Die DSGVO stellt an die Verarbeitung besonderer Kategorien personenbezogener Daten („sensible Daten“) erhöhte Anforderungen. Zu diesen sensiblen Daten gehören nach Art. 9 DSGVO Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Typische Beispielen für den Umgang mit solchen Daten im Unternehmensalltag sind die Abfrage, ob ein Hotelzimmer barrierefrei sein soll, die Frage nach der/dem Lebenspartner:in, die Angabe der Religionszugehörigkeit oder Ermäßigungen für Menschen mit Schwerbehinderung.
Entgegen einer weit verbreiteten Vorstellung gehören Bank- und Finanzdaten hingegen nicht zu den sensiblen Daten. Auch diese sind sicher besonders sorgfältig zu behandeln, es gelten allerdings die „normalen“ Vorschriften der DSGVO.
Verarbeitung nur ausnahmsweise erlaubt
Die Verarbeitung sensibler Daten wird von der DSGVO zunächst grundsätzlich untersagt. Zulässig ist sie nur, wenn eine der in Art. 9 DSGVO abschließend genannten Ausnahmen greift. Im Gegensatz zur Verarbeitung anderer personenbezogener Daten gibt es keine dem Art. 6 Abs. 1 lit. f) DSGVO entsprechende Bestimmung. Ein „überwiegendes berechtigtes Interesse“ des Verantwortlichen ist daher keine Rechtfertigung für die Verarbeitung von sensiblen Daten.
In den meisten Fällen kommt als Rechtsgrundlage zur Verarbeitung sensibler Daten daher nur die ausdrückliche Einwilligung der betroffenen Person in Frage. Und hier beginnen die Probleme:
Einerseits ist eine Einwilligung nur wirksam, wenn sie informiert erfolgte, das heißt, dass die betroffene Person die entsprechenden Pflichtinformationen gem. Art. 13, 14 DSGVO erhalten hat. Andererseits ist sie frei widerruflich. Nach einem Widerruf darf keine weitere Verarbeitung erfolgen. Und schließlich muss die Erteilung der Einwilligung im Zweifelsfall durch die verantwortliche Stelle nachgewiesen werden können. Neben der Dokumentation der Einwilligung kommt es daher darauf an, dass Pflichtinformationen zum richtigen Zeitpunkt zur Verfügung gestellt werden.
Geplante Verarbeitung sensibler Daten
In manchen Unternehmen ist es erforderlich, dass sensible Daten im Tagesgeschäft verarbeitet werden. In diesen Fällen ist ein besonderes Augenmerk auf die Ausgestaltung der Einwilligung und der Pflichtinformationen zu legen. Die Einwilligung muss verständlich formuliert sein und insbesondere die Art der betroffenen Daten und den Zweck der Verarbeitung eindeutig benennen. Außerdem darf ein deutlicher Hinweis auf die freie Widerruflichkeit der Einwilligung nicht fehlen. Es ist wichtig, dass die (vollständigen!) Pflichtinformationen gem. Art. 13, 14 DSGVO der betroffenen Person spätestens zum Zeitpunkt der Einwilligung zur Verfügung gestellt werden.
Organisatorisch ist sicherzustellen, dass eine Verarbeitung der sensiblen Daten erst beginnen darf, wenn eine Einwilligung vorliegt. Ebenso ist die Verarbeitung sofort zu beenden, wenn die Einwilligung widerrufen wird.
„Aufgedrängte“ sensible Daten
In vielen Fällen jedoch erhalten Unternehmen sensible Daten, nach denen sie gar nicht gefragt haben oder die sie nicht erheben möchten. Zum Beispiel über Freitextfelder von Formularen oder beim Empfang von E-Mails oder während eines Telefonats. In diesem Fall spricht man von „aufgedrängten“ sensiblen Daten.
Die bloße Kenntnisnahme solcher aufgedrängten Daten ist dabei noch keine Verarbeitung im Sinne der DSGVO. In dem Moment, in dem die Daten jedoch in den eigenen Systemen oder Archiven gespeichert oder weiterbearbeitet werden, greift die DSGVO.
Nach der Kenntnisnahme von aufgedrängten sensiblen Daten ist daher sofort zu entscheiden, ob diese Daten für die weitere Bearbeitung der Angelegenheit erforderlich sind.
Ist dies der Fall, muss unverzüglich die Einwilligung der betroffenen Person eingeholt werden. Falls entsprechende Pflichtinformationen noch nicht zur Verfügung gestellt wurden, hat dies nun zu erfolgen. Willigt die betroffene Person nicht ein, ist die Bearbeitung zu beenden und die aufgedrängten sensiblen Daten sind zu löschen oder zu schwärzen.
Sind die aufgedrängten sensiblen Daten für die weitere Bearbeitung des Geschäftsvorfalls nicht erforderlich, ist darauf zu achten, dass die aufgedrängten sensiblen Daten nicht in weitere IT-Systeme übernommen und entweder gelöscht oder geschwärzt werden. Jedes Unternehmen sollte entsprechende Prozesse definieren und technische Möglichkeiten schaffen, diese Löschungen oder Schwärzungen umzusetzen. Dazu sind nicht immer besondere Programme notwendig. Schon die Weiterleitung einer E-Mail des Sachbearbeiters an sich selbst mit vorheriger Löschung der nicht benötigten sensiblen Daten und (vollständige!) Löschung der Ursprungsmail ist ein einfach umzusetzendes Vorgehen.
Es ist auf jeden Fall empfehlenswert, von vornherein den Erhalt von Daten, die nicht benötigt werden, so weit wie möglich zu verhindern. Dies können Sie beispielsweise durch klar verständliche Eingabemasken und den Verzicht auf Freitextfelder erreichen. Werden nicht benötigte sensible Daten in einem Telefonat oder persönlichem Gespräch genannt, so sollte darauf verzichtet werden, diese zu notieren.
Fazit
Vermeiden Sie die Verarbeitung von sensiblen Daten so weit wie möglich. Erhalten Sie solche Daten, die Sie gar nicht benötigen, so löschen oder schwärzen Sie sie. Achten Sie auf gut formulierte Einwilligungserklärungen und Pflichtinformationen. Und vor allem: sensibilisieren Sie Ihre Mitarbeiter hinsichtlich der speziellen Anforderungen im Umgang mit besonderen Kategorien personenbezogener Daten.
Gerne berät Sie unser Datenschutzteam zu allen Fragen rund um sensible Daten – und darüber hinaus.