Bereits im November 2019 veröffentlichte die britische Datenschutzaufsichtsbehörde, das Information Commissioner's Office (ICO), eine Guideline zur Verarbeitung besonderer Kategorien personenbezogener Daten gemäss EU Datenschutz-Grundverordnung (EU DSGVO).
Gemäss Art. 9 EU DSGVO gelten personenbezogene Daten (Personendaten), aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person als Personendaten besonderer Kategorien.
In seiner Guideline behandelt das ICO zahlreiche Abgrenzungsfragen, Beispiele sowie Vorgaben für eine rechtmässige Verarbeitung von Personendaten besonderer Kategorien. Bspw. legt das ICO seine Überlegungen zum Themenbereich „biometrische Daten“ dar:
„Example
Gemäss Art. 9 EU DSGVO gelten personenbezogene Daten (Personendaten), aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person als Personendaten besonderer Kategorien.
In seiner Guideline behandelt das ICO zahlreiche Abgrenzungsfragen, Beispiele sowie Vorgaben für eine rechtmässige Verarbeitung von Personendaten besonderer Kategorien. Bspw. legt das ICO seine Überlegungen zum Themenbereich „biometrische Daten“ dar:
„Example
A gym introduces an electronic fingerprint scanning system. Members scan their fingerprint in order to get through the entrance turnstiles. This system is processing biometric data to identify individual members, so the gym needs a valid condition for processing that special category data.
(...)
Facial imaging and fingerprint data are just two examples, but these are not exhaustive. Many other types of physical, physiological or behavioural ‘fingerprinting’ fall within the definition.
(...)
Facial imaging and fingerprint data are just two examples, but these are not exhaustive. Many other types of physical, physiological or behavioural ‘fingerprinting’ fall within the definition.
Examples of physical or physiological biometric identification techniques: facial recognition; fingerprint verification; iris scanning; retinal analysis; voice recognition; and ear shape recognition. Examples of behavioural biometric identification techniques: keystroke analysis; handwritten signature analysis; gait analysis; and gaze analysis (eye tracking).
(...)
All biometric data is personal data, as it allows or confirms the identification of an individual. Biometric data is also special category data whenever you process it “for the purpose of uniquely identifying a natural person”. This means that biometric data will be special category data in the vast majority of cases. If you use biometrics to learn something about an individual, authenticate their identity, control their access, make a decision about them, or treat them differently in any way, you need to comply with Article 9 [GDPR]“.
Zur Frage, wann (digitale) Fotografien als biometrische Daten gelten, hält das ICO folgendes fest:
„If you process digital photographs of individuals, this is not automatically biometric data even if you use it for identification purposes. Although a digital image may allow for identification using physical characteristics, it only becomes biometric data if you carry out “specific technical processing”. Usually this involves using the image data to create an individual digital template or profile, which in turn you use for automated image matching and identification“.
Das schweizerische Gegenstück zu „besonderen Kategorien personenbezogener Daten“ gemäss EU DSGVO sind die sog. „besonders schützenswerten Personendaten“ gemäss Art. 3 lit. c DSG. Deren Definition wird derzeit im Rahmen der Totalrevision des DSG beraten; sie ist Gegenstand des bevorstehenden Differenzbereinigungsverfahrens. Konkret werden sich National- und Ständerat über die Qualifikation gewerkschaftlicher Ansichten oder Tätigkeiten als besonders schützenswerte Personendaten sowie die Formulierung zu genetischen Daten einigen müssen.
Michal Cichocki
(...)
All biometric data is personal data, as it allows or confirms the identification of an individual. Biometric data is also special category data whenever you process it “for the purpose of uniquely identifying a natural person”. This means that biometric data will be special category data in the vast majority of cases. If you use biometrics to learn something about an individual, authenticate their identity, control their access, make a decision about them, or treat them differently in any way, you need to comply with Article 9 [GDPR]“.
Zur Frage, wann (digitale) Fotografien als biometrische Daten gelten, hält das ICO folgendes fest:
„If you process digital photographs of individuals, this is not automatically biometric data even if you use it for identification purposes. Although a digital image may allow for identification using physical characteristics, it only becomes biometric data if you carry out “specific technical processing”. Usually this involves using the image data to create an individual digital template or profile, which in turn you use for automated image matching and identification“.
Das schweizerische Gegenstück zu „besonderen Kategorien personenbezogener Daten“ gemäss EU DSGVO sind die sog. „besonders schützenswerten Personendaten“ gemäss Art. 3 lit. c DSG. Deren Definition wird derzeit im Rahmen der Totalrevision des DSG beraten; sie ist Gegenstand des bevorstehenden Differenzbereinigungsverfahrens. Konkret werden sich National- und Ständerat über die Qualifikation gewerkschaftlicher Ansichten oder Tätigkeiten als besonders schützenswerte Personendaten sowie die Formulierung zu genetischen Daten einigen müssen.
Michal Cichocki