Vor der Definition biometrischer Daten sollten die „besonderen Kategorien personenbezogener Daten“ beachtet werden, die gemeinhin auch als „sensible Daten“ bekannt sind. In der Tat werden in Artikel 9.1 DSGVO biometrische Daten (oder zumindest einige von ihnen; siehe 2.2 Biometrische Daten) in dieser breiteren Gruppe zusammengefasst:
| Besondere Kategorien personenbezogener Daten |
| Daten, aus denen die rassische und ethnische Herkunft hervorgeht |
| Daten, aus denen politische Meinungen hervorgehen |
| Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen |
| Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht |
| Genetische Daten |
| Biometrische Daten (zur eindeutigen Identifizierung einer natürlichen Person) |
| Gesundheitsdaten |
| Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person |
Artikel 9 DSGVO untersagt standardmäßig die Verarbeitung besonderer Kategorien personenbezogener Daten, es sei denn, es liegt eine der in Artikel 9 Absatz 2 DSGVO aufgeführten Ausnahmen vor. Eine dieser Ausnahmen gilt, wenn die „Verarbeitung […] für wissenschaftliche oder historische Forschungszwecke erforderlich ist“.
Es ist anzumerken, dass es für die Erfüllung nicht ausreicht, dass eine Verarbeitung besonderer Kategorien personenbezogener Daten eine der in Artikel 9 Absatz 2 DSGVO aufgeführten Ausnahmen erfüllt. Darüber hinaus muss der Verantwortliche vor Beginn der Verarbeitung eine geeignete Rechtsgrundlage für die Datenverarbeitung ermitteln (siehe Abschnitt 3.2.3Ermittlung der am besten geeigneten Rechtsgrundlage)[1].
Die Verantwortlichen sollten sich auch darüber im Klaren sein, dass die Mitgliedstaaten gemäß Artikel 9 Absatz 4 DSGVO zusätzliche Bedingungen und Beschränkungen für die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten einführen bzw. anwenden können. Daher sollten Verantwortliche, die diese besonderen Kategorien verarbeiten wollen, immer prüfen, ob es anwendbare spezifische nationale Anforderungen gibt. Weitere Informationen finden Sie in den vom Panelfit-Konsortium erstellten nationalen Berichten (abrufbar unter https://www.panelfit.eu/national-reports/).
Obwohl bestimmte Daten für sich genommen keine besonderen Kategorien personenbezogener Daten darstellen, können sie in Verbindung mit anderen Daten besondere Kategorien personenbezogener Daten darstellen. So sind beispielsweise die Adresse und die Muttersprache einer Person keine besondere Kategorie personenbezogener Daten. Wenn jedoch Name, Geburtsort und andere Daten der betroffenen Person dem Datensatz beigefügt werden, könnte die Kombination genügend Informationen bereitstellen, um die rassische oder ethnische Herkunft der betroffenen Person mit einem angemessenen Grad an Sicherheit zu ermitteln. In diesem Szenario sollten die Daten den gleichen Anforderungen und Beschränkungen wie besondere Kategorien personenbezogener Daten unterliegen, auch wenn sie es für sich genommen nicht sind.
| Datensatz 1 | Datensatz 2 |
| Adresse: Washington D.C. | Adresse: Washington D.C. |
| Muttersprache: Französisch | Muttersprache: Französisch |
| Name: SeydouKablanBakayoko | |
| Geburtsort: Abidjan | |
| Andere bekannte Sprache: Cebaara, Englisch | |
| Grundschule: École Konan Raphael, Abidjan | |
| Datensatz 1 enthält keine Informationen über die rassische oder ethnische Herkunft der betroffenen Person | Die von Datensatz 2 gelieferten Informationen könnten als ausreichend angesehen werden, um die rassische oder ethnische Herkunft der betroffenen Person (mit einem angemessenen Grad an Sicherheit) zu ermitteln. |
Es wird nochmals darauf hingewiesen, dass die Daten einen angemessenen Grad an Sicherheit bieten sollten. Dieser Grad an Sicherheit ist kontextabhängig und muss von Fall zu Fall bewertet werden.
Quellenangaben
1Sieheauch: Ludmilla Georgieva and Christopher Kuner, Article 9. Processing of Special Categories of Personal Data, in The EU General Data Protection Regulation (GDPR): A Commentary (Oxford, United Kingdom: Oxford University Press, 2019), 376–77. ↑