Warum Artikel 9 DSGVO in vielen Unternehmen häufiger relevant ist, als zunächst angenommen wird
Wenn wir mit Mandanten über besondere Kategorien personenbezogener Daten sprechen, verläuft der Einstieg häufig ähnlich. Sobald der Begriff „Artikel 9 DSGVO“ fällt, entsteht der Eindruck, dass es sich um ein Spezialthema für Krankenhäuser, Arztpraxen, Krankenkassen oder andere Organisationen handelt, die regelmäßig mit Gesundheitsdaten arbeiten. Viele Unternehmen gehen deshalb zunächst davon aus, dass sie von den strengen Vorgaben des Artikels 9 DSGVO gar nicht betroffen sind.
Schließlich verarbeitet man keine Patientenakten, erstellt keine Diagnosen und betreibt keine medizinischen Einrichtungen. Bei näherer Betrachtung zeigt sich jedoch häufig ein anderes Bild. Nicht selten stellt sich heraus, dass besondere Kategorien personenbezogener Daten bereits an zahlreichen Stellen im Unternehmen vorhanden sind – allerdings nicht dort, wo man sie erwartet hätte.
Die bekannten Fälle sind selten das Problem
Zunächst die gute Nachricht: Die Verarbeitung besonderer Kategorien personenbezogener Daten ist zwar grundsätzlich erstmal verboten. Viele Unternehmen haben aber legitime und teilweise sogar gesetzlich vorgeschriebene Gründe, solche Daten zu verarbeiten.
Die Personalabteilung verwaltet Fehlzeiten aufgrund von Krankheit, Arbeitgeber erfüllen arbeitsrechtliche Pflichten und Religionszugehörigkeiten können für steuerliche Zwecke relevant sein. Auch im Rahmen des Betrieblichen Eingliederungsmanagements oder arbeitsmedizinischer Untersuchungen lassen sich Gesundheitsinformationen häufig gar nicht vermeiden.
Diese Verarbeitungsvorgänge sind bekannt, dokumentiert und werden in Datenschutzprojekten regelmäßig betrachtet. Die eigentliche Herausforderung beginnt meist dort, wo niemand bewusst beschlossen hat, besondere Kategorien personenbezogener Daten zu verarbeiten.
Das Kuckucksei der Datenverarbeitung
In den vergangenen Jahren ist uns immer wieder ein Muster begegnet, das wir gerne als „Kuckucksei der Datenverarbeitung“ bezeichnen. Ein Kuckucksei fällt zunächst nicht auf. Es liegt plötzlich im Nest und wird oft erst bemerkt, wenn man genauer hinsieht. Ähnlich verhält es sich mit vielen sensiblen Informationen im Unternehmensalltag.
Ein Bewerber erläutert eine Lücke im Lebenslauf mit einer gesundheitlichen Auszeit. Ein Kunde bittet um eine Terminverschiebung und erwähnt seine Pollenallergie. Ein Mitarbeiter schreibt über wiederkehrende Migräne. In einer Beschwerde werden persönliche Umstände eines Kollegen geschildert.
Niemand hat diese Informationen aktiv angefordert. Dennoch befinden sie sich plötzlich im Unternehmen, werden gespeichert, weitergeleitet, bearbeitet und teilweise über Jahre aufbewahrt.
Besonders häufig entstehen solche Situationen überall dort, wo Menschen frei formulieren können. Bewerbungsunterlagen, E-Mails, Kontaktformulare, Support-Tickets, CRM-Systeme, Hinweisgebersysteme und Beschwerdeverfahren entwickeln sich schnell zu Sammelstellen für Informationen, die ursprünglich nie erhoben werden sollten. Das eigentliche Risiko liegt deshalb häufig nicht in der Datenerhebung, sondern in der unbemerkten Weiterverarbeitung.
Warum die Diskussion Heute schwieriger ist als früher
Die Diskussion um Artikel 9 DSGVO hat in den vergangenen Jahren deutlich an Dynamik gewonnen. Rechtsprechung und Fachliteratur beschäftigen sich zunehmend mit der Frage, wann Informationen Rückschlüsse auf sensible Eigenschaften einer Person zulassen und wie weit der Schutzbereich des Artikels 9 tatsächlich reicht. Dabei geht es längst nicht mehr nur um Diagnosen oder ärztliche Unterlagen.
Diskutiert wird vielmehr, wann auch mittelbare Rückschlüsse relevant werden können. Die Grenzen sind nicht immer eindeutig und viele Fragen werden kontrovers diskutiert. Für die Praxis bedeutet das vor allem eines: Verantwortliche sollten sich nicht ausschließlich auf die offensichtlichen Fälle konzentrieren.
Was tun, wenn man Art. 9 Daten findet?
An dieser Stelle wird häufig zuerst nach der passenden Rechtsgrundlage gefragt. Aus unserer Sicht lohnt sich jedoch zunächst eine andere Betrachtung. Wer tatsächlich im Anwendungsbereich des Artikels 9 DSGVO landet, benötigt regelmäßig nicht nur eine Rechtsgrundlage nach Artikel 6 DSGVO, sondern zusätzlich eine passende Ausnahme nach Artikel 9 Abs. 2 DSGVO. Noch wichtiger ist jedoch die Frage, ob die Information überhaupt benötigt wird.
Aus unserer Erfahrung helfen vier einfache Fragen:
- Warum besitzen wir diese Information?
- Wird sie noch benötigt?
- Wer kann darauf zugreifen?
- Wann verschwindet sie wieder aus unseren Systemen?
Erstaunlich oft zeigt sich dabei, dass sensible Informationen zwar irgendwann einen nachvollziehbaren Anlass hatten, später aber niemand mehr hinterfragt hat, ob sie weiterhin benötigt werden. In Bewerbungsunterlagen finden sich Angaben, die für die Auswahlentscheidung längst keine Rolle mehr spielen. In CRM-Systemen stehen persönliche Details ohne erkennbaren Mehrwert. In E-Mail-Postfächern liegen Informationen, die nur deshalb noch vorhanden sind, weil niemand ihre Löschung angestoßen hat.
Unser praktischer Rat
In vielen Datenschutzprojekten wird viel Energie darauf verwendet, für bestehende Datenbestände die passende Rechtsgrundlage zu finden. Unsere Erfahrung ist jedoch, dass sich manche Diskussion deutlich einfacher lösen lässt. Wer konsequent prüft, welche sensiblen Informationen tatsächlich benötigt werden und welche lediglich historisch gewachsen sind, reduziert Risiken häufig wirksamer als durch jede noch so ausgefeilte juristische Begründung. Datensparsamkeit, Löschkonzepte, Berechtigungskonzepte und ein bewusster Umgang mit Freitextinformationen schaffen in vielen Fällen mehr Datenschutz als zusätzliche Dokumentation.
Fazit: Artikel 9 DSGVO als Suchauftrag
Die größte Herausforderung des Artikels 9 DSGVO liegt aus unserer Sicht nicht bei den bekannten Verarbeitungsvorgängen. Spannender sind die sensiblen Informationen, die ungeplant in bestehende Prozesse gelangen und dort über Jahre unbemerkt verbleiben.
Deshalb empfehlen wir Mandanten regelmäßig, Artikel 9 DSGVO nicht nur als Rechtsgrundlage zu betrachten, sondern als Suchauftrag. Nicht nur mit dem Ziel, möglichst viele sensible Daten zu finden, sondern mit dem Ziel, zu verstehen wo sie entstehen, ob sie tatsächlich benötigt werden und wann sie wieder verschwinden sollten. Nicht jedes datenschutzrechtliche Kuckucksei führt automatisch zu einem Problem – aber man sollte wissen, dass es im Nest liegt.