15.11.2017 ECOVIS ježek tschechische Anwaltskanzlei zur Datenschutzgrundverordnung (DSGVO). Grundsätzliche Änderungen im Personendatenschutz in der Tschechischen Republik oder nur eine natürliche Entwicklung und Reaktion auf die technologische Revolution?
Prag, den 15.11.2017
1. EINLEITUNG
Die Datenschutzgrundverordnung (General Data Protection Regulation - GDPR) geht von der Bemühung der Unionsbehörden aus, den Schutz der personenbezogenen Daten aller Einzelpersonen im Rahmen der EU zu verstärken und zu vereinheitlichen. In der Tschechischen Republik wird dieser Verordnung in der Weise Rechnung getragen, dass Mitte 2018 höchstwahrscheinlich ein neues Personendatenschutzgesetz in der Tschechischen Republik verabschiedet wird, durch das das bestehende Gesetz Nr. 101/2000 Slg. aufgehoben wird und einzelne Pflichten und Rechte aus dem DSGVO näher spezifiziert werden.
Auch wenn das neue Gesetz nicht verabschiedet werden sollte, ist dazu festzustellen, dass eine allgemeine EU-Verordnung in allen Staaten der Europäischen Union unmittelbar anwendbar ist, und zwar ohne die Notwendigkeit der weiteren Umsetzung in nationales Recht.
Das Gesetz Nr. 101/2000 Slg., Personendatenschutzgesetz, hat der Richtlinie 95/46/EG notwendigerweise Rechnung getragen, die den Personendatenschutz bisher auf europäischer Ebene geregelt hat. Durch den Vergleich der ursprünglichen Richtlinie und der neuen Verordnung lässt sich herausfinden, dass beide Vorschriften die gleichen Begriffsbestimmungen bei Schlüsselbegriffen verwenden und auch eine ziemlich ähnliche Behandlung der Grundsätze der Verarbeitung von personenbezogenen Daten zugrunde gelegt haben.
Der einzige Punkt, in dem die ursprüngliche Richtlinie ziemlich wortkarg ist, und der durch die neue Datenschutzgrundverordnung erheblich erweitert wird, sind die Pflichten der Personen, die personenbezogene Daten verarbeiten, also der für die Verarbeitung Verantwortlichen und der Auftragsverarbeitende. Die allgemeinen Pflichten bleiben dabei praktisch auch Weiterhin prinzipiell gleich, obwohl sie jetzt allgemein und nicht näher formuliert sind, wie dies in der DSGVO der Fall ist. Den für die Verarbeitung Verantwortlichen werden einige neue Pflichten auferlegt - Meldung von Fällen der Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde sowie Meldung desselben an die betroffenen Subjekte personenbezogener Daten und für bestimmte Verantwortliche auch die Pflicht zur Bestellung eines Datenschutzbeauftragten.
2. ERWEITERUNG DER BEGRIFFSBESTIMMUNG FÜR PERSONENBEZOGENE DATEN
Die bisherige Regelung gemäß dem Gesetz Nr. 101/2000 Slg. legt personenbezogene Daten in § 4 Lit. a) wie folgt fest:
a) als personenbezogene Daten gelten alle Informationen in Bezug auf eine bestimmte oder bestimmbare betroffene Person. Eine betroffene Person gilt als bestimmt oder bestimmbar, wenn die betroffene Person insbesondere aufgrund einer Nummer, eines Kodes oder eines oder mehrerer Elemente, die für ihre physische, physiologische, psychische, ökonomische, kulturelle oder soziale Identität spezifisch sind, unmittelbar oder mittelbar identifiziert werden kann.
Die Datenschutzgrundverordnung (DSGVO) legt den Begriff „personenbezogene Daten" in Artikel 4 Abs. 1) wie folgt fest:
1) „personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann,
In der Vergangenheit konnten die IP-Adresse, Cookies-Dateien, E-Mail-Adresse oder andere technische Parameter als ein Bestandteil personenbezogener Daten nur gemäß der Rechtsprechung des EuGH ausgelegt werden. Neuerlich werden sie direkt spezifiziert, es gilt jedoch die Auslegung des Gerichts, dass die Kategorie personenbezogener Daten nirgendwo als eine abschließende Auflistung angeführt werden kann.
3. BEAUFTRAGTER FÜR DIE KONTROLLE PERSONENBEZOGENER DATEN
Der für die Verarbeitung Verantwortliche ist verpflichtet, einen Beauftragten für die Kontrolle personenbezogener Daten zu ernennen, dies jedoch nur nach Erfüllung von einer der drei Bedingungen:
(i) die Verarbeitung erfolgt durch eine öffentliche Stelle oder durch eine öffentliche Einrichtung, mit Ausnahme von Gerichten, die im Rahmen ihrer Gerichtsbarkeit handeln
(ii) die hauptsächlichen Tätigkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeitenden bestehen in Datenverarbeitungsvorgängen, die im Hinblick auf ihren Charakter, Umfang oder Zweck einer umfangreichen regelmäßigen und systematischen Überwachung der betroffenen Personen bedürfen
(iii) die hauptsächlichen Tätigkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeitenden bestehen in einer umfangreichen Verarbeitung von Sonderkategorien von Daten und personenbezogenen Daten in Bezug auf Urteile in Strafsachen und Straftaten
In anderen Fällen besteht die Pflicht des für die Verarbeitung Verantwortlichen und des Auftragsverarbeitenden zur Bestellung eines Datenschutzbeauftragten nicht.
Eine Bescheinigung/Zertifikat des Beauftragten besteht nur in der Wahl einer Person mit Erfahrungen und Praxis im Bereich der Arbeit mit personenbezogenen Daten, es ist keine spezifische Form der Bescheinigung, ggf. kein externes Zertifikat erforderlich.
4. RECHT AUF LÖSCHUNG ("RECHT AUF VERGESSENWERDEN")
Das Recht auf Löschung ist ein neues Institut, das dem für die Verarbeitung Verantwortlichen die Pflicht auferlegt, personenbezogene Daten unverzüglich zu löschen.
Nach unserer Auffassung handelt es sich um kein absolutes Recht, weil es nur unter der Voraussetzung geltend gemacht werden kann, wenn personenbezogene Daten zu jenem Zweck, zu dem sie gesammelt oder verarbeitet wurden, nicht mehr benötigt werden. Ein weiterer Grund, wann die Löschung personenbezogener Daten nicht zustande kommen kann, ist die Existenz einer anderen Rechtspflicht oder eines Gesetzes, die die Löschung verhindern, z.B. das Gesetz über Archivierung und die Pflicht der Organisationen zur Archivierung jener Dokumente, die personenbezogene Daten beinhalten, für eine bestimmte, gesetzlich festgesetzte Zeit.
Der Arbeitgeber ist auch nicht verpflichtet, die Angaben über die ehemaligen Arbeitnehmer zu löschen, und zwar solange, dass er die Möglichkeit hat, sich z.B. in einem eventuellen Streit mit dem Arbeitnehmer effektiv zu verteidigen, und zwar auch nach Beendigung des Arbeitsverhältnisses.
5. MITTEILUNGSPFLICHT DES FÜR DIE VERARBEITUNG VERANTWORTLICHEN
Zurzeit gilt die allgemeine Mitteilungspflicht, wobei das für die Verarbeitung personenbezogener Daten verantwortliche Subjekt verpflichtet ist, diese Tatsache der Aufsichtsbehörde mitzuteilen, die Mitteilung muss jedoch vor Beginn der eigentlichen Realisierung der Verarbeitung personenbezogener Daten erfolgen. Die Richtlinie setzt den Mindestumfang der Informationen fest, die die Mitteilung beinhalten muss.
Die allgemeine Mitteilungspflicht wird durch die neue Rechtsregelung aufgehoben und durch folgende Institute ersetzt:
(i) Datenschutz-Folgenabschätzung: der für die Verarbeitung Verantwortliche sollte vor dem Beginn der eigentlichen Verarbeitung die Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen abschätzen.
(ii) Vorabkonsultationen: wenn sich aus der Folgenabschätzung ergibt, dass die Verarbeitung mit hohen Risiken verbunden ist und die Risiken durch keine angemessenen Mittel gemindert werden können, ist er verpflichtet, die Verarbeitung mit der Aufsichtsbehörde abzusprechen.
(iii) Pflicht zur Führung von Aufzeichnungen über die Verarbeitung personenbezogener Daten: der für die Verarbeitung Verantwortliche muss die Dokumentation führen, wobei der Umfang der Informationen identisch ist, wie der Umfang der Informationen, die der für die Verarbeitung Verantwortliche gemäß der bisherigen Regelung der Aufsichtsbehörde mitzuteilen hat; die Verordnung rechnet mit einer Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern, aber nur dann, wenn die Verarbeitung mit keinen Risiken verbunden ist.
(iv) Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten (sog. Data Breaches): dieses Institut betraf bisher nur den Bereich der elektronischen Kommunikation, gemäß der neuen Verordnung gilt diese Pflicht für jeden für die Verarbeitung Verantwortlichen, und zwar innerhalb von 72 Stunden nachdem er über die Verletzung Kenntnis erlangt hat, eine Ausnahme ist nur bei geringfügigen Sicherheitsvorkommnissen zulässig, die durch ihren Charakter die Rechte und Freiheiten von Einzelpersonen nicht bedrohen können.
Aus unserer Sicht ändert sich de facto nicht viel, die Aufhebung der allgemeinen Mitteilungspflicht ersetzen solche Institute, die ihr im Endeffekt sehr nahe kommen.
6. ÜBERTRAGBARKEIT DER DATEN UND ZUGRIFF DARAUF
Die Datenschutzgrundverordnung setzt zwei Bedingungen fest, die gleichzeitig erfüllt werden müssen, damit eine Person Anspruch auf dieses Recht hat, und zwar, dass die Daten aufgrund ihrer Zustimmung oder aufgrund eines Vertrags gewährt wurden, und gleichzeitig, dass die Datenverarbeitung automatisiert erfolgt.
Bei der Erfüllung dieser Bedingungen hat die Person das Recht auf Gewinnung ihrer Daten in einem gängigen, maschinenlesbaren Format und sie hat die Möglichkeit, ihre Daten in dieser Form einem anderen für die Verarbeitung Verantwortlichen zu übergeben.
Die Person soll das Recht auf Zugriff auf die über sie gesammelten Daten haben, und zwar unmittelbar und am besten on-line.
7. HOHE UMSATZABHÄNGIG BERECHNETE STRAFEN
Die Datenschutzgrundverordnung setzt nur fest, dass für jeden Verstoß gegen sie Sanktionen einschließlich Verwaltungsstrafen auferlegt werden sollen, und zwar neben oder anstatt der von der Aufsichtsbehörde auferlegten Maßnahmen. In der Tschechischen Republik werden die Strafen durch die Aufsichtsbehörden auferlegt.
Die obere Grenze bei Verwaltungsstrafen, die vom Amt zum Schutz personenbezogener Daten auferlegt werden, beträgt zurzeit CZK 10.000.000. Die tatsächlichen Strafen erreichen diese Höhe nicht, die höchste, bisher auferlegte Strafe hat nicht einmal die Hälfte dieses Satzes erreicht.
Die eigentliche Datenschutzgrundverordnung benutzt als Muster die Vorschriften zum Schutz des wirtschaftlichen Wettbewerbs und setzt die Strafen in einer maximalen Höhe von EUR 20.000.000 oder 4 % vom Gesamtjahresumsatz der Gesellschaft fest, wobei der höhere Betrag anzuwenden ist.
In der Präambel der gegenständlichen Datenschutzgrundverordnung heißt es jedoch, dass die Strafen in jedem Einzelfall wirksam, angemessen und abschreckend sein sollten. Die Verordnung beachtet gleichzeitig die Grundsätze der verwaltungsrechtlichen Sanktionsregelungen, einschließlich der Kriterien zur Festsetzung der Höhe der Strafen und der Bedingungen für die Bestimmung der Verantwortung und Schuldbefreiung. Dementsprechend ist, wie im Falle der Verletzung der Wettbewerbsregeln, wo auch relativ hohe Sanktionen festgesetzt sind, die Auferlegung von hohen Sanktionen nur im Falle von erheblichen Verstößen großer Unternehmen wahrscheinlich, die über eine große Menge personenbezogener Daten verfügen, wie Facebook, Google, Apple usw., bei denen die bisherigen Höhen der Strafen vernachlässigbar waren.
8. SCHLUSSWORT
Eine ganze Reihe von Mechanismen, die die neue Datenschutzgrundverordnung vorstellt, ist unserem Recht bereits bekannt, nach unserer Auffassung bringt sie deshalb keine radikalen Veränderungen beim praktischen Umgang mit personenbezogenen Daten.
Die maximale Höhe der Strafen wird vielmehr als eine Warnung festgesetzt, nach unserer Auffassung wären in jedem Einzelfall viele Faktoren zu beurteilen und die endgültige Strafe würde wahrscheinlich nur einem Bruchteil des höchstzulässigen Betrags entsprechen.
Falls Sie mehr Informationen benötigen, kommen Sie bitte jederzeit auf uns zu:
Managing Partner
ECOVIS ježek, advokátní kancelář s.r.o.
tschechische Rechtsanwaltskanzlei
t: +420 226 236 600
e: mojmir.jezek@ecovislegal.cz
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz/de
Mehr über ECOVIS ježek, advokátní kancelář s.r.o., tschechische Rechtsanwaltskanzlei in Prag:
ECOVIS ježek ist eine tschechische Rechtsanwaltskanzlei mit Sitz in Prag, die sich insbesondere auf das tschechische Handels- und Immobilienrecht, die Prozessführung und das Banken- und Finanzrecht konzentriert. Mit ihrer umfassenden Bandbreite kompetent erbrachter Rechtsberatungsleistungen stellt sie eine attraktive, vollwertige Alternative für Mandanten der großen internationalen Kanzleien dar. Die langfristige erfolgreiche Zusammenarbeit mit führenden Rechtsberatungsunternehmen in den meisten europäischen Ländern und den USA (sowie weiteren Rechtsordnungen) bürgt dafür, dass die grenzübergreifende Dimension des jeweiligen Mandats stets eingehend berücksichtigt wird. Die tschechischen Rechtsanwälte von ECOVIS ježek weisen eine hervorragende Erfolgsbilanz bei der Erbringung von Beratungsleistungen an transnationale Konzerne, tschechische Großunternehmen, den Mittelstand sowie Freiberufler und Privatpersonen auf, die auf jahrelange, bei führenden Rechts- und Steuerberatungsunternehmen erworbene Erfahrung gründet. Weitere Auskünfte finden Sie unter nachstehendem Link: www.ecovislegal.cz/de..
Die auf dieser Website enthaltenen Informationen stellen eine Anwaltswerbung dar. Informationen, die auf dieser Webseite veröffentlicht werden, stellen keine Rechtsberatung dar und nichts auf dieser Website begründet das Bestehen einer Mandatsbeziehung. Vereinbaren Sie mit uns eine Rechtsberatung, bevor Sie auf Grund dessen, was Sie hier lesen, etwas unternehmen. Ergebnisse der Vergangenheit sind keine Garantie für zukünftige Ergebnisse, und frühere Ergebnisse implizieren oder prognostizieren keine zukünftigen Ergebnisse. Jeder Fall ist anders und muss nach seinen eigenen Umständen beurteilt werden.
