Was ist die Definition von sensiblen Daten? Was sind einige Beispiele? Können Sie sensible Daten im Rahmen von Datenschutzgesetzen wie der Datenschutz-Grundverordnung und dem CCPA verarbeiten?
In diesem Beitrag beantworten wir all diese Fragen und zeigen Ihnen, was Sie möglicherweise tun müssen, um sensible personenbezogene Daten zu erfassen und zu verarbeiten.
Wenn wir von sensiblen Daten sprechen, beziehen wir uns auf besondere Kategorien personenbezogener Daten, die vom Verarbeiter mit größerer Sorgfalt behandelt werden sollten.
Der Hauptunterschied zwischen normalen personenbezogenen Daten und sensiblen Daten besteht darin, dass sensible Daten bei Weitergabe möglicherweise zur Diskriminierung des Nutzers führen könnten.
Das liegt daran, dass sie Informationen wie Rasse oder ethnische Herkunft, sexuelle Orientierung, religiöse Überzeugungen, aber auch Informationen über die Gesundheit des Nutzers enthalten.
Die internationalen Datenschutzgesetze können unterschiedliche Ansichten über sensible Daten haben. Dennoch gibt es eine gemeinsame Grundlage: Alle Gesetze stimmen darin überein, dass Sie sensible Daten nur dann erfassen und verarbeiten sollten, wenn sie für Ihre Tätigkeit wirklich notwendig sind. Wenn Sie sensible Daten erheben müssen, sollten Sie sie sicher und mit äußerster Sorgfalt aufbewahren.
Dieser Artikel ist Teil unserer Serie zum Thema Datenschutz. Lesen Sie auch:
👉 Was ist eine Datenschutzverletzung und wie kann man sie verhindern?
Verschiedene Datenschutzgesetze können unterschiedliche Definitionen von sensiblen Daten haben. Jedenfalls finden wir in Artikel 9 der DSGVO einige Beispiele, die im weiteren Sinne gelten können.
Zu den besonderen Kategorien personenbezogener Daten zählt die Datenschutz-Grundverordnung:
Die Erhebung und Verarbeitung sensibler Daten ist im Allgemeinen zulässig. Es kann jedoch sein, dass Sie in diesem Zusammenhang zusätzliche Sicherheitsvorkehrungen treffen müssen.
Werfen wir einen genaueren Blick auf die wichtigsten Rechtsvorschriften und ihre spezifischen Anforderungen:
Nach der DSGVO dürfen Sie sensible Daten nur dann verarbeiten, wenn der Nutzer ausdrücklich und in Kenntnis der Sachlage eingewilligt hat, was bedeutet, dass er klar verstehen muss, wozu er seine Einwilligung gibt.
Die Verarbeitung ist auch dann erlaubt, wenn die Daten von entscheidender Bedeutung für das öffentliche Interesse, die soziale Sicherheit, die Gesundheit usw. sind. Wenn Sie personenbezogene Daten erheben und verarbeiten, und insbesondere wenn es sich um eine umfangreiche Verarbeitung handelt, müssen Sie einen Datenschutzbeauftragten (DSB) bestellen und eine Datenschutz-Folgenabschätzung (DPIA) durchführen.
Mehr über die GDPR-Anforderungen erfahren Sie hier.Auch wenn die Kategorie der sensiblen Daten im Sinne des CCPA unter die Kategorie der normalen personenbezogenen Daten fällt, müssen Sie den Nutzer unter Umständen um seine Zustimmung bitten, wenn es um sensible Informationen geht.
Da das CCPA keine Definition für sensible Informationen enthielt, wurde es geändert. Mit dem neuen California Privacy Rights Act (CPRA) werden sensible personenbezogene Daten eingeführt (SPI), in der ein höheres Datenschutzniveau gefordert wird.
Wie die GDPR erlaubt auch die brasilianische LGPD die Verarbeitung personenbezogener Daten nur dann, wenn die Nutzer ihre Einwilligung gegeben haben oder wenn Ausnahmen gelten.
Wenn Ihr Unternehmen sensible Daten sammelt und verarbeitet, müssen Sie möglicherweise zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass die Daten sicher gespeichert werden.
Das müssen Sie möglicherweise tun:
Informieren Sie sich welche Gesetze für Sie gelten und vergewissern Sie sich, dass Sie die Vorschriften einhalten.
Hier erfahren Sie, wie die Lösungen von iubenda bei der Verarbeitung sensibler Daten eine große Hilfe sein können:
The solution to generate your Privacy Policy. Customizable from 1700+ clauses, available in 9 languages and self-updating