Mit Verordnung Nr. 679 vom 27. April 2016 hat die Europäische Union umfangreiche Bestimmungen zum Datenschutz erlassen. Die Verordnung tritt auch in Italien mit 25. Mai 2018 in Kraft. Leider hat es Italien im Unterschied zu den meisten anderen EU-Ländern bis heute versäumt, notwendige eigene Durchführungsbestimmungen zur Verordnung zu erlassen. Ein entsprechender Entwurf wurde vom Ministerrat zwar am 21. März 2018 behandelt, bislang aber weder von den zuständigen Ministern genehmigt, noch veröffentlicht. Die genannten Durchführungsbestimmungen müssten spätestens innerhalb 21. Mai 2018 erlassen werden. Soweit nicht noch in letzter Minute ein Wunder geschieht, wird in Italien mit 25. Mai 2018 die obgenannte EU-Verordnung in ihrer vollen Härte in Kraft treten, also ohne nationale Erleichterungen, welche laut EU-Recht ausdrücklich zulässig gewesen wären. Erschwerend kommt hinzu, dass für Vergehen Strafen in Höhe bis zu 20 Mio. Euro drohen. Nachstehend der Versuch, einen Überblick über die Neuerungen zu geben; dabei nehmen wir Bezug auf einen Leitfaden des Garanten für den Datenschutz vom Februar dieses Jahres.
Anwendun gsbereich (Art. 4)
Die EU-Verordnung findet Anwendung für jegliche Verarbeitung personenbezogener Daten, mit Ausnahme jener, die ausschließlich persönlicher oder familiärer Natur sind. Grundsätzlich versteht man unter „personenbezogenen Daten“ all jene Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; unter „Verarbeitung“ versteht man sämtliche automatisierte oder nicht-automatisierte Verfahren zur Erhebung, Erfassung, Speicherung, Ablesen, Verwendung, Verbreitung, usw. der genannten personenbezogenen Daten.
Die Einwilligung zur Verwendung der Daten muss „ausdrücklich“ erfolgen, und der Unternehmer muss in der Lage sein, die erfolgte Zustimmung des Betroffenen nachzuweisen!
Hinweis: Bestehende Einwilligungen zur Datenverwendung behalten auch nach dem 25. Mai 2018 ihre Gültigkeit bei, soweit sie in klarer und eindeutiger Weise erteilt worden sind.
Informatio nspflicht (Art. 13)
Die Informationspflicht über die Verwendung/Verarbeitung personenbezogener Daten wird neu geregelt; entsprechend empfiehlt es sich, die entsprechenden Klauseln in Verträgen und Vordrucken überprüfen zu lassen, ob sie den neuen Anforderungen gerecht werden.
Dokument ationspflicht
Unternehmen müssen künftig dokumentieren können, warum und wie sie persönliche Daten verarbeiten. Zudem sind sie verpflichtet, die angewandten Sicherheitsmaßnahmen konkret nachzuweisen
Beweisumk ehr (Art. 5)
Bislang standen bei Verstößen die Behörden in der Nachweispflicht. Dieser Grundsatz wird nun umgekehrt: Ab 25. Mai müssen die Unternehmen im Fall einer Kontrolle nachweisen, dass sie rechtskonform gehandelt haben.
Allgemeine Verpflichtung (Art. 5)
Die Datenschutzrichtlinie sieht eine sehr allgemein gehaltene Verpflichtung zum Schutz der Daten vor; die Datenverarbeiter sind grundsätzlich verpflichtet, alles dem Stand der Technik nach Mögliche und Notwendige zum Schutz der Daten zu unternehmen.
Auskunftsr echt (Art. 15)
Wer einem Unternehmen/Freiberufler Daten überlässt, hat künftig ein Recht zu erfahren, wie diese verwendet werden. Datenverarbeiter sind verpflichtet, für gewisse Verarbeitungszwecke (z.B. Verwendung zu Werbezwecken) den Kunden aktiv, klar und verständlich zu informieren. Auf etwaige Anfragen muss grundsätzlich innerhalb eines Monates geantwortet werden. Dabei ist grundsätzlich auch anzugeben, für welche Zeit die Daten verwendet werden.
Datenüber nahme (Art. 20)
Die Kunden haben zukünftig die Möglichkeit, bei Bedarf (z.B. Anbieterwechsel), ihre Daten „mitnehmen“ zu können. Die Regelung im Wortlaut: Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.
Recht auf Vergessen (Art. 17)
In Zukunft gibt es ein gesetzlich verbrieftes „Recht auf Vergessen“, sprich: sobald die Daten nicht mehr benötigt werden, ist der Verarbeiter zur Löschung verpflichtet. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einschlägige Voraussetzungen vorliegen.
Verpflichtung zur Kontrolle
Datenverarbeiter müssen auch ihre jeweiligen Lieferanten und externen Mitarbeiter hinsichtlich der Einhaltung des Datenschutzes kontrollieren, bzw. dazu verpflichten und folglich entsprechende Vereinbarung abschließen.
Datenschut zbeauftragt er (Art. 37)
Während in anderen Ländern in den Durchführungsbestimmungen klar geregelt ist, unter welchen Bedingungen ein Datenschutzbeauftragter zu bestellen ist, müsste in Italien jeder Unternehmer abwägen, ob ein solcher Beauftragter ob der Art und des Umfangs der Daten erforderlich ist.
Meldeverpf lichtung (Art. 33)
Datenschutzverletzungen sind künftig der EU und den betroffenen Personen sowie nationalen Aufsichtsbehörden zu melden.
Darüber hinaus werden eine Reihe von weiteren restriktiven Auflagen und Verpflichtungen eingeführt (z.B. in Bezug auf die Verarbeitung sog. sensibler Daten, Informationspflicht Dritten gegenüber, usw.).
Alles in Allem werden zukünftig die Datenverarbeiter weit mehr in die Pflicht genommen als dies bisher der Fall war, wobei die Nachweispflicht hinsichtlich der Einhaltung der Bestimmungen beim Unternehmen liegt. Insofern empfiehlt es sich, die neuen Verpflichtungen nicht auf die leichte Schulter zu nehmen. Dies vor allem auch deshalb, da die neue EU-Verordnung empfindliche Strafen für deren Nichteinhaltung vorsieht. So kann die jeweilig zuständige Aufsichtsbehörde, abhängig von einigen Faktoren, wie z.B. der Art, Schwere und Dauer des Verstoßes, dem Verhalten des Verarbeiters, eventuellen früheren Verstößen, usw. Strafen in Höhe von bis zu Euro 20.000.000,00 verhängen, oder bei einem Unternehmen bis zu 4% des weltweiten Umsatzes (dies auch bei auf dem ersten Blick nicht so groben Verstößen, wie z.B. bei Missachtung der Verpflichtung zur Einwilligung zur Verarbeitung, Missachtung der Rechte der betroffenen Personen, nicht- genehmigte Übermittlung von Daten an einen Empfänger im Drittland, usw.).
Empfehlung: Zur Umsetzung der neuen Verordnung benötigen Sie in der Regel keine teuren Softwarepakte, wie sie derzeit zu Hauf von allen Seiten angeboten werden! Wichtig ist vielmehr ein Verhaltensheft, in welchem verbindlich für Unternehmer und Mitarbeiter geregelt wird, welche Daten über Kunden und Partner zu welchem Zweck gespeichert, wie verarbeitet und wie geschützt und wann gelöscht werden.
Sollte in den nächsten Tagen noch die längst überfällige Durchführungsbestimmung zur Umsetzung der Richtlinie in Italien erlassen werden, werden wir Sie umgehend darüber in Kenntnis setzen. Zu ergänzen bleibt, dass mit Inkrafttreten der Durchführungsbestimmung (so zumindest der Wortlaut der Neuregelung) der bisherige Kodex für den Datenschutz (D.lgs 196/2003) außer Kraft gesetzt würde.
Diesem Rundschreiben legen wir einen Leitfaden des nationalen Garanten für den Datenschutz vom Februar 2018 bei, worin auf die Neuerungen der EU-Verordnung hingewiesen wird und auch entsprechende Empfehlungen enthalten sind. Natürlich berücksichtigt dieser Leitfaden etwaige Änderungen in der ausstehenden italienischen Durchführungsverordnung noch nicht.
Für weitere Informationen stehen wir Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen
Josef Vieider