Was ist die Definition von sensiblen Daten? Was sind einige Beispiele? Können Sie sensible Daten im Rahmen von Datenschutzgesetzen wie der Datenschutz-Grundverordnung und dem CCPA verarbeiten?
In diesem Beitrag beantworten wir all diese Fragen und zeigen Ihnen, was Sie möglicherweise tun müssen, um sensible personenbezogene Daten zu erfassen und zu verarbeiten.
What’s the definition of sensitive data?
Wenn wir von sensiblen Daten sprechen, beziehen wir uns auf besondere Kategorien personenbezogener Daten, die vom Verarbeiter mit größerer Sorgfalt behandelt werden sollten.
Der Hauptunterschied zwischen normalen personenbezogenen Daten und sensiblen Daten besteht darin, dass sensible Daten bei Weitergabe möglicherweise zur Diskriminierung des Nutzers führen könnten.
Das liegt daran, dass sie Informationen wie Rasse oder ethnische Herkunft, sexuelle Orientierung, religiöse Überzeugungen, aber auch Informationen über die Gesundheit des Nutzers enthalten.
Die internationalen Datenschutzgesetze können unterschiedliche Ansichten über sensible Daten haben. Dennoch gibt es eine gemeinsame Grundlage: Alle Gesetze stimmen darin überein, dass Sie sensible Daten nur dann erfassen und verarbeiten sollten, wenn sie für Ihre Tätigkeit wirklich notwendig sind. Wenn Sie sensible Daten erheben müssen, sollten Sie sie sicher und mit äußerster Sorgfalt aufbewahren.
Mehr zum Datenschutz
Dieser Artikel ist Teil unserer Serie zum Thema Datenschutz. Lesen Sie auch:
👉 Was ist eine Datenschutzverletzung und wie kann man sie verhindern?
Einige Beispiele für sensible persönliche Informationen
Verschiedene Datenschutzgesetze können unterschiedliche Definitionen von sensiblen Daten haben. Jedenfalls finden wir in Artikel 9 der DSGVO einige Beispiele, die im weiteren Sinne gelten können.
Zu den besonderen Kategorien personenbezogener Daten zählt die Datenschutz-Grundverordnung:
- Rasse oder ethnische Herkunft;
- politische Meinungen;
- religiöse oder philosophische Überzeugungen;
- Gewerkschaftszugehörigkeit;
- genetische Daten; biometrische Daten (biometrische Daten sind menschliche Messungen, die zur Identifizierung einer Person führen können. Dazu gehören Dinge wie Fingerabdrücke, Gesichtserkennung, DNA usw.);
- Gesundheitsdaten;
- Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person.
Wie man mit sensiblen Daten umgeht
Die Erhebung und Verarbeitung sensibler Daten ist im Allgemeinen zulässig. Es kann jedoch sein, dass Sie in diesem Zusammenhang zusätzliche Sicherheitsvorkehrungen treffen müssen.
Werfen wir einen genaueren Blick auf die wichtigsten Rechtsvorschriften und ihre spezifischen Anforderungen:
GDPR (Europäische Union)
Nach der DSGVO dürfen Sie sensible Daten nur dann verarbeiten, wenn der Nutzer ausdrücklich und in Kenntnis der Sachlage eingewilligt hat, was bedeutet, dass er klar verstehen muss, wozu er seine Einwilligung gibt.
Die Verarbeitung ist auch dann erlaubt, wenn die Daten von entscheidender Bedeutung für das öffentliche Interesse, die soziale Sicherheit, die Gesundheit usw. sind. Wenn Sie personenbezogene Daten erheben und verarbeiten, und insbesondere wenn es sich um eine umfangreiche Verarbeitung handelt, müssen Sie einen Datenschutzbeauftragten (DSB) bestellen und eine Datenschutz-Folgenabschätzung (DPIA) durchführen.
Mehr über die GDPR-Anforderungen erfahren Sie hier.CCPA & CalOPPA (Kalifornien)
Auch wenn die Kategorie der sensiblen Daten im Sinne des CCPA unter die Kategorie der normalen personenbezogenen Daten fällt, müssen Sie den Nutzer unter Umständen um seine Zustimmung bitten, wenn es um sensible Informationen geht.
Update!
Da das CCPA keine Definition für sensible Informationen enthielt, wurde es geändert. Mit dem neuen California Privacy Rights Act (CPRA) werden sensible personenbezogene Daten eingeführt (SPI), in der ein höheres Datenschutzniveau gefordert wird.
LGPD (Brasilien)
Wie die GDPR erlaubt auch die brasilianische LGPD die Verarbeitung personenbezogener Daten nur dann, wenn die Nutzer ihre Einwilligung gegeben haben oder wenn Ausnahmen gelten.
Welche Auswirkungen hat die Verarbeitung sensibler Daten auf mein Unternehmen?
Wenn Ihr Unternehmen sensible Daten sammelt und verarbeitet, müssen Sie möglicherweise zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass die Daten sicher gespeichert werden.
Das müssen Sie möglicherweise tun:
- Vergewissern Sie sich, dass Sie die Daten unbedingt benötigen. Ein wichtiger Grundsatz der Datenschutzgesetze ist die Datenminimierung, d. h. die Beschränkung der Verarbeitung auf die Daten, die Sie wirklich für Ihre Zwecke benötigen. Wenn Sie festgestellt haben, dass Sie diese Daten wirklich verarbeiten müssen, fahren Sie mit Punkt 2 fort.
- Vergewissern Sie sich, dass Sie in der Lage sind, die höheren Sicherheitsstufen zu gewährleisten, die für die Verarbeitung dieser Daten gesetzlich vorgeschrieben sind.
- Stellen Sie sicher, dass Sie über eine angemessene Rechtsgrundlage für die Verarbeitung der Daten verfügen. Im Rahmen der DSGVO kann dies bedeuten, dass Sie den Nutzer umfassend informieren, die ausdrückliche Zustimmung der Person einholen und einen Datenschutzbeauftragten benennen müssen – im Rahmen anderer Gesetze kann dies auch andere Dinge bedeuten.
Informieren Sie sich welche Gesetze für Sie gelten und vergewissern Sie sich, dass Sie die Vorschriften einhalten.
Wie speichern Sie sensible Daten sicher?
Wie iubenda helfen kann
Hier erfahren Sie, wie die Lösungen von iubenda bei der Verarbeitung sensibler Daten eine große Hilfe sein können:
- Mit unserem Datenschutz- und Cookie-Generator können Sie ganz einfach gesetzlich vorgeschriebene Angaben und Informationen über den Ihnen zugewiesenen Datenschutzbeauftragten hinzufügen und vieles mehr.
- Unser Verzeichnis von Datenverarbeitungstätigkeiten hilft Ihnen auch, den Überblick über Ihre Verarbeitungstätigkeiten und die damit verbundenen Zwecke und Rechtsgrundlagen zu behalten, wie es gesetzlich vorgeschrieben ist.
- Benennen Sie einen Datenschutzbeauftragten? Verwenden Sie dieses kostenlose Schreiben zur Ernennung eines Datenschutzbeauftragten (GDPR-Vorlage)
Über uns
Die Lösung zur Erstellung Ihrer Datenschutzerklärung. Anpassbar aus über 1300 Klauseln, verfügbar in 8 Sprachen und selbstaktualisierend.