Données sensibles et catégories particulières de données : bonnet blanc et blanc bonnet ?

Sensible Daten und besondere Kategorien von Daten: Das eine ist zweigeteilt?

Legal Watch Nr. 43 – Januar 2022

Sensible Daten und besondere Kategorien von Daten: Das eine ist zweigeteilt?. Wenn es um Daten über Gesundheit, politische oder religiöse Ansichten geht, fällt einem sofort die Einstufung „sensible Daten“ ein., die im Sinne der europäischen Datenschutzgrundverordnung eines besonderen Schutzes bedürfen.

Die CNIL stuft sensible Daten auf ihrer Website auch als „besondere Kategorien von Daten“ ein, die durch die DSGVO geregelt sind.

Bedeutet dies, dass diese beiden Begriffe dasselbe sind?

Die Frage ist wichtig, da ihre Auslegung zur Anwendung einer Reihe von Rechtsvorschriften führt, die für den für die Verarbeitung Verantwortlichen bindend sind.

In der DSGVO heißt es: „Personenbezogene Daten, die aufgrund ihres Wesens im Hinblick auf die Grundfreiheiten und Grundrechte besonders sensibel sind, verdienen einen besonderen Schutz, da der Kontext ihrer Verarbeitung erhebliche Risiken für diese Freiheiten und Rechte mit sich bringen kann.“

Ein bestimmter Anteil sensibler Daten ist ausdrücklich gekennzeichnet und deren Verarbeitung ist mit Ausnahme der in Artikel 9 der DSGVO genannten Ausnahmen verboten.

Dabei handelt es sich um besondere Kategorien von Daten, aus denen die angebliche rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie um die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Angesichts der Risiken, insbesondere der Diskriminierung, die mit der Verarbeitung solcher Daten verbunden sind, verlangt die europäische Verordnung eine stärkere Rechenschaftspflicht der für die Datenverarbeitung Verantwortlichen und einen sorgfältigen Umgang mit Daten unter Beachtung der gesetzlich vorgesehenen Ausnahmen.

Dabei handelt es sich meist um lebenswichtige oder wichtige öffentliche Interessen, die einen solchen Eingriff eher rechtfertigen.

Es ist zu beachten, dass auch andere Daten, die teilweise als sensibel eingestuft werden, aber nicht in der Liste in Artikel 9 der DSGVO aufgeführt sind, einem besonderen Schutz unterliegen..

Der Begriff „sensible Daten“ wird daher manchmal, beispielsweise in den offiziellen Dokumenten der britischen und belgischen Datenschutzbehörden, so verstanden, dass er informell einen größeren Satz von Daten abdeckt, deren Verarbeitung als besonders schädlich für die betroffenen Personen angesehen werden kann.

Neben den besonderen Kategorien von Daten in Artikel 9 können auch Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10), aber auch Telekommunikationsdaten oder individuelle Kennungen besonderen Schutzmaßnahmen im Rahmen der DSGVO oder der ePrivacy-Richtlinie unterliegen.

Die Benennung eines DSB, die Führung eines Verzeichnisses der Verarbeitungsvorgänge und die Durchführung von Folgenabschätzungen zielen somit sowohl auf die besonderen Kategorien von Daten des Artikels 9 als auch auf die Gerichtsdaten des Artikels 10 DSGVO (bei umfangreicher Verarbeitung dieser Daten) ab.

Um Missverständnissen vorzubeugen, empfiehlt es sich, die Begriffe der DSGVO zu verwenden und entweder auf die besonderen Kategorien von Daten gemäß Artikel 9 oder auf die anderen Bestimmungen der DSGVO zu verweisen, die andere spezifische Daten schützen, und so die geltenden Grundsätze klar zu identifizieren..

Selbst innerhalb besonderer Datenkategorien kann es manchmal eine Herausforderung sein, zu bestimmen, was in den Geltungsbereich der DSGVO fällt.

Wenn also die Ergebnisse einer medizinischen Analyse ohne Diskussion in die Kategorie der Gesundheitsdaten fallen, könnten dort auch andere, weniger offensichtliche Informationen zu finden sein, unabhängig vom Rahmen der Gesundheitsfachkräfte und Behandlungspfade.

Wir denken dabei beispielsweise an die Datenaufzeichnung einer vernetzten Uhr, die Analyse der Herzfrequenz oder möglicher Schlafstörungen.

Solche von Dritten online übermittelten und ausgewerteten Daten unterliegen daher den strengen Rahmenbedingungen des Art. 9 DSGVO.

Anders verhält es sich, wenn die Informationen im Endgerät des Nutzers gespeichert bleiben und nur diesem zugänglich sind.

Neben der Art der Daten ist der Kontext, in dem diese Daten verarbeitet werden, und die Informationen, die daraus abgeleitet werden, ausschlaggebend.

So kann ein Foto die Hautfarbe der fotografierten Person erkennen lassen und zudem biometrische Daten darstellen.

Anhand eines Nachnamens kann mit einiger Wahrscheinlichkeit auf die ethnische Herkunft der betreffenden Person geschlossen werden.

Bei diesen „Rohdaten“ handelt es sich jedoch nicht um besondere Datenkategorien.

Je nach den Zwecken, für die sie verarbeitet werden, kann dies der Fall sein.

Eine Datei, in der namentlich aufgeführte Personen nach ihrer wahrscheinlichen ethnischen Herkunft klassifiziert werden, ist (mit Ausnahme des Artikels 9 der DSGVO) verboten, auch wenn die Richtigkeit der Ableitungen nicht gewährleistet ist.

In ähnlicher Weise legt die DSGVO fest, dass „die Verarbeitung von Fotos nicht systematisch als Verarbeitung besonderer Kategorien personenbezogener Daten betrachtet werden sollte, da diese nur dann unter die Definition biometrischer Daten fallen, wenn sie unter Verwendung einer bestimmten technischen Methode verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglicht.“

Der Anwendungsbereich der Bestimmungen zu besonderen Kategorien personenbezogener Daten ist daher weit gefasst und je nach Verarbeitungskontext auslegungsbedürftig.

Im Zweifelsfall sind der diskriminierende Charakter dieser Informationen und der damit verfolgte Zweck hilfreiche Bewertungselemente.

Und auch

Frankreich:

Am 30. Dezember erachtete der Staatsrat die Berufung von Quadrature du Net und anderen Antragstellern gegen ein Dekret vom 27. März 2020 bezüglich der DataJust-Datenbank als unbegründet..

Diese Datenbank ermöglicht die Verarbeitung von Justizdaten, darunter auch sensible Daten, mithilfe eines Algorithmus, um die Beurteilung von Entschädigungen in zivil- und verwaltungsrechtlichen Haftungsfragen zu erleichtern.

Der Staatsrat lehnte am 28. Januar auch die Berufung von Google LLC und Google Ireland Limited gegen die Entscheidung der CNIL ab, die dem Unternehmen im Dezember 2020 wegen illegaler Verwendung von Cookies eine Geldstrafe von 100 Millionen Euro auferlegt hatte.

Diese Entscheidung bestätigt die Befugnis der CNIL, derartige Sanktionen gegen Unternehmen mit Sitz in anderen europäischen Ländern zu verhängen, und bestätigt die Verhältnismäßigkeit dieser Sanktionen.

Im Amtsblatt vom 26. Dezember 2021 wurde ein Dekret veröffentlicht, das die Erstellung einer Datei zur Bekämpfung von Ransomware mit dem Namen „MISP-PJ“ genehmigt.

In dieser Datei werden sechs Jahre lang die Daten von Personen gespeichert, die Opfer von Computerangriffen geworden sind, sowie technische Informationen zum Angriff und seinem Täter.

Der Kassationshof entschied in einem Urteil vom 10. November, dass Beweismittel, die unter Verletzung des Rechts eines Arbeitnehmers auf Privatsphäre erlangt wurden, dennoch vor Gericht aufbewahrt werden dürfen.

Auch wenn die Maßnahme, die eine Überwachung der Arbeitnehmer ohne deren Wissen vorsieht, rechtswidrig ist, obliegt es dem Richter, das Beweisrecht und die Rechte des Arbeitnehmers abzuwägen und im Einzelfall zu prüfen, ob die Fairness des Verfahrens gewahrt ist.

Europa:

Google Analytics steht im Visier mehrerer Datenschutzbehörden:

  • Österreich hat gerade entschieden, dass seine Verwendung nicht den DSGVO-Anforderungen hinsichtlich grenzüberschreitender Datenströme entspricht, wie sie vom Europäischen Gerichtshof in seinem Schrems-II-Urteil festgelegt wurden.
  • Der Europäische Datenschutzbeauftragte hat das Europäische Parlament auf derselben Grundlage wegen der illegalen Übermittlung von Daten in die Vereinigten Staaten mit Sanktionen belegt.
  • Die Niederlande, die derzeit zwei Beschwerden zu Google Analytics bearbeiten, warnen davor, dass dessen Nutzung illegal sein könnte. Norwegen gab am 26. Januar bekannt, dass es sich ebenfalls mit der Angelegenheit befasst.

Die Frage der Übermittlung in die Vereinigten Staaten steht auch im Mittelpunkt der Entscheidung des Landgerichts München vom 20. Januar : Wenn ein Nutzer Google Fonts herunterlädt, wird seine IP-Adresse automatisch in die USA übertragen.

Das Gericht hielt diese Übertragung für rechtswidrig und sprach dem Kläger eine Entschädigung von 100 Euro zu.

Die Europäische Aufsichtsbehörde hat am 20. Januar über einen Verordnungsentwurf zur politischen Werbung entschieden.

Seiner Meinung nach empfiehlt er ein vollständiges Verbot von Microtargeting im politischen Marketing, das darauf abzielt, bestimmte Wählergruppen anhand ihres Online-Profils zu beeinflussen.

Darüber hinaus plädiert sie für Beschränkungen der Datenkategorien, die für derartige Marketingzwecke verwendet werden können.

Am 27. Januar schickten die Europäische Kommission und das Netzwerk der nationalen Verbraucherschutzbehörden einen Brief an WhatsApp, in dem sie das Unternehmen aufforderten, die Nutzer klarer über die Nutzungsbedingungen ihrer Daten zu informieren..

Das Unternehmen wird aufgefordert, die vorgenommenen Änderungen seiner Allgemeinen Geschäftsbedingungen und seiner Datenschutzpolitik zu spezifizieren und die europäischen Gesetze einzuhalten.

Das Europäische Innovations- und Technologieinstitut (EIT) hat am 20. Januar ein Tool veröffentlicht, das den Einsatz künstlicher Intelligenz in europäischen Unternehmen fördern soll.

Das „Künstliche Intelligenz-Reifegrad-Tool“ soll es Unternehmen ermöglichen, ihren Reifegrad für den Einsatz von KI unter Einhaltung des europäischen Rechtsrahmens einzuschätzen.

Am 15. Dezember 2021 startete die Europäische Kommission ein Konsortialprojekt zur Unterstützung der Entwicklung von Technologien der nächsten Generation.

Das Konsortium mit dem Namen „European Alliance for Industrial Data, Edge and Cloud“ übernimmt die Leitung des Gaia-X-Projekts und steht auch ausländischen Unternehmen offen, sofern sie die europäischen Sicherheitsanforderungen (geistiges Eigentum, Beschaffung, Information) und die wichtigsten Ziele der Europäischen Union in diesem Bereich einhalten.

Der Europäische Datenschutzausschuss hat auf seiner Plenarsitzung am 18. Januar Leitlinien zum Recht natürlicher Personen auf Zugang zu ihren Daten verabschiedet..

Um den Forderungen nach einer einheitlichen Auslegung der Regeln zur Verwendung von Cookies nachzukommen, kündigt der Ausschuss die Einrichtung einer Arbeitsgruppe zu diesem Thema an.

Der Gerichtshof der Europäischen Union stellte in seinem Urteil vom 25. November fest, dass im Rahmen eines kostenlosen, durch Werbung finanzierten Nachrichtendienstes derartige Werbung, die automatisch in einem elektronischen Posteingang angezeigt wird, kann als E-Mail zur Kundengewinnung betrachtet werden und unterliegt daher der Bedingung der vorherigen Zustimmung des Benutzers, wie in der europäischen ePrivacy-Richtlinie vorgesehen.

Die italienische Datenschutzbehörde hat Enel Energia mehrere Abhilfemaßnahmen und eine Geldstrafe von über 26.000 Euro auferlegt. wegen der illegalen Verarbeitung von Daten von Millionen von Nutzern zu Telemarketingzwecken.

Die norwegische Datenschutzbehörde hat gegen die öffentliche Straßenverwaltung eine Geldstrafe von 400.000 Euro verhängt. wegen unzulässiger Speicherung von Daten über Mautübergänge.

In Portugal verhängte die Datenschutzbehörde gegen die Stadt Lissabon eine Geldstrafe von 1.250.000 Euro, weil sie persönliche und sensible Daten von Demonstranten weitergegeben hatte.mit Drittparteien, einschließlich der Botschaften und Außenministerien der von den Demonstranten betroffenen Länder.

Das oberste Verwaltungsgericht Bayerns hat entschieden, dass die Pflicht zur Vorlage eines negativen Testnachweises für ungeimpfte Studierende Eine Ansteckung mit Covid oder die Durchführung eines Tests vor Ort ist durch Artikel 9 Absatz 2 Buchstabe i der DSGVO gerechtfertigt, der die Verarbeitung sensibler Daten aus Gründen des öffentlichen Interesses im Zusammenhang mit der Gesundheit erlaubt.

Internationales:

Die Konferenz der deutschen Datenschutzbehörden veröffentlichte am 15. November einen Bericht, der die Ergebnisse einer von SI Vladeck durchgeführten Analyse zum Thema rechtlicher Rahmen für Überwachungsmaßnahmen in den USA.

Es enthält nützliche Informationen zu den Bedingungen für die Anwendung amerikanischen Rechts auf europäische Unternehmen und Tochtergesellschaften. 

Stets In den USA werfen vier Generalstaatsanwälte Google vor, seine Nutzer zu täuschen, und verfolgt weiterhin diejenigen von ihnen, die ihre Tracking-Einstellungen geändert und die Erfassung ihrer Daten abgelehnt haben.

Die Klagen wurden von den Bundesstaaten Texas, Washington, Indiana und dem District of Columbia eingereicht.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT