Welche Daten sind „risikoreich“?

Können Daten an sich risikoreich sein?

EIne wesentliche Prüfung in der Datenschutzgrundverordnung (DSGVO) ist die Risikobewertung, z.B. bei der Frage der Meldung von Datenschutzvorfällen an die zuständige Aufsichtsbehörde (Art. 33 DSGVO):

Risiko für die Rechte und Freiheiten natürlicher Personen

Da gibt sich die Frage, ob die Datenqualität an sich schon ein Risiko darstellen kann, wenn diese Daten unzulässiger Weise verarbeitet werden. Ich sage: „Ja“. Insoweit würde ich folgende Daten immer mit einem Risiko versehen:

  1. Besondere Kategorien personenbezogener Daten: Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Personten
  2. Daten aus dem ehemaligen  § 42a BDSG (basierend auf einer EU-Richtlinie): Daten, die einem Berufsgeheimnis unterliegen, Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen und Daten zu Bank- oder Kreditkartenkonten
  3. Analysedaten zu Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel  einer natürlichen Person (Art. 4 Nr. 4 DSGVO)

Das Risiko, nach dem Zurechnungszusammenhang zu bewerten (z.B. eine Adressliste, die für einen Pizzaservice gespeichert wird, ist nicht so risikoreich wie eine Liste aller HIV-Infizierten einer Stadt), ist schon mit der Novelle des BDSG aufgegeben worden. Der Zurechnungszusammenhang spielt aber bei der Zweckbestimmung eine Rolle.

Stephanie Iraschko-Luscher

27.02.2019

MGDS – Ihre Unternehmensberatung für Datenschutz in Hamburg