abs. 1 genannten Datenkategorien zu betrachten.7

3

Darüber hinaus benennen Abs. 3 und Abs. 4 allgemeine Rahmenbedingungen der Verarbeitung der in Abs. 1 genannten Daten, unterscheiden dabei aber zwischen der Verarbeitung von Daten im Gesundheitsbereich (Abs. 2 lit. h), die einem Berufsgeheimnis unterliegen, und genetischen, biometrischen und Gesundheitsdaten, an deren Verarbeitung zusätzliche Bedingungen gestellt werden. Außerdem enthält Abs. 4 für die im Rahmen dessen genannten Datenkategorien die Möglichkeit spezifischer mitgliedstaatlicher Regelungen.8 Ziel ist dabei der Schutz der informationellen Selbstbestimmung bzw. des Grundrechts auf Datenschutz im Sinne des Art. 8 GRCh.9

4

Der Inhalt und die Art der Daten wirken sich demnach auf den Umfang der Schutzbedürftigkeit aus,10 auch wenn bereits das Bundesverfassungsgericht die Feststellung traf, dass es eigentlich unter den Bedingungen einer automatischen Datenverarbeitung so etwas wie belanglose Daten nicht mehr gibt.11 Der Verwendungszweck ist aber dennoch weiterhin ein entscheidendes Kriterium für die Frage der Zulässigkeit einer Verarbeitung.12

5

Darüber hinaus kann die Verarbeitung sensibler Daten im Sinne des Art. 9 Abs. 1 DSGVO zu weiteren Pflichten des Verantwortlichen führen. So muss ein Verzeichnis von Verarbeitungstätigkeiten geführt (Art. 30 Abs. 5 DSGVO) und die Notwendigkeit einer Datenschutz-Folgenabschätzung geprüft werden (vgl. § 35 Abs. 3 lit. b DSGVO). Darüber hinaus sind die engen Grenzen von Art. 22 Abs. 4 DSGVO zu beachten.13 Außerdem müssen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten im Falle dessen zwingend benennen, sofern die Verarbeitung der sensiblen Daten die Kerntätigkeit darstellt (vgl. Art. 37 Abs. 1 lit. c DSGVO).14

II. Schutz sensitiver Daten (Abs. 1)

6

Abs. 1 enthält zunächst einmal das strikte Verbot zur Verarbeitung der dort genannten Datenkategorien. Unmittelbar erfasst werden damit alle Angaben von den in Abs. 1 ausdrücklich genannten Datenkategorien. Ausreichend für das Verbot der Verarbeitung ist es aber außerdem, wenn sich einer dieser Informationen lediglich mittelbar aus dem Gesamtzusammenhang ergibt.15 Danach können auch indirekte Hinweise auf die in Abs. 1 genannten Datenkategorien dem besonderen Schutz aus Abs. 1 unterliegen. Zu berücksichtigen ist insoweit, dass es auf den Informationsgehalt eines Datums ankommt, bei dem auf das Verständnis und den Empfängerhorizont eines durchschnittlichen Empfängers im jeweiligen Verarbeitungskontext abzustellen ist, der dem Verarbeitungszusammenhang im Einzelfall zu entnehmen ist.16 Demgegenüber kommt nicht jede mittelbare Angabe sogleich in den Schutzbereich des Art. 9 DSGVO, vielmehr wird die Ausrichtung der konkreten Datenverarbeitung im Hinblick auf den Schutzzweck der Regelung betrachtet, weshalb auf den Kontext des Einzelfalls abzustellen ist, ob es sich um einen sensiblen Schutzbereich handelt (der Kauf eines Buches mit religiösen Inhalten wird daher zum Beispiel nicht von Art. 9 Abs. 1 DSGVO erfasst).17 In Abs. 1 werden die besonderen Datenkategorien genannt, ohne diese jedoch im Einzelnen zu definieren.

1. „Rassische und ethnische“ Herkunft

7

Zunächst einmal geht es bei der „rassischen und ethnischen“ Herkunft um die Zugehörigkeit zu einer bestimmten Bevölkerungsgruppe.18 Dazu werden unter anderem die Hautfarbe oder sonstige markante Merkmale einer Person gezählt, die Hinweise auf deren Herkunft geben, wie dies neben der Hautfarbe beispielsweise bei typischen auf bestimmte Regionen beschränkte Sprachen, Kultur u.s.w. der Fall ist.19 Beim Namen einer Person müssen demgegenüber besondere Umstände hinzutreten, damit dieser durch Art. 9 Abs. 1 DSGVO geschützt wird.20 Zwar kann ein Name auf die „rassische oder ethnische“ Herkunft Rückschlüsse zulassen, diese werden aber andererseits auch über Generationen weitergegeben und können daher nicht ausnahmslos als schutzwürdig betrachtet werden.21 Wäre das der Fall, würde dies zu einer unangebrachten Privilegierung all derjenigen führen, die entsprechende Namen tragen, unabhängig von einer tatsächlichen Schutznotwendigkeit.22 Allerdings kann es im Einzelfall zu einer anderen Bewertung kommen, wenn der Zweck der Datenverarbeitung gerade dazu dient, diese Rückschlüsse zu ermöglichen.23

2. Politische Meinung

8

Erfasst wird sowohl die politische Meinung als auch die religiöse und weltanschauliche Überzeugung,24 die sich ebenso negativ betrachtet, auf deren Ablehnung beziehen kann.25 Einbezogen werden ebenso die Anschauung, Ansichten, Auffassungen und Einstellungen.26 Hinweise auf die politische Meinung können darüber hinaus gewisse Handlungen bzw. Vorlieben einer Person bieten, weshalb die Unterstützung bzw. Zugehörigkeit zu einer Partei oder einer weltanschaulichen Organisation, das Abonnement einer speziell ausgerichteten Zeitschrift, die Teilnahme an Offline- und Online-Petitionen, das Engagement bei einer Versammlung oder Demonstration usw. ebenfalls dem Schutzbereich des Art. 9 DSGVO unterliegen.27 Die Tätigkeit bei einer politischen Partei oder die Teilnahme an deren Veranstaltungen kann ebenfalls dazugehören,28 wobei in diesem Zusammenhang es stärker auf den konkreten Kontext ankommt, sodass ein Besuch auf Veranstaltungen, die sich stark an Gruppierungen verschiedener politischer Ausrichtungen richten (bspw. Veranstaltungen der Bundeskanzlerin) weniger auf die politische Meinung hinweist, als eventuell der Besuch einer NPD-Demonstration.29

3. Religiöse oder weltanschauliche Überzeugungen

9

Der Schutz von religiösen und weltanschaulichen Überzeugungen hat seinen Ursprung zum einen im Diskriminierungsverbot (Art. 21 Abs. 1 GRCh, Art. 3 Abs. 3 GG), zum anderen im Gebot religiöser Vielfalt (Art. 22 GRCh) und dem Schutz der Glaubens- und Gewissensfreiheit (Art. 10 GRCh, Art. 4 GG).30

10

Bei Betrachtung des grundrechtlichen Begriffs der Religionsfreiheit, bezieht sich die religiöse Überzeugung zunächst einmal auf die Glaubens- und Religionsausübungsfreiheit.31 Damit sind solche Informationen erfasst, die auf die innere religiöse Einstellung oder die äußere Betätigung des freien Glaubens bzw. Bekenntnisse ausgerichtet sind.32 Äußere Merkmale (bspw. Tragen bestimmter Motive, Kleidung) fallen daher nicht ausnahmslos unter Art. 9 DSGVO, sofern die Auswertungsabsicht nicht genau darauf gerichtet ist (bspw. bei allgemeiner Videoüberwachung).33

11

Die weltanschauliche Überzeugung bezieht sich demgegenüber eher auf die Gesamtansicht der Welt und die Stellung des Einzelnen darin (weltliche Anschauung), womit nicht jedwede Überzeugung gemeint ist, sondern nur ideologische Gesinnungen oder Mitgliedschaften in ethnischen Bünden, nicht jedoch bloße Einstellungen (bspw. Vegetarier, Pazifist).34 Ebenso wenig lässt sich aus einem Namen, Geburts- oder Wohnort die religiöse oder weltanschauliche Überzeugung ableiten.35 Eine klare Abgrenzung zwischen der religiösen sowie der weltanschaulichen Überzeugung kann im Einzelfall schwierig werden, ist wegen des vergleichbaren Schutzrahmens aber auch nicht zwingend erforderlich.36

4. Gewerkschaftszugehörigkeit

12

Bei Fragen nach der Gewerkschaftszugehörigkeit soll vor allem die Koalitionsfreiheit nach Art. 28 GRCh und Art. 9 Abs. 3 GG geschützt werden, womit es um das Verhältnis zwischen Arbeitnehmern und Arbeitgebern geht, im Rahmen dessen eine mögliche Diskriminierung wegen einer Gewerkschaftszugehörigkeit verhindert werden soll. Erfasst werden daher alle Angaben, die sich auf die Zugehörigkeit in entsprechenden Organisationen beziehen, wobei es auf deren politische oder neutrale Ausrichtung nicht ankommt.37 Ausreichend sind gewerkschaftliche Aktivitäten, sodass es auf eine Mitgliedschaft nicht ankommt. Vielmehr ist die Gewerkschaftszugehörigkeit weit auszulegen.38

5. Genetische Daten

13

Eine Definition genetischer Daten findet sich in Art. 4 Nr. 13 DSGVO, wobei das genetische Diskriminierungsverbot sich aus Art. 21 Abs. 1 GRCh ergibt.39 Ergänzt wird die Definition durch den ErwG 34 insoweit, als danach Daten verlangt werden, die sich auf die ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die aus der Analyse einer biologischen Probe der betreffenden Person, insbesondere durch eine Chromosomen-, DNS- oder RNS-Analyse oder der Analyse eines anderen Elements, durch die gleichwertige Informationen erlangt werden können, gewonnen werden und die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person zulassen, beziehen.40 Die Definition ist demnach eng auszulegen, womit reine Äußerlichkeiten (bspw. Augen oder Haarfarbe) nicht erfasst werden.41

6. Biometrische Daten

14

Art. 4 Nr. 14 DSGVO enthält eine Definition der biometrischen Daten. Erfasst werden sowohl Fingerabdrücke als auch die Venen- oder Iris- sowie die Stimmerkennung.42 Mit dem besonderen Schutz dieser Informationen sollen umfassende Persönlichkeitsprofile mithilfe systematischer Zusammenführung solcher Daten verhindert werden.43 Hiermit wird unter anderem auch der besonderen Schnittstelle zwischen realer und digitaler Welt Rechnung getragen.44 Danach kann selbst das Lichtbild unter den Schutzbereich fallen, wenn sie mit speziellen technischen Mitteln verarbeitet werden, durch die eine eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglicht wird (vgl. ErwG 51).45 Das gilt jedoch ebenso bei allen anderen genetischen oder sonstigen biometrischen Daten.46

7. Gesundheitsdaten

15

Definiert werden Gesundheitsdaten in Art. 4 Nr. 15 DSGVO. Darüber hinaus findet sich eine Erläuterung im ErwG 35. Umfasst werden danach ebenfalls Angaben zur Behinderung, Angaben zur psychischen Gesundheit oder sogar die Angaben zu erfolgten Arztbesuchen, sofern sich aus dem Gesamtzusammenhang Rückschlüsse auf die Gesundheit einer Person treffen lassen (bspw. Dauer und Häufigkeit eines Arztbesuches in einem bestimmten Zeitraum).47 Der Begriff der Gesundheitsdaten ist daher weit zu verstehen und geht über den Begriff der medizinischen Daten hinaus.48 Daher können sowohl die sich unmittelbar auf die Gesundheit beziehenden Angaben als auch solche Informationen, aus deren Zusammenhang sich der Gesundheitszustand ergibt, dem Schutzbereich des Art. 9 DSGVO unterliegen.49 Womit neben den Beschreibungen des Gesundheitszustandes außerdem differenzierungsfähige körperliche oder seelische Merkmale (bspw. Befunddaten, Ereignisse, Aufenthalt usw.) erfasst werden.50 Ebenfalls vom Schutzbereich erfasst werden die verschiedenen Formen der Messung eines Gesundheitszustandes, beispielsweise mithilfe sogenannter Fitnessarmbänder.51 Dabei können Sozialdaten im Sinne des § 35 SGB I durchaus gleichermaßen Gesundheitsdaten darstellen, bspw. bei medizinischen Diagnosen, behandelnden Ärzten oder ggf. der Teilnahme an besonderen Behandlungsprogrammen.52 Kein Gesundheitsdatum liegt hingegen vor, wenn es zum Beispiel um die Zugehörigkeit zu einer bestimmten Krankenkasse oder in einer Krankenversicherung geht.53