Achtung! Neues EuGH Urteil: Indirekt sensibel ist auch sensibel

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

 

 

1.      Wann es für Dich gilt

Erhebst Du mehr personenbezogene Daten als nur die IP-Adresse, Name und Adresse Deiner Nutzer und Kunden?

Auf Deiner Website?

In Deinem Business?

Fragst Du nach Gewicht, Größe, Eheleuten, Partnern, Geburtsort oder Weltanschauungen?  

Dann drohen nach dem EuGH-Urteil vom 1.8.2022 neue Abmahn- und Bußgeldgefahren, wenn Du nicht besondere Voraussetzungen nach der DSGVO einhältst!

Besonders relevant für Coaches und Berater, für Psychologen, jeden, der im Gesundheitsbereich tätig ist oder wenn Du Bewerbungen entgegennimmst. Das Urteil betrifft Dich immer, wenn Du indirekt sensible Daten abfragst. 

2.      Überblick

Lass mich kurz erklären,

  • was sind sensible Daten und
  • was bedeutet das für Deine Datenverarbeitung
  • was sind indirekt sensible Daten
  • wie musst Du reagieren, um Abmahnungen und Bußgelder zu vermeiden

3.      Was sind sensible Daten

Die DSGVO stellt die Dir sicher bereits bekannten Voraussetzungen für jede Verarbeitung von personenbezogenen Daten auf – wie Name, Adresse, IP, etc. Besonders scharf ist die DSGVO aber, wenn besondere personenbezogene Daten erhoben werden. Das sind sog. sensible Daten:

Solche Daten sind nach Art. 9 Abs. 1 DSGVO:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Dann ist eine qualifizierte Einwilligung erforderlich, die von den Generatoren für Datenschutzerklärungen nicht angeboten wird. Zudem ist die Verwendung dieser Daten nur eingeschränkt möglich. Das nähere findet sich in Art. 9 DSGVO.

4. Die qualifizierte Einwilligung

Was ist diese qualifizierte Einwilligung?

Zunächst einmal müssen dabei alle Anforderungen, eingehalten werden, die allgemein an eine Einwilligung bestehen: Die Einwilligung muss nach Art. 4 Nr. 11 DSGVO

  1. freiwillig sein,
  2. informiert erfolgen, d.h. Betroffene sind über den genauen Anlass und Umfang der Datenverarbeitung, zu der eingewilligt wird, vorher zu informieren,
  3. einen bestimmten Fall betreffen, es muss also Anlass und Zweck der Einwilligung genannt werden, pauschale Zwecke reichen nicht aus (wie Werbung oder Datenverarbeitung oder Kundenpflege), je stärker der Eingriff wiegt, desto genauer müssen Zweck und Anlass genannt werden – zu beachten ist, jede weitergehende Verwendung als in der Einwilligung genannt, ist dann unzulässig,
  4. unmissverständlich sein, also insbesondere sollte klar von „einwilligen“ gesprochen werden, Formulierungen wie „mir ist bekannt“ oder ähnliches reichen nicht aus,
  5. freiwillig sein, also ohne Drohung oder Zwang, inwieweit das Kopplungsverbot gilt, ist rechtlich noch nicht klar (siehe dazu hier im Blog); weiter sollte die Einwilligung auch klar erkennbar sein, also vom sonstigen Text ersichtlich abgesetzt,
  6. widerruflich sein, darauf ist der Einwilligende in der Einwilligung hinzuweisen,
  7. dokumentiert werden, es sollte also Zeit, Ort, Inhalt und Erklärender der Einwilligung gespeichert werden (bei Einwilligung auf der Website auch die IP-Adresse festhalten),
  8. weitere Informationen enthalten, wie etwa, ob die Daten – und wenn ja, wohin – an Dritte weitergegeben werden und eine Aufklärung über die Rechte des Betroffenen, hier kann für Details auf, die von easyRechtssicher generierte Datenschutzerklärung verwiesen werden, die diese Hinweise enthält.

Bei der Einwilligung zu besonderen personenbezogenen Daten kommt noch hinzu, dass nach Art. 9 Abs. 2 lit. a DSGVO auch die besonderen Kategorien genannt werden müssen, auf die sich die Einwilligung bezieht.

5. Das EuGH-Urteil

Mit Urteil vom 1.8.2022 entschied der EuGH (Az.: C184/20), dass diese Anforderungen auch für indirekt sensible Daten gelten. Damit sind Daten gemeint, aus deren Angabe sich auf sensible Daten schließen lässt.

In dem Urteil ging es um die Veröffentlichung von Daten zu Partnern von Personen. Aus den Namen der Partner kann aber auf die sexuelle Orientierung geschlossen werden, so dass der EuGH Art. 9 DSGVO anwandte.

Dies kann auch andere Daten betreffen, die indirekt sensibel sind. Fallen Dir auch Beispiele ein? Dann schreib sie gern in die Kommentare.

Ein weiteres Beispiel sind etwa Größen- und Gewichtsangaben. Hieraus lässt sich wenigstens in extremeren Fällen auf den Gesundheitszustand schließen. Ebenso, wenn nach der Nutzung bestimmter Hilfsmittel gefragt wird, wie etwa einer Brille oder Gehhilfe. Das gleiche gilt, wenn es um die Verwendung von Suchtmitteln geht.

6. Was Du beachten musst

In all diesen Fällen brauchst Du die qualifizierte Einwilligung nach Art. 9 DSGVO. Mitglieder von easyRechssicher finden alle zugehörigen Muster hier (Achtung, funktioniert nur, wenn Du angemeldet bist).

Weiter ist mit sensiblen Daten besonders sorgsam umzugehen. Es ist genau darauf zu achten, dass die Daten nur für den von Dir bei der Einwilligung genannten Zweck verwendet werden, nur Personen Einblick erhalten, die wirklich (sinnvollerweise) in die Bearbeitung einbezogen sind und vor allem, dass nach Erledigung wirklich alle Kopien (ob auf Datenträger oder real) vernichtet werden (z.B. auch E-Mail-Anhänge etc.) – sicher vernichtet werden – im Übrigen, Ausdrucke gehören keinesfalls einfach in den Papiermüll.

Ebenfalls dürfen sensible Daten nur auf einer verschlüsselten Seite erhoben werden und sollten auch intern verschlüsselt übermittelt und gespeichert werden. Wenn die Daten doch an Dritte weitergegeben werden, muss das auch in der Einwilligung klar angegeben werden. Keine Weitergabe an Dritte ist es, wenn zur Berufsverschwiegenheit verpflichtete Berater Einsicht erhalten, wie externe Psychologen oder Rechtsanwälte und Steuerberater.

Mehr über die DSGVO erfährst du hier.  

 

Rechtsanwalt Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

 

 

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert