INFORMATIONEN

Was gilt als sensible Daten?

Das Surfen im Internet kann eine Gefahr für die Privatsphäre der Internetnutzer darstellen. Aufgrund ihrer Existenz und der Informationen, die sie dem betreffenden Internetnutzer bieten, werden die erhobenen Daten als „sensibel“ eingestuft.

Die europäischen Staaten haben daher die Datenschutz-Grundverordnung (DSGVO) unterzeichnet, einen Text, der darauf abzielt, eine echte Struktur für die Verarbeitung personenbezogener Daten zu schaffen, um einen besseren Schutz der Privatsphäre zu gewährleisten.

Sensible Daten: Definition

In Artikel 9 der Datenschutz-Grundverordnung wird wie folgt beschrieben, was sensible Daten sind: „Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person ist untersagt.“

Ausnahmen von der Verarbeitung dieser Informationen

Artikel 9 Absatz 2 vervollständigt die Beschreibung des Vorhandenseins sensibler Daten, indem er die verschiedenen Situationen definiert, in denen das Verbot der Verarbeitung nicht anwendbar ist:

  • die betroffene Person hat ausdrücklich in die Verarbeitung dieser Daten eingewilligt
  • Die Verarbeitung ist zur Erfüllung von Pflichten und Rechten des für die Verarbeitung Verantwortlichen oder der betroffenen Person im Sinne des Arbeitsrechts, der sozialen Sicherheit und des Sozialschutzes erforderlich,
  • Die Verarbeitung ist erforderlich, um die lebenswichtigen Interessen der betroffenen Person zu schützen.
  • Die Verarbeitung erfolgt durch eine Stiftung, einen Verein oder eine andere gemeinnützige Einrichtung, die einem politischen, weltanschaulichen, religiösen oder gewerkschaftlichen Zweck dient, im Rahmen ihrer rechtmäßigen Tätigkeiten und mit angemessenen Garantien, sofern die personenbezogenen Daten nicht ohne die Zustimmung der betroffenen Personen außerhalb dieser Einrichtung veröffentlicht werden;
  • Die Verarbeitung betrifft personenbezogene Daten, die von der betroffenen Person ausdrücklich der Öffentlichkeit zugänglich gemacht wurden;
  • Für die Begründung, Ausübung oder den Schutz von Rechtsansprüchen ist die Verarbeitung erforderlich.
  • Die Verarbeitung ist aus Gründen eines wichtigen öffentlichen Interesses auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats erforderlich und muss in einem angemessenen Verhältnis zu dem angestrebten Ziel stehen,
  • Für die Präventivmedizin oder die Arbeitsmedizin ist eine Betreuung erforderlich.
  • Die Verarbeitung im Bereich der öffentlichen Gesundheit ist aus Gründen des öffentlichen Interesses unerlässlich,
  • Im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken, die Verarbeitung ist für Archivierungszwecke erforderlich.
  • Daten aus dem Strafregister

    In Artikel 10 der Datenschutz-Grundverordnung werden Strafregistereinträge näher erläutert, um zu verstehen, worauf sich die Definition von sensiblen Daten bezieht: „Die Verarbeitung personenbezogener Daten, die strafrechtliche Verurteilungen und Straftaten oder Sicherungsmaßregeln im Sinne von Artikel 6 Absatz 1 betreffen, darf nur unter der Aufsicht einer Behörde erfolgen oder wenn die Verarbeitung nach dem Unionsrecht oder dem Recht der Europäischen Union zulässig ist oder wenn die Verarbeitung von einer Behörde genehmigt wird.“ Nur unter der Zuständigkeit von Behörden wird ein vollständiges Register strafrechtlicher Verurteilungen geführt. Diese Art von Informationen gehört also nicht zu den so genannten vertraulichen Daten, sondern genießt ebenfalls besondere Garantien.

    Durch die Beschränkung der Datenerhebung auf diese Behörden wird daher ausgeschlossen, dass ein Überschuss an personenbezogenen Daten im Zusammenhang mit Verurteilungen und Straftaten verwendet wird.

    Sensible Daten: die geltenden Vorschriften

    In der Praxis ist die Weitergabe vertraulicher Daten durch die Datenschutz-Grundverordnung strengstens untersagt. Das Dokument beschreibt jedoch die verschiedenen Fälle, in denen es möglich ist, die Verwendung dieses Materials zu erlauben.

    Daher müssen Sie sich unbedingt vergewissern, dass Sie sich in einem der in diesem Text vorgesehenen Ausnahmefälle befinden, bevor Sie sensible Daten verarbeiten können.

    Es muss unbedingt sichergestellt werden, dass die Ausnahmeanforderungen erfüllt und sorgfältig aufgezeichnet werden (gemäß Artikel 24 der Datenschutz-Grundverordnung), um Ihre Einhaltung der Datenschutz-Grundverordnung zu bestätigen.

    Es muss überprüft werden, ob Sie die anderen durch die Datenschutz-Grundverordnung auferlegten Pflichten einhalten und ob Sie sich in einer Ausnahmesituation befinden. Zu diesen Pflichten gehören u. a:

  • Zweck der Verarbeitung dieser Daten: „angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt“.
  • Transparenz der Verarbeitung: „auf rechtmäßige, faire und transparente Weise gegenüber der betroffenen Person verarbeitet (Rechtmäßigkeit, Loyalität, Transparenz)“.
  • Sicherheit: die Bedeutung der Anwendung verstärkter Sicherheitsmaßnahmen für die Verarbeitung dieser Daten.
  • Pseudonymisierung

    Die Ersetzung personenbezogener Daten durch künstliche Identifikatoren ist die Pseudonymisierung. Dieser Sicherheitsmechanismus soll es unmöglich machen, dass die Informationen mit einer einzelnen Person in Verbindung gebracht werden können.

    Verschlüsselung

    Um die Verletzung personenbezogener Daten zu vermeiden, bietet die Verschlüsselung zusätzlichen Schutz. Die Verschlüsselung ermöglicht es nämlich einer kleinen Anzahl von Personen, Zugang zu den Daten zu erhalten. Die Vertraulichkeit der Daten von Internetnutzern soll gewahrt bleiben.

    Welche Methode für die Verwaltung sensibler Daten?

    Über Freitextfelder werden sehr oft sensible Daten erfasst. Um zu verhindern, dass diese Informationen (Gesundheit, Sexualleben, Bankkartennummer, Sozialversicherungsnummer usw.) eingegeben werden, ist die Verwendung geeigneter Sicherheitsinstrumente unerlässlich.