Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 95

160

Zu den besonderen Kategorien personenbezogener Daten gehören die in Art. 9 Abs. 1 DSGVO aufgezählten Datenkategorien:

 – personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,

 – genetische Daten i.S.d. Art. 4 Nr. 13 DSGVO,230

 – biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO zur eindeutigen Identifizierung einer natürlichen Person,231

 – Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO232 und

 – Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

161

Diese Kategorien von Daten bedürfen eines besonders strikten Schutzes durch die DSGVO, da – so Erwägungsgrund 51 – im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können.

162

Wie schon Art. 8 der Datenschutzrichtlinie 95/46/EG, unterscheidet Art. 9 DSGVO seinem Wortlaut nach grundsätzlich nicht zwischen unterschiedlichen Verwendungszusammenhängen, bei denen die Daten verwendet werden. Mit anderen Worten: Wird ein bestimmtes Datum verarbeitet, das zu einer der in Art. 9 Abs. 1 DSGVO aufgezählten Kategorien gehört, finden nach dem Wortlaut von Art. 9 DSGVO die strikten Vorschriften des Art. 9 DSGVO über die Verarbeitung besonderer Kategorien personenbezogener Daten Anwendung – und zwar unabhängig von dem Zusammenhang bzw. der Situation, in dem/der sie verarbeitet werden. Somit könnte z.B. schon die Verarbeitung der Information, dass eine Person Alkohol trinkt, oder eines Bildes, auf dem ein Brillenträger abgebildet ist, – als Gesundheitsdaten – ganz generell den strikten Voraussetzungen des Art. 9 DSGVO unterliegen.233

163

Auch aus Erwägungsgrund 51 S. 3 ergibt sich nichts anderes. Dieser stellt im Hinblick auf die Verarbeitung von Fotos klar, dass diese nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten anzusehen ist, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Doch bedeutet dies nicht, dass Art. 9 DSGVO vor diesem Hintergrund restriktiv auszulegen wäre. Vielmehr handelt es sich hierbei (lediglich) um einen Hinweis, dass die Begriffsdefinition der biometrischen Daten in Art. 4 Nr. 14 DSGVO nicht sämtliche Fotos erfasst.

164

Allerdings scheint sich in diesem Zusammenhang eine pragmatischere Sichtweise durchzusetzen, die den Sinn und Zweck der Regelung mehr in den Vordergrund stellt.

165

Demnach ist zwischen Daten, die unmittelbar sensible Informationen enthalten (wie z.B. Diagnosen im Hinblick auf den Gesundheitszustand) einerseits und Daten, die lediglich mittelbar sensible Informationen beinhalten (wie z.B. das Foto eines Brillenträgers) – aus denen die sensible Information also erst noch abgeleitet werden muss – andererseits, zu unterscheiden.234 Während Daten, die unmittelbar sensible Informationen enthalten, stets als besondere Kategorie personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO einzuordnen sind, hängt dies nach hier vertretener Ansicht bei Daten, die lediglich mittelbar sensible Informationen enthalten, vom Verwendungszusammenhang ab. So entsteht das besondere Diskriminierungspotenzial dieser Daten nach hier vertretener Ansicht erst durch den jeweiligen Verwendungszusammenhang, nämlich wenn die Daten genau im Hinblick auf die „dahinterstehenden“ sensiblen Informationen verarbeitet werden (z.B. die Sehschwäche des Brillenträgers).

165a

Folglich sollten auch nur solche Verarbeitungen von Daten, die nur mittelbare sensible Informationen beinhalten, den strikten Anforderungen des Art. 9 DSGVO unterliegen, bei denen gerade der (dahinterstehende) sensible Teil des Informationsgehalts verwendet/ausgewertet/abgeleitet wird. Werden solche Daten bei der jeweiligen Datenverarbeitung hingegen nicht auf ihre „dahinterstehenden“ sensiblen Informationen hin verwendet/ausgewertet (z.B. bei der bloßen Verwendung des Bildes eines Brillenträgers), sollte die Datenverarbeitung den Voraussetzungen für die Verarbeitung „normaler“ Daten, z.B. nach Art. 6 Abs. 1 DSGVO, unterliegen, da sich das Diskriminierungspotenzial, das den besonderen Schutz durch Art. 9 DSGVO rechtfertigt, hier eben nicht realisiert.235

165b

Entscheidend für die Abgrenzung ist nach hier vertretener Auffassung der objektive Verwendungszusammenhang236 und nicht – wie teilweise auch vertreten wird – die subjektive Auswertungsabsicht, also die Absicht, die zu verarbeitenden Daten im Hinblick auf den „dahinterstehenden“ sensiblen Teil auszuwerten.237 So lässt sich die Auswertungsabsicht oftmals nicht zuverlässig ermitteln, wodurch eine nicht hinnehmbare Rechtsunsicherheit entstünde. Dies könnte im Ergebnis auch dazu führen, dass Daten, denen ein besonders hohes Diskriminierungspotenzial innewohnt, ggf. nicht ausreichend geschützt würden.238 Gegebenenfalls kann die subjektive (bestehende oder fehlende) Auswertungsabsicht – sofern diese bekannt ist – aber bei der Ermittlung des objektiven Verwendungszusammenhangs zu berücksichtigen sein.239

Standpunkte des Europäischen Datenschutzausschusses und der deutschen Datenschutzaufsichtsbehörden

166

Der Europäische Datenschutzausschuss hat in seinen „Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte“ im Hinblick auf die Verarbeitung von Videoaufnahmen ausgeführt, dass der Anwendungsbereich des Art. 9 DSGVO (nur dann) eröffnet sei, wenn diese verarbeitet werden, „um besondere Datenkategorien abzuleiten“.240 Allerdings lässt sich aus den Leitlinien wohl nicht ganz eindeutig entnehmen, ob der EDSA diese Ausführungen vor dem Hintergrund macht, dass (i) in den Videoaufnahmen neben den besonderen Kategorien personenbezogener Daten auch eine Vielzahl „normaler“, nicht sensibler personenbezogener Daten enthalten sind und die Verarbeitung der Videoaufnahmen aus diesem Grund nicht per se, sondern nur unter der genannten Bedingung den besonders strikten Anforderungen des Art. 9 DSGVO unterliegen soll oder (ii) in den Aufnahmen (typischerweise) nur mittelbar sensible Informationen enthalten sind (z.B. das Bild eines Brillenträgers oder eines Rollstuhlfahrers) und der Anwendungsbereich von Art. 9 Abs. 1 DSGVO deshalb eingeschränkt sei. Für letzteres spricht aber wohl der unmittelbare räumliche/textliche Zusammenhang der Ausführungen zu der oben genannten einschränkenden Bedingung, da der EDSA direkt vor ihnen die eben genannten Beispiele für mittelbar sensible Informationen (Bild eines Brillenträgers oder eines Rollstuhlfahrers) nennt und erklärt, dass es sich bei diesen Angaben nicht per se um besondere Kategorien personenbezogener Daten handeln würde.

166a

Ebenso lässt sich aus dem Wortlaut der Leitlinien nach hier vertretener Lesart nicht eindeutig entnehmen, ob der EDSA dem Kriterium („verarbeitet, um besondere Datenkategorien abzuleiten“) ein objektives oder ein subjektives Verständnis zugrunde legt, also ob es für die Qualifizierung der Daten als sensible Daten i.S.d. Art. 9 Abs. 1 DSGVO nach Ansicht des EDSA darauf ankommt, dass die Daten objektiv auf den „dahinterstehenden“ sensiblen Teil ihrer Information hin verarbeitet/ausgewertet werden oder ob es darauf ankommt, dass eine entsprechende Auswertungsabsicht des Verantwortlichen besteht (siehe hierzu oben Rn. 165).241 Eventuell lässt sich aus den vom EDSA in dem Zusammenhang gegebenen Beispielen entnehmen, dass auch der EDSA insoweit den objektiven Verwendungszusammenhang als entscheidendes Abgrenzungskriterium ansieht und die subjektive Auswertungsabsicht nur ein Indiz dafür sei. Ganz generell bleibt es zudem abzuwarten, ob der Europäische Datenschutzausschuss diese im Hinblick auf die Videoüberwachung getroffenen Aussagen auch bei anderen Verarbeitungsszenarien so beibehalten wird.

167

Die deutschen Datenschutzaufsichtsbehörden haben zumindest anerkannt, dass nicht jede mittelbare Angabe zu den besonderen Kategorien personenbezogener Daten den besonders strikten Verarbeitungsvoraussetzungen für besondere Kategorien personenbezogener Daten unterliegen soll.242 Eine dogmatische Begründung für diese Auffassung liefert die Datenschutzkonferenz in ihrem Kurzpapier zu den besonderen Kategorien personenbezogener Daten allerdings nicht.

Praxishinweis

Möchten Unternehmen rechtliche Risiken in diesem Zusammenhang vollständig vermeiden, sollten sie auch mittelbare Informationen über eine in Art. 9 Abs. 1 DSGVO aufgeführte Kategorie als besondere Kategorie personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO auffassen, bis diese pragmatische Sichtweise von den europäischen/deutschen Datenschutzaufsichtsbehörden ausdrücklich und losgelöst von einzelnen Verarbeitungsszenarien bestätigt wurde und sich ggf. eine gefestigte Rechtsprechung etabliert hat. Besitzt die Verarbeitung solcher Daten für das Unternehmen eine wichtige Bedeutung, könnte es ggf. auch überlegenswert sein, die Einordnung der Daten vor deren Verarbeitung mit der zuständigen Aufsichtsbehörde abzustimmen.

168

Soweit vor dem Hintergrund des Wortlauts von Art. 9 Abs. 1 DSGVO und des Erwägungsgrundes 51 entgegen der hier vertretenen Ansicht auch solche Datenverarbeitungen unter Art. 9 DSGVO gefasst werden, bei denen nicht gerade der „dahinterstehende“ sensible Teil des Informationsgehalts verwendet/ausgewertet/abgeleitet wird, sollte der Umstand, dass Daten nur mittelbar „sensible“ Informationen beinhalten und die Datenverarbeitung nicht im Hinblick auf diesen Teil erfolgt, aber jedenfalls dadurch berücksichtigt werden, dass die Voraussetzungen für die Verarbeitung der Daten in Art. 9 Abs. 2 DSGVO entsprechend pragmatisch ausgelegt werden.243

168a

Eventuell kann die hier im Hinblick auf Daten, die nur mittelbar sensible Informationen enthalten, vertretene Auffassung auch auf sogenannte Mischdatensätze übertragen werden, also Datensätze, die sowohl besondere Kategorien personenbezogener Daten, als auch „normale“, nicht sensible personenbezogene Daten enthalten.244 In diesem Fall würden derartige Datensätze nur dann in den Anwendungsbereich von Art. 9 DSGVO fallen, wenn die Datensätze gerade im Hinblick auf die in ihnen enthaltenen sensiblen Daten hin verarbeitet, z.B. diese ausgewertet werden.245 Möchten Unternehmen diesem Ansatz folgen, ist dies allerdings aufgrund der insoweit noch ungeklärten Rechtslage mit rechtlichen Risiken verbunden, insbesondere weil Art. 9 DSGVO keine entsprechende ausdrückliche Regelung hierzu/Einschränkung enthält und Einschränkungen des Anwendungsbereichs von Art. 9 DSGVO teilweise wohl auch generell abgelehnt werden.246 Vor diesem Hintergrund kann es deshalb ggf. sinnvoll sein, diesem Ansatz für Mischdatensätze erst dann zu folgen, wenn sich in der datenschutzrechtlichen Literatur eine gefestigte, diesen Ansatz unterstützende Auffassung gebildet hat oder sich Datenschutzaufsichtsbehörden bzw. (weitere) Gerichte entsprechend geäußert haben.