Logo Logo

Neues Datenverarbeitungsgesetz

Die Abgeordnetenkammer hat im Laufe Dezember 2018 einen Entwurf des Gesetzes über die Verarbeitung personenbezogener Daten[1] verabschiedet („Entwurf“), der das bisherige Gesetz Nr. 101/2000 Sb., zum Schutz personenbezogener Daten ersetzen und u.a. einige Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („DSGVO“) näher spezifizieren soll. Dieser Artikel setzt sich zum Ziel, einige Aspekte der anstehenden Rechtsregelung kurz zusammenzufassen und die Leser auf die möglichen künftigen Änderungen vorzubereiten. Der Vollständigkeit halber ergänzen wir noch, dass der Artikel den Zustand des Entwurfs nach der Behandlung durch die Abgeordnetenkammer, einschließlich der verabschiedeten Änderungsvorschläge wiederspiegelt.

Definition des Begriffs „öffentliche Stelle“

Im Zuge der Verabschiedung der DSGVO diskutierte man in Vergangenheit oft darüber, welche Stellen unter die sog. „öffentlichen Stellen“ fallen. Die DSGVO verwendet diesen Begriff, ohne ihn näher zu definieren, und sieht für die öffentlichen Stellen nicht nur einige Ausnahmen, sondern auch die Pflicht vor, einen Datenschutzbeauftragten zu haben.[2] Der Entwurf regelt daher auf nationaler Ebene die gesetzliche Auslegung dieses Begriffs, wo unter die öffentlichen Stellen neben den Behörden auch gesetzlich errichtete Stellen fallen sollen, die gesetzlich festgelegten Aufgaben im öffentlichen Interesse erfüllen.[3] Nach der Begründung des Entwurfs handelt es sich dabei z.B. um Gemeinden und Bezirke, Ministerien und andere zentrale Verwaltungsstellen oder Sicherheitsbehörden.

Festlegung der Altersgrenze

Der Entwurf reagiert weiter auf den Artikel 8 Abs. 1 DSGVO, nach dem die Mitgliedsstaaten abweichend von der Regelung der DSGVO eine Altersgrenze vorsehen können, bei deren Vollendung ein Kind selbständig (ohne Einwilligung der gesetzlichen Vertreter) die Einwilligung in die Verarbeitung seiner personenbezogenen Daten im Zusammenhang mit einem Angebot einer Informationsgesellschaft erteilen kann.[4] Diese Altersgrenze ist in Art. 8 DSGVO auf 16 Jahre festgelegt, kann jedoch von den Mitgliedsstaaten bis auf 13 Jahre gemindert werden. Dienste der Informationsgesellschaft sind dabei solche Dienstleistungen, die durch elektronische Mittel auf individuellen Antrag deren Benutzers, der mit elektronischen Mitteln (d.h. insbesondere im Internet) gestellt wurde, in der Regel gegen Entgelt erbracht werden.[5] Die Höhe der Altersgrenze ist in der aktuellen Fassung des Entwurfs auf 15 Jahre festgelegt, wobei die Abgeordnetenkammer den Änderungsvorschlag, der die Grenze bis auf 13 Jahre mindern sollte, abgelehnt hat.

Ausnahmen von der Informationspflicht und von der Pflicht, dem Empfänger die durchgeführten Vorgänge mitzuteilen

Aus praktischer Sicht wird für die meisten Verantwortlichen die vorgeschlagene Ausnahme von der Informationspflicht bei der Verarbeitung personenbezogener Daten für die Erfüllung einer dem Verantwortlichen durch das Gesetz auferlegten Pflicht oder einer Aufgabe, die durch den Verantwortlichen im öffentlichen Interesse oder bei der Ausübung der öffentlichen Gewalt durchgeführt wird, von Bedeutung sein. Für einen solchen Fall sieht der Entwurf als ausreichend vor, wenn die betroffenen Personen durch die Veröffentlichung der Informationen über die gewöhnlich durchgeführte Verarbeitung der personenbezogenen Daten in einer den Fernzugang ermöglichenden Art und Weise informiert werden.

Entsprechend ermöglicht der Entwurf dem Verantwortlichen, wenn dieser die Pflicht hat, die Durchführung einer Berichtigung, Beschränkung der Verarbeitung oder die Löschung der personenbezogenen Daten an die Empfänger der personenbezogenen Daten zu melden, diese Pflicht durch eine Änderung der personenbezogenen Daten in einer Evidenz zu erfüllen, wenn er dem Empfänger den gültigen Inhalt dieser Evidenz regelmäßig zugänglich macht.[6]

Verarbeitung für journalistische und künstlerische Zwecke

Der Entwurf enthält auch eine ziemlich detaillierte Regelung der Verarbeitung der personenbezogenen Daten für die Meinungsäußerung und Informationsfreiheit von Journalisten, Wissenschaftlern, Künstlern und/oder Schriftstellern, wo er sich nicht nur der Frage der Beurteilung der Angemessenheit der Verarbeitung der personenbezogenen Daten für die festgelegten Zwecke widmet, sondern auch einige Ausnahmen vom Recht der betroffenen Personen regelt. Die Verarbeitung der personenbezogenen Daten für diese Zwecke ist weder durch die Erlaubnis noch durch die Genehmigung der Aufsichtsbehörde bedingt und genießt Rechte auf Schutz der Quelle und des Inhalts der Informationen.

Sowohl aus der Sicht der betroffenen Personen als auch aus der Sicht der praktischen Funktion der Medien kann es weiter von Bedeutung sein, dass der Entwurf die Informationspflicht des Verantwortlichen in solchen Fällen regelt, in denen der Verantwortliche die personenbezogenen Daten nicht direkt von der betroffenen Person erhalten hat. Die Informationspflicht gemäß Art. 14 und Art. 21 Abs. 4 DSGVO könnte nach der Verabschiedung des Entwurfs auch durch bloße Veröffentlichung der Informationen über die gewöhnlich durchgeführte Verarbeitung der personenbezogenen Daten in einer den Fernzugriff ermöglichenden Art und Weise erfüllt werden.

Vergehen und Sanktionen

Der Entwurf bringt auch eine Regelung der Vergehen im Datenschutzbereich, insbesondere im Zusammenhang mit der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. Im Zusammenhang mit der DSGVO kommt es dann insbesondere zu der zu erwartenden Minderung der oberen Grenze der den Behörden und öffentlichen Stellen aufzuerlegenden Strafen auf CZK 10.000.000,-, wobei für Gemeinden, die keine Angelegenheiten des übertragenen Wirkungsbereichs im Umfang des Gemeindeamtes einer Gemeinde mit erweiterten Befugnissen ausüben, freiwillige Bündnisse solcher Gemeinden und von ihnen errichtete Beitragsorganisationen und juristische Personen, die die Tätigkeit einer Schule oder einer Schuleinrichtung ausüben, noch mildere Sanktionen vorgesehen sind.[7] Der inländische Gesetzgeber hat somit von der Berechtigung Gebrauch gemacht, die sich für ihn aus Art. 83 Abs. 7 DSGVO ergibt.

Weitere ausgewählte Aspekte

Hinsichtlich der Pflicht, die Datenverarbeitung einer Datenschutz-Folgenabschätzung zu unterziehen,[8] sieht der Entwurf eine wichtige Ausnahme für Verarbeitungsvorgänge vor, die dem Verantwortlichen durch Rechtsvorschriften auferlegt wurden, einschließlich solcher Verarbeitungsvorgänge, die dem Verantwortlichen aufgrund von vor dem Tag der Wirksamkeit der DGSVO verabschiedeten Rechtsvorschriften auferlegt wurden.[9] Im Falle der Verabschiedung des Entwurfs dürfte somit vielen Verantwortlichen eine bedeutende administrative Last entfallen.

Weiter sollen Personen positiv abgegrenzt werden, die befugt sind, Datenschutzzertifizierung gemäß Art. 42 DSGVO zu erlassen, wobei es sich um Personen handeln soll, die von einer zur Ausübung der Befugnisse der Akkreditierungsstelle beauftragten Person akkreditiert sind.[10] Die Bedeutung der Zertifizierung liegt dabei in der Möglichkeit der Verantwortlichen und der Auftragsverarbeiter, durch die Zertifizierung die Erfüllung ihrer Pflichten und den Einklang ihrer Vorgänge mit der DSGVO nachzuweisen.[11] Die Erlangung einer solchen Zertifizierung ist freiwillig und kann aus der Sicht der betroffenen Person einen höheren Grad an Glaubwürdigkeit des Verantwortlichen oder Auftragsverarbeiters hervorrufen.

Schluss

Aufgrund des Vorgenannten kann man zusammenfassen, dass nach der aktuellen Fassung des Entwurfs die anstehenden Neuigkeiten in der Datenschutzrechtsregelung nicht besonders erheblich sind und eher die bestehende Regelung in thematisch begrenzten Gebieten präzisieren. Der Entwurf zielt nun in den Senat. Über den weiteren Verlauf des Gesetzgebungsprozesses werden wir Sie informieren.

[1] Regierungsentwurf des Gesetzes, der den Abgeordneten als Drucksache 138/0 übermittelt wurde, zugänglich von: http://www.psp.cz/sqw/text/tiskt.sqw?O=8&CT=138&CT1=0, in der Fassung der verabschiedeten Änderungsvorschläge.

[2] Art. 37 Abs. 1 Buchst. a) DSGVO.

[3] § 14 des Entwurfs.

[4] § 7 des Entwurfs.

[5] § 2 Buchst. a) des Gesetzes Nr. 480/2004 Sb., über einige Dienste einer Informationsgesellschaft.

[6] § 9 des Entwurfs

[7] § 59 des Entwurfs.

[8] Die Abschätzung der Folgen der Verarbeitungsvorgänge hat der Verantwortliche gemäß der DSGVO durchzuführen, wenn wahrscheinlich ist, dass eine bestimmte Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

[9] § 10 des Entwurfs

[10] Gemäß Gesetz Nr. 22/1997 Sb., über technische Anforderungen an die Produkte und über die Änderung und Ergänzung einiger Gesetze, i.d.g.F.

[11] Art. 24 Abs. 3 DSGVO.

zurück zum Artikel

Abonnieren Sie unseren Newsletter