Datenkategorien
Datenkategorien bezeichnen die verschiedenen Arten personenbezogener Daten, die im Rahmen der DSGVO unterschiedlich behandelt werden. Besondere Datenkategorien nach Art. 9 DSGVO wie Gesundheitsdaten oder biometrische Daten erfordern aufgrund ihrer Sensibilität strengere Schutzmaßnahmen.
Ausführliche Erklärung
Datenkategorien bilden eine zentrale Ordnungsstruktur im Datenschutzrecht. Der Begriff selbst ist in der DSGVO nicht explizit definiert, wird aber in mehreren Vorschriften als organisatorisches Konzept verwendet. Unter einer Datenkategorie versteht man eine hinreichend genaue, aber dennoch abstrakte Beschreibung von personenbezogenen Daten, die mehrere Einzeldaten unter sich vereint. Typische Beispiele sind „Kontaktdaten" (umfasst Name, Adresse, E-Mail, Telefonnummer), „Bankdaten" (Kontonummer, IBAN, BIC) oder „Vertragsdaten" (Auftragsnummern, Lieferkonditionen, Zahlungsbedingungen).
Im KMU-Kontext ist der Begriff insbesondere beim Führen des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO relevant. Dort müssen Sie als Verantwortlicher dokumentieren, welche Kategorien personenbezogener Daten Sie in welchen Geschäftsprozessen verarbeiten. Statt jede einzelne Information aufzulisten, gruppieren Sie diese in sinnvolle Kategorien. Das reduziert den Dokumentationsaufwand erheblich und sorgt gleichzeitig für bessere Übersicht.
Von „normalen" Datenkategorien zu unterscheiden sind die „besonderen Kategorien personenbezogener Daten" nach Art. 9 Abs. 1 DSGVO. Diese umfassen sensible Informationen wie Gesundheitsdaten, genetische oder biometrische Daten (zur eindeutigen Identifizierung), Angaben zur ethnischen Herkunft, politischen Meinungen, religiösen Überzeugungen, Gewerkschaftszugehörigkeit oder zum Sexualleben. Für diese gilt ein grundsätzliches Verarbeitungsverbot, das nur unter strengen Voraussetzungen durchbrochen werden darf. KMU, die solche besonderen Kategorien verarbeiten – etwa im Personalwesen (Religionszugehörigkeit für Kirchensteuer, Gesundheitsdaten bei Krankmeldungen) – müssen zwingend ein Verzeichnis von Verarbeitungstätigkeiten führen, unabhängig von der Mitarbeiterzahl.
Die korrekte Zuordnung und Dokumentation von Datenkategorien ist auch Voraussetzung für die Erfüllung weiterer Datenschutzpflichten: die Informationspflichten gegenüber Betroffenen, die Durchführung von Datenschutz-Folgenabschätzungen bei hohem Risiko sowie die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Praxisbeispiel
Ein Handwerksbetrieb mit 35 Mitarbeitern erstellt sein Verzeichnis von Verarbeitungstätigkeiten für den Geschäftsprozess „Kundenverwaltung". Statt alle Einzelangaben aufzuzählen, verwendet der Betrieb die Datenkategorien „Stammdaten" (Name, Firmenname, Adresse), „Kommunikationsdaten" (Telefon, E-Mail), „Auftragsdaten" (Auftragsnummer, Leistungsbeschreibung, Preis) und „Zahlungsdaten" (Bankverbindung, Rechnungsnummer). Für den Prozess „Personalverwaltung" dokumentiert der Betrieb auch die besonderen Kategorien „Gesundheitsdaten" (Krankmeldungen) und „Religionszugehörigkeit" (für Kirchensteuerabzug), was die Pflicht zur vollständigen Dokumentation auslöst.