Bestimmte Datenkategorien sind besonders sensibel und unterliegen einem grundsätzlichen Verarbeitungsverbot mit engen Ausnahmen.
Diese Daten sind besonders geschützt (Art. 9 Abs. 1 DSGVO)
- Rassische und ethnische Herkunft
- Politische Meinungen
- Religioese oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische Daten
- Biometrische Daten zur eindeutigen Identifizierung
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Wichtig für die Praxis: Auch Krankheitstage, Schwerbehindertenstatus, Angaben zur Gewerkschaftsmitgliedschaft oder Angaben zur Religionszugehörigkeit (z.B. für die Kirchensteuer) sind sensible Daten. Lichtbilder sind erst dann biometrische Daten, wenn sie mit speziellen technischen Mitteln zur Identifizierung verarbeitet werden (EG 51 DSGVO).
Ausnahmen vom Verbot (Art. 9 Abs. 2 DSGVO)
Die Verarbeitung ist nur erlaubt, wenn eine der zehn Ausnahmen greift - unter anderem:
- Ausdrückliche Einwilligung (lit. a)
- Arbeits- und Sozialrecht (lit. b) - konkretisiert durch Paragraph 26 Abs. 3 BDSG
- Gesundheitsvorsorge und Arbeitsmedizin durch Berufsgeheimnisäger (lit. h)
- Erhebliches öffentliches Interesse (lit. g) - konkretisiert durch Paragraph 22 Abs. 1 BDSG
Zusätzlich müßen IMMER angemessene Schutzmassnahmen getroffen werden (Paragraph 22 Abs. 2 BDSG), z.B. Pseudonymisierung, Verschlüßelung, Zugangskontrollen.
Kumulation mit Art. 6 DSGVO
Art. 9 verdrängt Art. 6 NICHT. Für die Verarbeitung sensibler Daten müßen BEIDE Voraußetzungen kumulativ vorliegen: eine Rechtsgrundlage nach Art. 6 UND eine Ausnahme nach Art. 9 Abs. 2.