Indirekte Offenbarungen sensibler Informationen

Indirekte Offenbarungen sensibler Informationen

Zählen indirekte Offenbarungen sensibler Informationen ebenfalls als Daten nach Art. 9 Abs. 1 DSGVO? Am 01.08.2022 urteilte der Europäische Gerichtshof (EuGH) zu der Frage, ob auch indirekte bzw. mittelbare Informationen, aus denen sich auf besonders schützenswerte Informationen geschlossen werden kann, unter den Schutz des Art. 9 DSGVO für besondere Kategorien personenbezogener Daten fallen (Rechtssache C‑184/20).

Hintergrund der Entscheidung ist, dass in Litauen zur Umsetzung einer EU-Richtlinie gegen Beamtenbestechung Beamte und Bewerber für öffentliche Stellen ihre privaten Interessen erklären mussten. Dazu gehören u. a. Angaben zu Ehegatten, Lebensgefährten oder Partner mit Namen, Arbeitgeber und Funktionen etc. Bei bestimmten Personen, die definierte Entscheidungs- und Einflussbefugnisse innehaben, sind diese Daten auf der Webseite der Ethikkommission zu veröffentlichen. Das litauische Regionalverwaltungsgericht bezweifelte die Vereinbarkeit der Erklärungspflicht nach dem litauischen Gesetz mit Art. 9 Abs. 1 DSGVO. Dies insbesondere deswegen, da aus der Angabe des Ehe- oder Lebenspartners die sexuelle Orientierung deutlich wird. Daher legte das Regionalverwaltungsgericht dem EuGH die Frage nach der Auslegung des Art. 9 Abs. 1 DSGVO vor. Genaue Details können Sie dem Urteil selbst entnehmen.

Sensible Informationen

Unter sensiblen Informationen versteht die DSGVO personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO. In diesem Beitrag gehen wir näher darauf ein, was solche sensiblen Daten gemäß der DSGVO sind. Aufgrund der u. U. schwerwiegenden Konsequenzen sind diese Daten besonders zu schützen. Schließlich kann die Kenntnis von solchen Informationen schwerwiegende Folgen für die betroffene Person haben (Diskrimination, Verfolgung etc.).

Auslegung durch den EuGH

Der EuGH legte in diesem Verfahren die Definition für das Vorliegen personenbezogener Daten besonderer Kategorien weit aus. Demnach ließen sich aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Personen möglicherweise Informationen zum Sexualleben oder zur sexuellen Orientierung der jeweiligen Person und des Partners herleiten.

Beispiele für die großzügige Auslegung von sensiblen personenbezogenen Daten

Oftmals ist es also nicht notwendig, explizit personenbezogene Daten besonderer Kategorien verarbeiten zu müssen. Durch bestimmte Verarbeitungsvorgänge kommt es aber nicht selten vor, dass sensible Daten indirekt als sensible Daten offenbart oder entsprechende Interpretationen durch Empfänger der Daten vorgenommen werden könnten.

Tragen einer Brille während einer Videokonferenz

Sofern bei einer Videokonferenz die Videofunktion aktiviert ist, besteht für gewöhnlich die Möglichkeit, eine Person zu sehen. Dabei sehen die Teilnehmer, wie andere Teilnehmer gekleidet ist, wie sie aussehen, wie sie gestikulieren, ob sie beispielsweise ein LGBTQ-Logo am Revers tragen, welche rassische oder ethnische Herkunft sie haben könnten etc. Wenn eine Person also beispielsweise eine Brille trägt, schließen die anderen Personen für gewöhnlich auf eine gesundheitliche Einschränkung der Sehkraft. Bei weiter Auslegung verarbeitet der Verantwortliche für die Videokonferenz also hierbei ein Gesundheitsdatum, ein personenbezogenes Datum besonderer Kategorie. Dabei ist es aber auch möglich, dass eine betroffene Person eine Brille einfach auch nur als modisches Accessoire nutzt.

Organisation der Verpflegung für eine Firmenfeier

Wenn die Geschäftsführung für ihre Beschäftigten eine Firmenfeier organisiert, erkundigt sie sich heutzutage meist, ob es ernährungsbedingte Einschränkungen gibt. Wenn eine Person dann beispielsweise sagt, dass sie keine Milch-, Gluten- oder Fischprodukte essen möchte, schließt man oftmals auf eine Allergie, wodurch ein Gesundheitsdatum verarbeitet würde. Möglicherweise kann eine Person aus religiösen Gründen nur koscheres Essen zu sich nehmen kann, was auf den Glauben hinweist. Natürlich kann aber auch hier einfach der Fall vorliegen, dass die betroffene Person solche Produkte schlichtweg nicht zu sich nehmen möchte.

Gemeinsame Mietung einer Wohnung

Für Mieter besteht die Möglichkeit, mehrere Mieter auf dem Mietvertrag einzutragen. Wenn nun beispielsweise die Namen von zwei Männern als Mietparteien im Vertrag eingetragen werden, lassen sich bei weiter Auslegung Vermutungen bzgl. der sexuellen Orientierung der Mieter anstellen. Dabei besteht aber auch die Möglichkeit, dass es sich um platonische Freunde oder einfach um eine Zweckgemeinschaft handelt.

Großzügige Auslegung = Personenbezogene Daten besonderer Kategorien

Wie wir in den genannten Beispielen sehen, käme es beispielsweise bei einem Arbeitgeber, der die Firmenfeier organisiert, bei einer Vermietung oder bei einem Verantwortlichen, der eine Videokonferenz organisiert, bei all diesem zu einer Verarbeitung von sensiblen personenbezogenen Daten.

Mögliche Bedeutung für Verantwortliche

Diese weite Auslegung von Art. 9 Abs. 1 DSGVO – also der, der definiert, was unter einem personenbezogenen Datum besonderer Kategorie gemäß der DSGVO zu verstehen ist – könnte bedeuten, dass Verantwortliche verschiedene Verarbeitungstätigkeiten erneut betrachten müssen. Dies würde sich dann insbesondere auf die Rechtsgrundlagen zur Verarbeitung auswirken. Eventuell wäre so manche Verarbeitungstätigkeit nicht mehr rechtmäßig oder vielleicht nur noch mit der freiwilligen Einwilligung der Betroffenen. Möglicherweise zieht dies auch nach sich, dass Datenschutz-Folgenabschätzungen durchzuführen sind, um das Risiko für die Rechte und Freiheiten der betroffenen Personen durch eine mögliche Offenbarung sensibler Daten einschätzen zu können.

Fazit

Der EuGH hat den Begriff der besonderen personenbezogenen Daten zum Schutz der betroffenen Personen weit ausgelegt. Es ist davon auszugehen, dass die Aufsichtsbehörden und nationalen Gerichte ihm folgen werden. Daher sollte jeder im Rahmen seines Datenschutz-Managements diese neue Rechtsprechung berücksichtigen und prüfen, ob er solche indirekten besonderen Arten personenbezogener Daten verarbeitet, ohne diese bislang als solche eingeordnet zu haben. Wer solche Daten verarbeitet, die auf besonders sensible Informationen über Personen schließen lassen, sollte prüfen, ob er für diese Verarbeitung eine in Art. 9 Abs. 2 DSGVO erwähnte Rechtsgrundlage hat. Gegebenenfalls sind dann Datenverarbeitungsprozesse und die Datenschutzdokumentation entsprechend anzupassen.

Generell gilt: Es ist wichtig, ein Datenschutz-Management-System implementiert zu haben. Dies beinhaltet die Erstellung von für den Datenschutz relevanten Dokumenten, z. B. Datenschutzhinweise, Richtlinien sowie den Abschluss von Verträgen zur Auftragsverarbeitung oder zur gemeinsamen Verantwortlichkeit. Auch das Führen eines ständig aktuellen Verzeichnisses von Verarbeitungstätigkeiten ist nicht zu vernachlässigen. Vertraulichkeitsverpflichtungen sind ggf. abzuschließen. Möglicherweise gibt es auch Datenschutz-Folgenabschätzungen durchzuführen. Wäre dies alles zum Datenschutz? Nein! Kontaktieren Sie uns gern heute, sodass wir Ihnen mehr erklären können. Gern erläutern wir, wie wir Sie bei der datenschutzkonformen Führung Ihrer Einrichtung unterstützen können.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.