Neues tschechisches Datenverarbeitungsgesetz
Am 24.04.2019 trat das Gesetz Nr. 110/2019 Sb., zur Verarbeitung personenbezogener Daten[1] in Kraft („Gesetz“), das das bisherige Gesetz Nr. 101/2000 Sb., zum Schutz personenbezogener Daten ersetzt und u.a. einige Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („DSGVO“) näher spezifiziert. Dieser Artikel setzt sich zum Ziel, einige Aspekte der neuen Rechtsregelung kurz zusammenzufassen und die Leser auf die Änderungen im Datenschutzbereich vorzubereiten.
Definition des Begriffs „öffentliche Stelle“
Im Zuge der Verabschiedung der DSGVO diskutierte man in Vergangenheit oft darüber, welche Stellen unter die sog. „öffentlichen Stellen“ fallen. Die DSGVO verwendet diesen Begriff, ohne ihn näher zu definieren, und sieht für die öffentlichen Stellen nicht nur einige Ausnahmen, sondern auch die Pflicht vor, einen Datenschutzbeauftragten zu haben[2]. Das Gesetz regelt daher auf nationaler Ebene die gesetzliche Auslegung dieses Begriffs, wo unter die öffentlichen Stellen neben den Behörden auch gesetzlich errichtete Stellen fallen sollen, die gesetzlich festgelegten Aufgaben im öffentlichen Interesse erfüllen.[3] Nach der Begründung des Gesetzes handelt es sich dabei z.B. um Gemeinden und Bezirke, Ministerien und andere zentrale Verwaltungsstellen oder Sicherheitsbehörden.
Festlegung der Altersgrenze
Das Gesetz knüpft an den Artikel 8 Abs. 1 DSGVO an, nach dem die Mitgliedsstaaten abweichend von der Regelung der DSGVO eine Altersgrenze vorsehen können, bei deren Vollendung ein Kind selbständig (ohne Einwilligung der gesetzlichen Vertreter) die Einwilligung in die Verarbeitung seiner personenbezogenen Daten im Zusammenhang mit einem Angebot von Diensten einer Informationsgesellschaft erteilen kann. Diese Altersgrenze ist in Art. 8 DSGVO auf 16 Jahre festgelegt, kann jedoch von den Mitgliedsstaaten bis auf 13 Jahre gemindert werden. Dienste der Informationsgesellschaft sind dabei solche Dienstleistungen, die durch elektronische Mittel auf individuellen Antrag deren Benutzers, der mit elektronischen Mitteln (d.h. insbesondere im Internet) gestellt wurde, in der Regel gegen Entgelt erbracht werden[4]. Die Höhe der Altersgrenze hat sich in der endgültigen Fassung des Gesetzes auf 15 Jahren stabilisiert, wobei die Abgeordnetenkammer den Änderungsvorschlag, der die Grenze auf 13 Jahre mindern sollte, abgelehnt hat.
Ausnahmen von der Informationspflicht und von der Pflicht, dem Empfänger die durchgeführten Vorgänge mitzuteilen
Aus praktischer Sicht wird für die meisten Verantwortlichen die vorgeschlagene Ausnahme von der Informationspflicht bei der Verarbeitung personenbezogener Daten für die Erfüllung einer dem Verantwortlichen durch das Gesetz auferlegten Pflicht oder einer Aufgabe, die durch den Verantwortlichen im öffentlichen Interesse oder bei der Ausübung der öffentlichen Gewalt durchgeführt wird, von Bedeutung sein. Für einen solchen Fall sieht das Gesetz als ausreichend vor, wenn die betroffenen Personen durch die Veröffentlichung der Informationen über die gewöhnlich durchgeführte Verarbeitung der personenbezogenen Daten in einer den Fernzugang ermöglichenden Form informiert werden.[5]
Entsprechend ermöglicht das Gesetz dem Verantwortlichen, wenn dieser die Pflicht hat, die Durchführung einer Berichtigung, Beschränkung der Verarbeitung oder die Löschung der personenbezogenen Daten den Empfängern der personenbezogenen Daten zu melden, diese Pflicht durch eine Änderung der personenbezogenen Daten in einer Evidenz zu erfüllen, wenn er dem Empfänger den gültigen Inhalt dieser Evidenz regelmäßig zugänglich macht.[6]
Verarbeitung für journalistische und künstlerische Zwecke
Das Gesetz enthält auch eine ziemlich detaillierte Regelung der Verarbeitung der personenbezogenen Daten für die Meinungsäußerung und Informationsfreiheit von Journalisten, Wissenschaftlern, Künstlern und/oder Schriftstellern, wo dieses sich nicht nur der Frage der Beurteilung der Angemessenheit der Verarbeitung der personenbezogenen Daten für die festgelegten Zwecke widmet, sondern auch einige Ausnahmen vom Recht der betroffenen Personen regelt. Die Verarbeitung der personenbezogenen Daten für diese Zwecke ist weder durch die Erlaubnis noch durch die Genehmigung der Aufsichtsbehörde bedingt und genießt Rechte auf Schutz der Quelle und des Inhalts der Informationen.
Sowohl aus der Sicht der betroffenen Personen als auch aus der Sicht der praktischen Funktion der Medien kann es weiter von Bedeutung sein, dass das Gesetz die Informationspflicht des Verantwortlichen in solchen Fällen regelt, in denen der Verantwortliche die personenbezogenen Daten nicht direkt von der betroffenen Person erhalten hat. Die Informationspflicht gemäß Art. 14 und Art. 21 Abs. 4 DSGVO kann neuerlich durch bloße Veröffentlichung der Informationen über die gewöhnlich durchgeführte Verarbeitung der personenbezogenen Daten in einer den Fernzugriff ermöglichenden Form erfüllt werden.[7]
Vergehen und Sanktionen
Das Gesetz bringt auch eine Regelung der Vergehen im Datenschutzbereich, insbesondere im Zusammenhang mit der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. Im Zusammenhang mit der DSGVO kam es dann insbesondere zur Milderung der Bedingungen für die Auferlegung von Verwaltungsstrafen für Verstöße gegen die DSGVO. Während die ursprüngliche Regierungsversion des Gesetzesentwurfs lediglich die obere Grenze der den Behörden und öffentlichen Stellen aufzuerlegenden Strafen auf CZK 10.000.000,- begrenzte[8], die verabschiedete Fassung des Gesetzes schließt die der Datenschutzbehörde eingeräumte Möglichkeit zur Auferlegung von Verwaltungsstrafen an die öffentlichen Stellen und Behörden voll aus. Beginnend mit dem Inkrafttreten des Gesetzes ist es somit nicht möglich, z. B. Gemeinden oder Bezirke zu bestrafen.[9] Der inländische Gesetzgeber hat somit von der Berechtigung Gebrauch gemacht, die sich für ihn aus Art. 83 Abs. 7 DSGVO ergibt. Öffentliche Stellen und Behörden können auch nicht für Verstöße gegen das Veröffentlichungsverbot von personenbezogenen Daten geahndet werden, das durch andere Rechtsvorschriften festgelegt ist. Auch in diesem Falle verankert das Gesetz eine Ausnahme von der Möglichkeit zur Auferlegung von Verwaltungsstrafen für Vergehen bestehend in der unerlaubten Veröffentlichung der personenbezogenen Daten, wenn diese von einer öffentlichen Stelle oder Behörde begangen wurden.
Weitere ausgewählte Aspekte
Hinsichtlich der Pflicht, die Datenverarbeitung einer Datenschutz-Folgenabschätzung zu unterziehen,[10] sieht das Gesetz eine wichtige Ausnahme für Verarbeitungsvorgänge vor, die dem Verantwortlichen durch Rechtsvorschriften auferlegt wurden[11]. Durch die Verabschiedung des Gesetzes fiel somit für viele Verantwortliche eine bedeutende administrative Last weg.
Weiter wurden Personen positiv abgegrenzt, die befugt sind, Datenschutzzertifizierung im Sinne des Art. 42 DSGVO zu erlassen, wobei es sich um Personen handeln soll, die von einer mit der Ausübung der Befugnisse der Akkreditierungsstelle beauftragten Person akkreditiert sind.[12] Die Bedeutung der Zertifizierung liegt dabei in der Möglichkeit der Verantwortlichen und der Auftragsverarbeiter, durch die Zertifizierung die Erfüllung der Pflichten und den Einklang der Vorgänge mit der DSGVO nachzuweisen.[13] Die Erlangung einer solchen Zertifizierung ist freiwillig und kann aus der Sicht der betroffenen Person einen höheren Grad an Glaubwürdigkeit des Verantwortlichen oder Auftragsverarbeiters hervorrufen.
Schluss
Aufgrund des Vorgenannten kann man zusammenfassen, dass die verabschiedeten Neuigkeiten in der Datenschutzrechtsregelung nicht besonders erheblich sind und vorwiegend zur Präzisierung der bestehenden Regelung in thematisch begrenzten Gebieten dienen. Aus der Sicht der öffentlichen Stellen und Behörden bringt jedoch das Gesetz erhebliche Entlastungen, insbesondere aus der Sicht der Begrenzung der zulässigen Verwaltungsstrafen.
[2] Art. 37 Abs. 1 Buchst. a) DSGVO.
[3] § 14 des Gesetzes.
[4] § 2 Buchst. a) des Gesetzes Nr. 480/2004 Sb., zu einigen Diensten einer Informationsgesellschaft.
[5] § 8 des Gesetzes.
[6] § 9 des Entwurfs
[7] § 19 Abs. 1 des Gesetzes.
[8] Wobei für Gemeinden, die keine übertragenen Befugnisse im Umfang des Gemeindeamtes einer Gemeinde mit erweiterten Befugnissen ausüben, freiwillige Bündnisse solcher Gemeinden und die von ihnen errichteten gemeinnützigen Organisationen sowie juristische Personen, die die Tätigkeit einer Schule oder einer Schuleinrichtung ausüben, die obere Grenze der Strafe noch niedriger vorgesehen wurde, und zwar auf CZK 5.000,-.
[9] Und zwar ungeachtet dessen, ob diese die übertragenen Befugnisse im Umfang des Gemeindeamtes einer Gemeinde mit erweiterten Befugnissen ausüben oder nicht.
[10] Die Abschätzung der Folgen der Verarbeitungsvorgänge hat der Verantwortliche gemäß der DSGVO durchzuführen, wenn wahrscheinlich ist, dass eine bestimmte Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
[11] § 10 des Entwurfs
[12] Gemäß Gesetz Nr. 22/1997 Sb., über technische Anforderungen an die Produkte und über die Änderung und Ergänzung einiger Gesetze, i.d.g.F.
[13] Art. 24 Abs. 3 DSGVO.