Umgang mit besonderen Kategorien von personenbezogenen Daten

Bei besonderen Kategorien von personenbezogenen Daten ist die Verarbeitung nach Art. 9 DSGVO grundsätzlich nicht erlaubt, die Verarbeitung wird erst durch Erfüllung bestimmter Ausnahmetatbestände möglich.

Was sind besondere Kategorien personenbezogener Daten?

Solche besonderen Kategorien von personenbezogenen Daten sind: -rassische und ethnische Herkunft -politische Meinung(en) -religiöse oder weltanschauliche Überzeugung(en) -genetische Daten -biometrische Daten zur Identifizierung einer natürlichen Person -Daten zur Gesundheit -Daten über das Sexualleben -Daten zur sexuellen Orientierung einer natürlichen Person -Angaben zur Gewerkschaftsmitgliedschaft

Durch diesen besonderen Verbotscharakter des Art. 9 DSGVO fallen die Strafen bei Verstößen deutlich empfindlicher aus. Die Verarbeitung wird erst durch bestimmte Öffnungstatbestände nach Art. 9 Abs. 2 DSGVO möglich (s. o.). Dies sind u. a. die Einwilligung, der Schutz lebenswichtiger Interessen des Betroffenen, Gesundheitsfürsorge, öffentliche Sicherheit und Abwägung des öffentlichen Interesses sowie einige weitere seltenere Fälle.

An dieser Stelle ist auch darauf hinzuweisen, dass die reine Vertragserfüllung nicht die Verarbeitung von besonderen personenbezogenen Daten gestattet. Auch dürfte die Verarbeitung von politischen Meinungen nicht durch den Erlaubnistatbestand der Gesundheitsfürsorge möglich werden.

In den meisten Fällen bleibt daher für die Verarbeitung von besonderen Kategorien von personenbezogenen Daten nur die explizite Einwilligung der Betroffenen als Erlaubnistatbestand übrig.

An eine solche Einwilligung sind umfangreiche Voraussetzungen geknüpft. Mehr hierzu in unserem Artikel zur Einwilligungserklärung.

Was ist beim Umgang mit besonderen Kategorien von Daten zu beachten?

Es sollte unbedingt darauf geachtet werden, dass personenbezogene Daten aus solchen besonderen Kategorien entsprechend sicher und geschützt aufbewahrt werden. Im Idealfall werden diese Daten getrennt vom restlichen Datenbestand verwahrt und sollten auch nur nach einer zusätzlichen Berechtigungsprüfung der Nutzer:innen angezeigt werden. Auch empfiehlt es sich den Zugang auf solche Daten in einer Art und Weise zu beschränken, welche nur berechtigten Nutzer:innen zur rechten Zeit den Zugriff auf diese Daten gestattet.

Was sind berechtigte Nutzer:innen?

Berechtigte Nutzer:innen mit Zugriff auf Daten von Patient:innen sollten nur Mitarbeiter:innen sein, welche auch tatsächlich mit den Daten umgehen müssen.

Dabei ist auch zu beachten, dass diese Daten aufgeteilt werden müssen, denn ein Zugriff der Arzthelfer:innen zur (reinen) Terminvergabe auf weitere sensible Bereiche der Patientenakte ist nicht notwendig und daher auch zu verhindern.

Was bedeutet zur rechten Zeit?

Mitarbeiter:innen die einem/einer Arzt:in assistieren benötigen von Zeit zu Zeit teilweise Zugriff auf Patient:innendaten- und akten. Ein gutes Beispiel hierfür ist etwa der Beruf des Zahnarzthelfers / der Zahnarzthelferin, denn hier wird während der Behandlung ein Zugriff auf die Patien:innenakte notwendig.

Nach Abschluss der Behandlung ist dieser Zugriff jedoch nicht mehr notwendig, weshalb der nach Abschluss der Behandlung für eine:n Zahnarzthelfer:in nicht mehr möglich sein sollte, da dies nicht mehr zur "rechten Zeit" wäre.

Oft übersehene Pflicht bei Gesundheitsdaten

Eine in diesem Zusammenhang oft übersehene Pflicht ergibt sich aus Art. 9 Abs. 3 DSGVO. Diese beschränkt den Personenkreis für erlaubte Verarbeitungstätigkeiten nach Art. 9 Abs. 2 lit. h DSGVO (u. a. zur Verarbeitung von Daten zum Zwecke der Gesundheitsfürsorge/Behandlung im Gesundheits- oder Sozialbereich) auf Fachpersonal welches einer Berufsgeheimnispflicht unterliegt bzw. anderweitig durch nationale oder europäische Vorschriften zur Geheimhaltung verpflichtet ist.

Hieraus ergibt sich zwangsläufig eine noch "schützenswertere Kategorie" von Daten unterhalb der bereits besonders schützenswerten Kategorien von Art. 9 DSGVO.

Sie haben noch Fragen zu den besonderen Kategorien von personenbezogenen Daten? Glasskube unterstützt Sie bei der Datenkontrolle! Nehmen Sie gleich Kontakt mit uns auf.