- DSGVO Artikel 9 verbietet die Verarbeitung von Sonderkategorien, es sei denn, eine von zehn spezifischen Bedingungen ist erfüllt
- Sonderkategorien: Rasse/ethnische Herkunft, politische Meinungen, Religion, Gewerkschaftsmitgliedschaft, genetische/biometrische Daten, Gesundheit, Sexleben/Ausrichtung, kriminelle Überzeugungen (Artikel 10)
- Sie brauchen sowohl Artikel 6 rechtmäßige Grundlage als auch Artikel 9 der Bedingung, daß man nicht genug ist
- Großflächige Verarbeitung von speziellen Kategoriedaten erfordert automatisch ein DPIA
Spezielle Kategoriendaten sind personenbezogene Daten, die sich auf besonders sensible Aspekte des Lebens eines Einzelnen beziehen – Aspekte, bei denen Missbrauch schwerwiegende Schäden verursachen könnte, einschließlich Diskriminierung, Gewalt oder bedeutende finanzielle oder soziale Schäden. DSGVO In Artikel 9 wird ein Standardverbot für die Verarbeitung besonderer Kategoriedaten festgelegt, mit einer geschlossenen Ausnahmeliste.
Verwandte HubSecure Kaufpfad
Compliance CRM-Leitfaden Compliance CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance CRM-Leitfaden Bibliothek buchen eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Was zählt als spezielle Kategoriedaten
Die folgenden Kategorien sind in Artikel 9 Absatz 1 definiert:
- Rasse oder ethnische Herkunft
- Politische Meinungen
- Religiöse oder philosophische Überzeugungen
- Gewerkschaftsmitgliedschaft
- Genetische Daten
- Biometrische Daten werden zum Zweck der eindeutigen Identifizierung einer Person verarbeitet (Fingerabdrücke, Gesichtserkennung).
- Gesundheitsdaten – einschließlich körperlicher und geistiger Gesundheit, Behinderung, Krankenakten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Daten zu strafrechtlichen Verurteilungen und Straftaten werden in Artikel 10 gesondert behandelt und unterliegen ähnlichen Einschränkungen – die Verarbeitung ist nur im Rahmen offizieller Genehmigung oder im Rahmen nationaler Rechtsvorschriften zulässig.
Hinweis: Die Kategorie wird durch die Art der Informationen bestimmt, nicht durch die Art und Weise, wie Sie sie erhalten haben oder was Sie damit vorhaben. Eine Kundenoffenlegung, die nebenbei einen Gesundheitszustand oder eine Religionszugehörigkeit offenbart, bedeutet, dass Sie nun über Daten einer Sonderkategorie verfügen – auch wenn Sie nicht danach gesucht haben.
Artikel 9 Verarbeitungsbedingungen
Für die Verarbeitung von Daten besonderer Kategorien muss eine der folgenden Bedingungen erfüllt sein (zusätzlich zu einer Rechtsgrundlage gemäß Artikel 6):
- Ausdrückliche Einwilligung – anspruchsvoller als die reguläre Einwilligung; muss speziell für die speziellen Kategoriedaten gelten
- Verpflichtungen aus dem Arbeits- und Sozialversicherungsrecht – z. B. die Verarbeitung von Gesundheitsdaten für Krankengeld und Behindertenunterkünfte
- Lebenswichtige Interessen – wenn die Person keine Einwilligung geben kann (medizinische Notfälle)
- Gemeinnützige Organisationen mit berechtigtem Interesse – beschränkt auf Mitglieder und ehemalige Mitglieder
- Von der Einzelperson öffentlich gemachte Daten – nur wenn sie dies deutlich öffentlich zum Ausdruck gebracht hat
- Rechtsansprüche – Einleitung, Ausübung oder Verteidigung von Gerichtsverfahren
- Wesentliches öffentliches Interesse – nach nationalem Recht, mit angemessenen Schutzmaßnahmen
- Medizinische oder gesundheitliche Zwecke – Berufsgeheimnispflicht erforderlich
- Öffentliche Gesundheit – nach nationalem Recht
- Archivierung, Recherche, Statistik – nach nationalem Recht, mit Garantien
Praktische Beispiele für regulierte Unternehmen
Anwaltskanzleien
Bei Mandantenangelegenheiten, die Personenschäden, Einwanderung, Diskriminierung am Arbeitsplatz oder Familienrecht betreffen, geht es häufig um Gesundheitsdaten, Daten zur Rassenherkunft oder Daten zum Sexualleben. Verfahren gemäß Artikel 9 Absatz 2 Buchstabe f (Rechtsansprüche) gegebenenfalls mit ausdrücklicher Zustimmung als sekundärer Grundlage. Stellen Sie sicher, dass Sachdateien mit Daten besonderer Kategorien erweiterten Zugriffskontrollen unterliegen.
Gesundheitsdienstleister
Gesundheitsdaten sind der Kern des Geschäfts. Die Bedingung gemäß Artikel 9 Absatz 2 Buchstabe h (medizinische Zwecke, Berufsgeheimnis) deckt die meisten klinischen Verarbeitungen ab. Systeme müssen einen strikten rollenbasierten Zugriff und umfassende Prüfprotokolle erzwingen.
Arbeitgeber
Die Verarbeitung der Gesundheitsdaten von Mitarbeitern für krankheitsbedingte Abwesenheiten, Vorsorgeleistungen wegen Behinderung oder arbeitsmedizinische Beurteilungen basiert typischerweise auf Artikel 9 Absatz 2 Buchstabe b (arbeitsrechtliche Verpflichtungen). Sammeln Sie nicht routinemäßig Gesundheitsdaten, die über das hinausgehen, was für bestimmte Beschäftigungszwecke erforderlich ist.
Zusätzliche Anforderungen an spezielle Kategoriedaten
- Die groß angelegte Verarbeitung von Daten besonderer Kategorien löst automatisch eine DSFA-Anforderung aus (Artikel 35 Absatz 3 Buchstabe b).
- Systeme, die Daten besonderer Kategorien speichern, sollten erhöhte Sicherheit implementieren – Verschlüsselung im Ruhezustand und während der Übertragung, strenge Zugriffskontrollen, getrennte Speicherung, wo möglich
- Mitarbeiter mit Zugang sollten eine spezielle Schulung zum Umgang mit sensiblen Informationen erhalten
- Die Aufbewahrungsfristen sollten sorgfältig geprüft werden – Daten besonderer Kategorien sollten im Allgemeinen für den kürzesten vertretbaren Zeitraum aufbewahrt werden
Wenn ein Kunde nebenbei seinen Gesundheitszustand erwähnt, verfügen wir dann über Daten besonderer Kategorien?
Ja, wenn es aufgezeichnet wird. Ein Hinweis in einem CRM oder einer Datei, der sich auf den Gesundheitszustand eines Kunden bezieht, bedeutet, dass Ihre Akte jetzt Daten einer besonderen Kategorie enthält. Prüfen Sie, ob Sie diese Informationen für die Angelegenheit aufbewahren müssen oder ob sie entfernt werden können. Stellen Sie bei Beibehaltung sicher, dass die entsprechende Bedingung gemäß Artikel 9 gilt.
Fallen Strafregisterdaten unter Artikel 9?
Daten zu strafrechtlichen Verurteilungen und Straftaten fallen unter Artikel 10 und nicht unter Artikel 9, unterliegen jedoch ähnlichen Einschränkungen. Die Verarbeitung ist nur im Rahmen einer behördlichen Genehmigung oder einer ausdrücklichen Genehmigung durch nationales Recht zulässig. Überprüfungen des Strafregisters im Zusammenhang mit der Bekämpfung der Geldwäsche können gemäß der nationalen Gesetzgebung zur Bekämpfung der Geldwäsche zulässig sein.
Kontrollen auf Feldebene für sensible Daten
HubSecure Vault unterstützt erweiterte Zugriffsbeschränkungen pro Feld und Datensatztyp – sodass vertrauliche Kundendaten nur für diejenigen sichtbar sind, die einen berechtigten Bedarf haben.
Buchen Sie eine DemoÜberprüft für regulierte Teams
Vorbereitet vom HubSecure-Redaktionsteam für Betreiber, Compliance-Verantwortliche und IT-Prüfer, die sichere Client-Betriebssoftware bewerten.
Autoren · Rezensenten · Redaktionelle Richtlinien