389
Allerdings begrenzt der Wortlaut der Vorschrift den Begriff „genetische Daten“ auf die Ergebnisse derartiger Analysen. Damit fällt die jeweilige Substanz, die analysiert wird, wie z.B. Gewebe, Blut, Speichel oder Haare, also der jeweilige „Datenträger“, nicht unter den Begriff „genetische Daten“ i.S.d. Art. 4 Nr. 13 DSGVO.736
XV. Biometrische Daten (Nr. 14)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
390
Biometrische Daten sind nach Art. 9 Abs. 1 DSGVO besondere Kategorien personenbezogener Daten, deren Verarbeitung besonders strikten Voraussetzungen unterliegt.737 Zudem erlaubt Art. 9 Abs. 4 DSGVO den EU-Mitgliedstaaten in diesem Zusammenhang, für die Verarbeitung biometrischer Daten auch noch zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten. Des Weiteren wird der Begriff in der DSGVO noch in ErwG 51 verwendet, der Art. 9 DSGVO näher konkretisiert. Biometrische Daten können zugleich auch genetische Daten i.S.d. Art. 4 Nr. 13 (dazu näher oben Rn. 380) oder Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO sein (dazu näher unten Rn. 399).
2. Begriff der biometrischen Daten
391
„Biometrische Daten“ sind nach Art. 4 Nr. 14 DSGVO mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.
392
Als „Biometrie“ wird die Wissenschaft von der Zählung und (Körper-)Messung an Lebewesen bezeichnet.738 Die biometrische Erkennung durch biometrische Systeme verfolgt dabei das Ziel, mittels automatisierter Messung durch ein spezifisches Merkmal bestimmte Personen voneinander zu unterscheiden.739
393
Die Begriffsdefinition der biometrischen Daten in Art. 4 Nr. 14 DSGVO enthält zwei Voraussetzungen:
1. Es muss sich um Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der betroffenen Person handeln, die mit speziellen technischen Verfahren gewonnen wurden.
2. Diese Verfahren müssen die eindeutige Identifizierung der betroffenen Person ermöglichen oder bestätigen.
a) Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der betroffenen Person
394
Die erste Voraussetzung, um personenbezogene Daten als „biometrische Daten“ i.S.d. Art. 4 Nr. 14 DSGVO zu qualifizieren, besteht darin, dass es sich bei ihnen um Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der betroffenen Person handeln muss, die mit speziellen technischen Verfahren gewonnen wurden. Zu den physischen bzw. physiologischen Merkmalen, also den (passiven, angeborenen, nicht veränderbaren) körperlichen Merkmalen der betroffenen Person,740 die durch spezielle technische Verfahren erfasst werden können, zählen z.B. der Fingerabdruck, das Gesicht, die Retina, die DNA, die Handgeometrie, das Ohr, die Erkennung anhand eines Thermogramms etc.741 Verhaltenstypische (aktive) Merkmale, die durch solche Verfahren erfasst werden können, sind z.B. die Unterschrift, die Stimme, der Tastaturanschlag und die Bewegung.742
b) Ermöglichung bzw. Bestätigung der eindeutigen Identifizierung der betroffenen Person
395
Zudem müssen diese Verfahren die eindeutige Identifizierung der betroffenen Person ermöglichen oder bestätigen, also verifizieren. Bei der Identifikation werden biometrische Daten erhoben und mit einer Vielzahl in einer Datenbank gespeicherten biometrischen Daten verglichen. Es findet somit ein 1:n-Vergleich statt. Stimmen die erhobenen Daten mit bestimmten gespeicherten Daten überein, kann mittels der diesen gespeicherten Daten zugeordneten Identität die Person identifiziert werden.743 Verifikation bedeutet, dass eine Person behauptet, eine bestimmte Identität aufzuweisen. Zur Verifikation dieser Behauptung werden dann die biometrischen Daten der Person erhoben und mit den biometrischen Daten, die im System vorliegen und dieser behaupteten Identität zugeordnet sind, verglichen. Es findet somit ein 1:1-Vergleich statt.744
396
Auch wenn der Wortlaut von Art. 4 Nr. 14 DSGVO ausdrücklich davon spricht, dass diese Systeme die „eindeutige“ Identifizierung der betroffenen Person ermöglichen oder bestätigen müssen, bedeutet dies nicht, dass biometrische Daten nur dann vorliegen, wenn die erfassten biometrischen Merkmale einzigartig auf der Welt sind. Vielmehr ist es ausreichend, wenn das Merkmal, auf das sich die biometrischen Daten beziehen, auf eine Art und Weise mit einem Menschen verbunden ist, dass es nicht einfach veränderbar ist, wie z.B. die Augenfarbe, und die Daten objektiv geeignet sind, die betroffene Person innerhalb der betroffenen Gruppe genau zu identifizieren.745
397
Fotos (bzw. „Lichtbilder“) einer Person sind mithin nur im Ausnahmefall als biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO anzusehen, wie auch ErwG 51 S. 3 klarstellt – und zwar dann, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen, so z.B. das im Personalausweis oder im Reisepass gespeicherte Foto.746
c) Rohdaten und Templates
398
Unerheblich für die Einordnung von personenbezogenen Daten als „biometrische Daten“ i.S.d. Art. 4 Nr. 14 DSGVO ist es, ob es sich bei den fraglichen Daten um Rohdaten, also um exakte Abbildungen des biometrischen Merkmals, oder um Templates handelt.747 Templates werden aus den erfassten Rohdaten extrahiert und enthalten (nur) charakteristische Kennzeichen des jeweiligen biometrischen Merkmals, z.B. Entfernungen zwischen bestimmten Punkten.748 Deshalb benötigt ein Template auch erheblich weniger Speicherplatz als die Rohdaten des biometrischen Merkmals, weshalb die Verwendung von Templates für viele Anwendungen die geeignete Variante ist.
XVI. Gesundheitsdaten (Nr. 15)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
399
Gesundheitsdaten sind nach Art. 9 Abs. 1 DSGVO eine besondere Kategorie personenbezogener Daten und werden als solche besonders stark geschützt, weshalb sie besonders strengen Verarbeitungsanforderungen unterliegen, z.B. aus Art. 9 Abs. 2 DSGVO oder §§ 22ff. BDSG.749 Der Grund hierfür besteht darin, dass Gesundheitsdaten, ebenso wie genetischen und biometrischen Daten, ein besonderes Diskriminierungspotenzial innewohnt und sie deshalb eines besonders strikten Schutzes bedürfen.750
400
Art. 9 Abs. 4 DSGVO ermächtigt die EU-Mitgliedstaaten in diesem Zusammenhang, für die Verarbeitung von Gesundheitsdaten auch noch zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten (siehe hierzu ausführlich Art. 9 Rn. 37).
401
Zudem wird der Begriff der Gesundheitsdaten noch an weiteren Stellen der DSGVO verwendet, und zwar in ErwG 35, der Art. 4 Nr. 15 DSGVO konkretisiert, sowie in den ErwG 53 und 54, die Art. 9 DSGVO konkretisieren, und in ErwG 75, der Art. 32 DSGVO (Sicherheit der Verarbeitung) näher