Unbemerkte Verarbeitung von Daten besonderer Kategorien

Sobald Daten besonderer Kategorien verarbeitet werden, gelten besondere Regeln. Vor allem sind die technischen und organisatorischen Maßnahmen der höheren Sensibilität der Daten anzupassen: Eine bei normalen Daten noch obsolete Verschlüsselung kann auf einmal wichtig werden, Speicherorte sind neu zu bewerten, Datenschutzfolgeabschätzungen können eine notwendige Folge sein. Es ist daher wichtig, sich darüber klar zu sein, wie und zu welchem Zweck besondere Kategorien personenbezogener Daten verarbeitet werden. Eine Verarbeitung wird dabei besonders schnell übersehen: Das Nutzen biometrischer Merkmale zur eindeutigen Identifikation der betroffenen Person (Art. 9 Abs. 1 DSGVO). Eine solche Verarbeitung liegt immer dann vor, wenn (in der Regel mobile) Endgeräte mit Fingerabdruck- oder Gesichtserkennung genutzt werden. Aber natürlich auch wenn an stationären Systemen IT Dienste wie Windows „hello“ genutzt werden oder wenn proprietäre Systeme – zum Öffnen von Türen oder zur Zeiterfassung beispielsweise – zum Einsatz kommen. Diese Verarbeitungen sind besonders zu prüfen, häufig wird eine Datenschutzfolgenabschätzung gemäß Art. 35 notwendig sein.