Durch das Gesetz Nr. 7499, veröffentlicht im Amtsblatt vom 12. März 2024 mit der Nummer 32487, wurden Änderungen am Gesetz Nr. 6698 zum Schutz personenbezogener Daten („Gesetz“) vorgenommen. Im Februar 2025 wurde der Leitfaden zur Verarbeitung besonderer Kategorien personenbezogener Daten („Leitfaden“) auf der Website der Datenschutzbehörde („Behörde“) veröffentlicht.
1. Einleitung
Nach dem Gesetz umfassen besondere Kategorien personenbezogener Daten Angaben zur Rasse, ethnischen Herkunft, politischen Meinung, philosophischen Überzeugung, Religion, Konfession oder sonstigen Überzeugungen, zum äußeren Erscheinungsbild und zur Kleidung, zur Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, zur Gesundheit, zum Sexualleben, zu strafrechtlichen Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.
Vor der Änderung war die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich von der ausdrücklichen Einwilligung der betroffenen Person abhängig. Für die Verarbeitung solcher Daten ohne ausdrückliche Einwilligung unterschied das Gesetz zuvor zwischen „Daten zur Gesundheit und zum Sexualleben“ und „anderen besonderen Kategorien personenbezogener Daten“. Nach dieser Unterscheidung galt:
- Andere besondere Kategorien personenbezogener Daten: konnten ohne ausdrückliche Einwilligung nur verarbeitet werden, wenn dies ausdrücklich gesetzlich vorgesehen war.
- Daten zur Gesundheit und zum Sexualleben: konnten ohne ausdrückliche Einwilligung nur zu Zwecken wie dem Schutz der öffentlichen Gesundheit, der Präventivmedizin, medizinischer Diagnose, Behandlungs- und Pflegeleistungen sowie der Planung und Verwaltung von Gesundheitsdiensten und deren Finanzierung verarbeitet werden, und nur durch Personen oder Einrichtungen, die einer Geheimhaltungspflicht unterliegen.
Nach der früheren Regelung konnten Gesundheitsdaten nahezu ausschließlich von der Sozialversicherungsanstalt, dem Gesundheitsministerium und Gesundheitseinrichtungen verarbeitet werden. Dies führte in der Praxis zu mehreren Problemen bei der Verarbeitung von Gesundheitsdaten, die in Bereichen wie Versicherungen, Arbeitsschutz und sozialen Diensten benötigt wurden. Tatsächlich hatte die Regelung bestimmte Tätigkeiten öffentlicher Institutionen, privater Akteure und Nichtregierungsorganisationen eingeschränkt und sie daran gehindert, einige ihrer gesetzlichen Pflichten zu erfüllen. Die Änderungen zielten daher darauf ab, diese praktischen Probleme zu lösen und aktuellen Bedürfnissen Rechnung zu tragen.
2. Aktuelle Lage
Mit den jüngsten Änderungen wurde die Unterscheidung zwischen „Daten zur Gesundheit und zum Sexualleben“ und „anderen besonderen Kategorien personenbezogener Daten“ aufgehoben. Folglich unterliegen Daten zur Gesundheit und zum Sexualleben keinen anderen Rechtsgrundlagen für die Verarbeitung mehr als andere besondere Kategorien personenbezogener Daten. Außerdem wurden die Verarbeitungsbedingungen so überarbeitet, dass sie einheitlich für alle besonderen Kategorien personenbezogener Daten gelten, und zusätzliche Rechtsgrundlagen wurden eingeführt.
Nach den neuen Regelungen können besondere Kategorien personenbezogener Daten unter folgenden Voraussetzungen verarbeitet werden:
a) Ausdrückliche Einwilligung der betroffenen Person: Erteilt die betroffene Person ihre ausdrückliche Einwilligung, dürfen ihre besonderen Kategorien personenbezogener Daten weiterhin auf dieser Grundlage verarbeitet werden. Zwischen der ausdrücklichen Einwilligung und den nachstehend aufgeführten anderen Rechtsgrundlagen besteht keine Hierarchie. Zu beachten ist jedoch, dass die ausdrückliche Einwilligung weiterhin den allgemeinen Grundsätzen des Gesetzes entsprechen muss.
b) Ausdrückliche gesetzliche Grundlage: Besondere Kategorien personenbezogener Daten dürfen ohne ausdrückliche Einwilligung der betroffenen Person verarbeitet werden, wenn dies ausdrücklich gesetzlich vorgesehen ist. So können beispielsweise nach Artikel 5 des Gesetzes Nr. 2559 über die Befugnisse und Aufgaben der Polizei Fingerabdruckdaten von Personen erhoben werden, die einen Führerschein oder Reisepass beantragen. Der Leitfaden stellt klar, dass auch Regelungen wie Verordnungen, Kommuniqués und Rundschreiben, die auf einer durch Gesetz ausdrücklich erteilten Befugnis zur Verarbeitung besonderer Kategorien personenbezogener Daten beruhen, unter diese Rechtsgrundlage fallen.
c) Praktische Unmöglichkeit: Ist die betroffene Person aufgrund einer praktischen Unmöglichkeit/Behinderung nicht in der Lage, eine Einwilligung zu erteilen, oder ist ihre Einwilligung rechtlich unwirksam, dürfen besondere Kategorien personenbezogener Daten ohne Einwilligung verarbeitet werden, wenn dies zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person unerlässlich ist. Ein Beispiel hierfür ist die Verarbeitung von Informationen über Blutgruppe und Vorerkrankungen in einer medizinischen Notfallsituation, in der die Person bewusstlos ist.
d) Von der betroffenen Person öffentlich gemachte Daten: Hat die betroffene Person ihre besonderen Kategorien personenbezogener Daten öffentlich gemacht, dürfen diese Daten ohne Einwilligung verarbeitet werden, sofern die Verarbeitung der Absicht der betroffenen Person entspricht. Teilt eine Person etwa ihre Blutgruppe und Allergieinformationen öffentlich für Notfallzwecke mit, können diese Daten für diesen Zweck verwendet werden. Hervorzuheben ist, dass die bloße Tatsache der Veröffentlichung durch die betroffene Person allein nicht ausreicht; der Verantwortliche muss bei der Verarbeitung dieser Daten im Einklang mit der Absicht oder dem Offenlegungszweck der betroffenen Person handeln.
e) Begründung, Ausübung oder Schutz von Rechten: Besondere Kategorien personenbezogener Daten dürfen ohne Einwilligung verarbeitet werden, wenn dies für die Begründung, Ausübung oder den Schutz eines Rechts unerlässlich ist. Beispielsweise kann ein Arbeitgeber Gesundheitsdaten eines früheren Arbeitnehmers für mögliche Rechtsstreitigkeiten nach Beendigung eines Arbeitsvertrags aufbewahren.
Ebenso kann in Fällen, in denen ein Rechtsanwalt die Rechte seines Mandanten auf andere Weise nicht geltend machen kann, die Vorlage rechtmäßig erlangter besonderer Kategorien personenbezogener Daten bei Gericht als Teil der Prozessakte eine rechtmäßige Verarbeitungsgrundlage darstellen. Ein weiteres Beispiel sind Fälle, in denen die Verarbeitung besonderer Kategorien personenbezogener Daten, etwa Behinderungs- oder Gesundheitsinformationen über Ehegatten und Kinder von Arbeitnehmern, für Gehaltszahlungen erforderlich ist; auch die Verarbeitung solcher Daten durch den Arbeitgeber kann in diesen Anwendungsbereich fallen.
f) Gesundheitsdienste und ähnliche Erforderlichkeiten: Personen oder befugte Einrichtungen und Organisationen, die einer Geheimhaltungspflicht unterliegen, dürfen besondere Kategorien personenbezogener Daten weiterhin ohne ausdrückliche Einwilligung verarbeiten, wenn dies zum Schutz der öffentlichen Gesundheit, für Präventivmedizin, medizinische Diagnose, Behandlungs- und Pflegeleistungen sowie für die Planung, Verwaltung und Finanzierung von Gesundheitsdiensten erforderlich ist.
Das Gesundheitsministerium, sämtliche Arten von Gesundheitseinrichtungen und die Sozialversicherungsanstalt gelten in Bezug auf die Daten, die sie zu den genannten Zwecken erheben, als von diesem Anwendungsbereich erfasst. Der Leitfaden weist darauf hin, dass der Begriff „befugte Einrichtungen und Organisationen“ nicht nur öffentliche Institutionen und Organisationen umfasst, sondern auch natürliche Personen und private juristische Personen, die Gesundheitsdienste erbringen. Der Begriff „Personen, die einer Geheimhaltungspflicht unterliegen“ umfasst alle Angehörigen der Gesundheitsberufe sowie Personen, die, auch wenn sie keine Gesundheitsfachkräfte sind, an der Erbringung von Gesundheitsdiensten beteiligt sind.
g) Erfüllung arbeitsbezogener gesetzlicher Pflichten: Besondere Kategorien personenbezogener Daten dürfen ohne ausdrückliche Einwilligung der betroffenen Person verarbeitet werden, wenn dies zur Erfüllung gesetzlicher Pflichten in den Bereichen Beschäftigung, Arbeitsschutz, soziale Sicherheit, soziale Dienste und Sozialhilfe unerlässlich ist.
Beispiele für diese Rechtsgrundlage sind die Verarbeitung von Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen durch Arbeitgeber zur Erfüllung ihrer Pflicht, behinderte oder verurteilte Personen nach dem Arbeitsgesetz Nr. 4857 (Artikel 30) zu beschäftigen, die Verarbeitung von Gesundheitsdaten für Gesundheitsuntersuchungen nach Tarifverträgen (Gesetz Nr. 6356 über Gewerkschaften und Tarifverträge, Artikel 36(1)) sowie die Verarbeitung von Daten über strafrechtliche Verurteilungen und Gesundheit bei Fahrern (Straßentransportverordnung, Artikel 34) und Sicherheitspersonal (Gesetz Nr. 5188 über private Sicherheitsdienste, Artikel 10).
h) Mitgliedschaft in Stiftungen, Vereinen und gemeinnützigen Organisationen: Besondere Kategorien personenbezogener Daten aktueller oder ehemaliger Mitglieder sowie von Personen, die in regelmäßigem Kontakt mit diesen Organisationen stehen, dürfen ohne ausdrückliche Einwilligung von Stiftungen, Vereinen und gemeinnützigen Organisationen verarbeitet werden, die zu politischen, philosophischen, religiösen oder gewerkschaftlichen Zwecken gegründet wurden, sofern die Verarbeitung ihrem rechtlichen Rahmen und ihren Zwecken entspricht, auf ihre Tätigkeiten beschränkt ist und nicht an Dritte weitergegeben wird.
Beispielsweise wird die Verarbeitung von Informationen über aktuelle Mitglieder sowie ehemalige Mitglieder und Personen, die durch Spenden regelmäßig Kontakt halten, als von diesem Anwendungsbereich erfasst angesehen. Ebenso darf eine Gewerkschaft Daten zur Gewerkschaftsmitgliedschaft nur im Zusammenhang mit ihrem Tätigkeitsbereich und ihren Zielen verarbeiten. Personenbezogene Daten über Gesundheit oder Religion von Gewerkschaftsmitgliedern dürfen jedoch nicht verarbeitet werden, wenn sie keinen Bezug zum Tätigkeitsbereich und zu den Zielen haben.
Einige der oben genannten Rechtsgrundlagen enthalten die Begriffe „erforderlich“ oder „unerlässlich“. Nach dem Leitfaden gilt:
- Der Begriff „erforderlich“ bedeutet, dass Datenverarbeitungstätigkeiten im Einzelfall anhand objektiver Nachweise zu begründen sind. Er setzt außerdem voraus, dass zwischen den verarbeiteten Daten und dem geltend gemachten legitimen Zweck ein Zusammenhang besteht, im Einklang mit dem Grundsatz, dass die Daten für den Zweck, zu dem sie verarbeitet werden, relevant, begrenzt und verhältnismäßig sein müssen.
- Der Begriff „unerlässlich“ beruht nicht auf einer subjektiven Bewertung, sondern bezeichnet eine Situation, in der öffentliche und gesellschaftliche Bedingungen die Verarbeitung besonderer Kategorien personenbezogener Daten erfordern. Bei solchen Verarbeitungstätigkeiten darf es keine alternative Methode zur Verarbeitung besonderer Kategorien personenbezogener Daten geben, sodass die Verarbeitung im Rahmen des angegebenen Zwecks unvermeidbar ist.
Bevor eine Verarbeitung besonderer Kategorien personenbezogener Daten auf Grundlage einer dieser Rechtsgrundlagen begonnen wird, sollte daher sorgfältig geprüft werden, ob diese Kriterien erfüllt sind.
3. Fazit
Nach den Änderungen müssen Verantwortliche, die besondere Kategorien personenbezogener Daten verarbeiten, Prozesse auf Grundlage ausdrücklicher Einwilligungen überarbeiten und ihre Verzeichnisse von Verarbeitungstätigkeiten, Informationshinweise sowie Aufbewahrungs- und Vernichtungsrichtlinien aktualisieren.
Die Pflicht, „angemessene Maßnahmen“ zu ergreifen, bleibt unverändert. Besondere Kategorien personenbezogener Daten müssen weiterhin im Einklang mit dem Beschluss des Datenschutzrats vom 31. Januar 2018 mit der Nummer 2018/10 über angemessene Maßnahmen verarbeitet werden, die Verantwortliche bei der Verarbeitung besonderer Kategorien personenbezogener Daten zu ergreifen haben. Wurden angemessene Maßnahmen noch nicht umgesetzt, müssen Organisationen die Einhaltung so bald wie möglich sicherstellen.
Darüber hinaus müssen Verantwortliche, die genetische und/oder biometrische Daten verarbeiten, auch die Grundsätze berücksichtigen, die im Leitfaden zur Verarbeitung genetischer Daten und in der Richtlinie zu Gesichtspunkten bei der Verarbeitung biometrischer Daten dargelegt sind.
Hinweis: Diese Übersetzung wird lediglich als Service bereitgestellt und kann geringfügig vom Originaltext abweichen.
