Datenkategorien
Datenkategorien bezeichnen die verschiedenen Arten personenbezogener Daten, die im Rahmen der DSGVO unterschiedlich behandelt werden. Besondere Datenkategorien nach Art. 9 DSGVO wie Gesundheitsdaten oder biometrische Daten erfordern aufgrund ihrer Sensibilität strengere Schutzmaßnahmen.
Ausführliche Erklärung
Der Begriff Datenkategorien dient in der Datenschutz-Grundverordnung (DSGVO) dazu, verschiedene Arten von Daten zu gruppieren und deren Schutzbedarf zu bestimmen. Während allgemeine personenbezogene Daten wie Namen, Adressen oder Telefonnummern unter den regulären Datenschutz fallen, unterliegen besondere Kategorien personenbezogener Daten einem erweiterten Schutz. Diese Unterscheidung ist nicht nur theoretisch relevant, sondern hat unmittelbare praktische Auswirkungen auf die Dokumentationspflichten und den Umgang mit Daten im Unternehmen.
Als besondere Datenkategorien werden in der DSGVO die verschiedenen Arten von Daten bezeichnet, die anders als die allgemeinen personenbezogenen Daten noch einmal besonders geschützt werden. Dazu zählen gemäß Art. 9 Abs. 1 DSGVO Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten sowie Daten über das Sexualleben oder die sexuelle Orientierung. Die Verarbeitung dieser Datenkategorien ist grundsätzlich untersagt und ausschließlich in besonderen Ausnahmefällen gestattet.
Für KMU ist die Unterscheidung zwischen allgemeinen und besonderen Datenkategorien besonders wichtig, da sie direkte Auswirkungen auf das Verarbeitungsverzeichnis nach Art. 30 DSGVO, die Informationspflichten und die technisch-organisatorischen Maßnahmen hat. Verantwortliche, die besondere Datenkategorien verarbeiten, müssen in jedem Fall ein Verzeichnis führen, bei umfangreicher Verarbeitung eine Datenschutz-Folgenabschätzung durchführen und unter Umständen einen Datenschutzbeauftragten benennen, wenn dies ihre Kerntätigkeit betrifft.
Ein wichtiger Aspekt bei der Einordnung ist der Kontext: Nicht jedes Foto ist automatisch ein biometrisches Datum. Lichtbilder sind nur dann von der Definition des Begriffs „biometrische Daten" erfasst, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die es ermöglichen, eine natürliche Person eindeutig zu identifizieren. Die richtige Kategorisierung von Daten ist somit eine wichtige Aufgabe im betrieblichen Datenschutz und erfordert genaue Kenntnis der verarbeiteten Datenarten und deren Verwendungszweck.
Praxisbeispiel
Eine Physiotherapiepraxis mit 8 Mitarbeiterinnen in Salzburg erstellt ihr Verarbeitungsverzeichnis: Kontaktdaten der Patientinnen (Name, Adresse, Telefon) werden als allgemeine personenbezogene Daten kategorisiert, während Diagnosen, Behandlungspläne und Röntgenbilder als besondere Kategorie "Gesundheitsdaten" erfasst werden. Für letztere dokumentiert die Praxis zusätzlich die verschärften Zugriffsrechte und die Verschlüsselung der digitalen Krankenakten.