Antwort: Ihr Unternehmen/Ihre Organisation darf nur dann sensible Daten verarbeiten, wenn eine der nachstehend aufgeführten Bedingungen erfüllt ist:
- die ausdrückliche Einwilligung der Person wurde eingeholt (ein Gesetz kann diese Möglichkeit in bestimmten Fällen ausschliessen);
- das EU- oder nationale Recht oder eine Kollektivvereinbarung verpflichtet Ihr Unternehmen/Ihre Organisation, diese Daten zu verarbeiten, um die ihm/ihr und der betroffenen Person aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben bzw. den diesbezüglichen Pflichten nachzukommen;
- die lebenswichtigen Interessen der Person bzw. einer Person, die aus körperlichen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu geben, sind gefährdet;
- Sie sind eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht, die Daten ihrer Mitglieder oder anderer Personen verarbeitet, die regelmässige Kontakte mit der Organisation unterhalten;
- die personenbezogenen Daten wurden von der Person offensichtlich öffentlich gemacht;
- die Daten werden zur Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen benötigt;
- die Daten werden aus Gründen eines erheblichen öffentlichen Interesses auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
- die Daten werden für die Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinischer Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des EU- oder nationalen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs verarbeitet;
- die Daten werden aus Gründen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
- die Daten werden für Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke auf der Grundlage des EU- oder nationalen Rechts verarbeitet.
Für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten können im nationalen Recht weitere Bedingungen auferlegt werden. Fragen Sie bei Ihrer nationalen Datenschutzbehörde nach.
Beispiel:
Sie dürfen sensible Daten verarbeiten
Ein Arzt empfängt eine Reihe Patienten in seiner Klinik. Er registriert die Besuche in einer Datenbank, in der Felder wie Name/Vorname des Patienten, Beschreibung der Symptome und verschriebene Medikamente aufgeführt sind. Hierbei handelt es sich um sensible Daten. Die Verarbeitung von Gesundheitsdaten durch die Klinik ist im Rahmen der Datenschutzverordnung erlaubt, da sie für die Behandlung der Person erforderlich ist und im Verantwortungsbereich eines Arztes liegt, der einer beruflichen Geheimhaltungspflicht unterliegt.
Sie dürfen sensible Daten nicht verarbeiten
Ihr Unternehmen vertreibt Kleidung über das Internet. Sie fragen zur Anpassung Ihrer Dienstleistung an den Kunden nach Angaben zur Grösse, bevorzugten Farbe, Zahlungsmethode, zum Namen und zur Adresse, um das Produkt liefern zu können. Darüber hinaus fragt Ihr Unternehmen nach den politischen Ansichten seiner Kunden. Sie benötigen die meisten dieser Informationen, um Ihre vertraglichen Pflichten zu erfüllen. Die politischen Ansichten Ihrer Kunden werden jedoch zur Herstellung und Lieferung der Kleidungsstücke nicht benötigt. Diese Informationen dürfen Sie im Rahmen dieses Vertragsverhältnisses nicht erfragen.
Europäische Kommission; 28.02.2018; bow