(1) Neben den in Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 unmittelbar genannten Ausnahmen vom Verarbeitungsverbot können besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in Ausgestaltung von Artikel 9 Absatz 2 Buchstaben b, h und i verarbeitet werden, wenn dies erforderlich ist
- damit der Verantwortliche oder die betroffene Person die ihm oder ihr aus dem Dienst- und Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen oder ihren diesbezüglichen Pflichten nachkommen kann,
- zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit der Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen oder Diensten im Gesundheits- oder Sozialbereich unter den Voraussetzungen des Artikels 9 Absatz 3 der Verordnung (EU) 2016/679 oder
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten; ergänzend zu den in Absatz 3 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist über Absatz 1 hinaus in Ausgestaltung von Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 zulässig, wenn sie erforderlich ist
- zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit oder
- zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls,
und die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen.
(3) Bei der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
- die Maßnahmen gemäß § 26,
- Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
- Beschränkung des Zugangs für dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen zu personenbezogenen Daten und
- spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke, die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.