Personenbezogene Daten sind alle Daten, die zur Identifizierung einer Person verwendet werden können. Sensible personenbezogene Daten hingegen werden in den meisten Datenschutzgesetzen als eine besondere Kategorie personenbezogener Daten betrachtet. Sie sind besonders heikel, da sie für die Person, auf die sie sich beziehen, ein erhöhtes Risiko der Diskriminierung bedeuten können.
Aufgrund ihrer Art müssen sensible personenbezogene Daten mit Vorsicht behandelt werden und unterliegen in der Regel besonderen Verarbeitungsbedingungen. 👀 Lesen Sie weiter, um einige Beispiele für sensible personenbezogene Daten zu erfahren.
Das bisher weltweit strengste Datenschutzgesetz, die Datenschutz-Grundverordnung, definiert sensible Daten in Artikel 9 unter “besondere Kategorien personenbezogener Daten” als:
The DPA 2018 sets out the framework for data protection law in the UK. Nach Angaben des ICO ergänzt sie die britische Datenschutz-Grundverordnung. Die dortige Definition von besonderen Datenkategorien ist die gleiche wie in der Datenschutz-Grundverordnung (siehe oben).
💡 Wussten Sie das?
In den Vereinigten Staaten wurden kürzlich neue Datenschutzgesetze eingeführt. Die meisten von ihnen machen den Schutz sensibler persönlicher Daten unabdingbar.
👉 Als Unternehmen ist dies eine wichtige Nachricht für Sie, um extra vorsichtig im Umgang mit dieser Art von Daten zu sein.
Das CPRA (in Kraft ab 2023) ist eine Änderung des CCPA (in Kraft ab 2020), das ursprünglich geschaffen wurde, um den Verkauf und die Erhebung von personenbezogenen Verbraucherdaten in Kalifornien zu regeln.
Unter anderem wurde mit dem CPRA eine neue Kategorie geschützter Daten eingeführt, die als sensible personenbezogene Daten (SPI) bezeichnet werden. Diese Idee ähnelt den oben erwähnten besonderen Kategorien der Datenschutz-Grundverordnung und verlangt ein höheres Schutzniveau.
👉 Weitere Einzelheiten finden Sie in unserem gewidmeten Abschnitt über SPI in unserem CPRA-Leitfaden.
Das VCDPA (gültig ab 1. Januar 2023) ist das neue Datenschutzgesetz im Commonwealth of Virginia, das besagt, dass ein Unternehmen keine sensiblen Daten eines Verbrauchers verarbeiten darf, ohne die vorherige Zustimmung des Verbrauchers (opt-in) einzuholen.
Darin werden sensible Daten als eine Kategorie personenbezogener Daten definiert, die Folgendes umfasst:
Das Colorado Privacy Act (gültig ab 1. Juli 2023) regelt die Verarbeitung personenbezogener und sensibler Daten im Bundesstaat Colorado. Wie in Virginia ist vor der Verarbeitung sensibler Daten eine Zustimmung (Opt-in) erforderlich, und die für die Verarbeitung Verantwortlichen sind verpflichtet, Datenschutzbewertungen.
Die Definition von sensiblen Daten im Rahmen der CPA ist derjenigen der VCDPA sehr ähnlich:
Auch hier ist die Definition von sensiblen Informationen im Australian Privacy Act steht im Einklang mit den oben genannten und bezieht sich auf Daten, die einen höheren Schutz der Privatsphäre erfordern. Dazu gehören unter anderem Informationen oder eine Meinung über eine Person:
💡 Möchten Sie mehr über Australiens Datenschutz erfahren? Lesen Sie unseren Artikel über Australiens neues Datenschutzgesetz.