Das Harmonisierungsdekret: Die Neuigkeiten im Bereich des Datenschutzes

Am 4. September 2018 wurde die neue Gesetzesverordnung (101/2018) zu Durchführung der Europäischen Datenschutzgrundverordnung 2016/679 (DS-GVO) über den Schutz, die Verarbeitung und den freien Verkehr der persönlichen Daten natürlicher Personen im Italienischen Amtsblatt veröffentlicht.

Die Verordnung bringt die nationalen Rechtsvorschriften mit der Europäischen Verordnung in Einklang, ersetzt im Wesentlichen den vorbestehenden Datenschutzkodex (Gesetzesverordnung 196/2003) und führt neue Verpflichtungen für Unternehmen im Rahmen der DS-GVO ein.

Die Neuigkeiten für Unternehmen

Dies sind die wichtigsten Neuigkeiten für Unternehmen im Vergleich zu dem alten Datenschutzkodex:

  • im Rahmen von Arbeitsverhältnissen ist die Zustimmung des Bewerbers zur Verarbeitung der im Lebenslauf enthaltenen Daten nicht erforderlich (im Rahmen der in Artikel 6 Absatz 1 Buchstabe b der DS-GVO vorgesehenen Zwecke). Die Informationen müssen im Falle des Eingangs eines von den Bewerbern spontan übermittelten Lebenslaufs zum Zeitpunkt des ersten echten Kontakts nach dem Absenden bereitgestellt werden;
  • Das für die Erteilung der Zustimmung zur Erbringung von Diensten der Informationsgesellschaft erforderliche Mindestalter der Minderjährigen (Registrierung bei sozialen Netzwerken oder Nachrichtendiensten), wird auf 14 Jahre festgelegt. Unterhalb dieser Schwelle muss die Zustimmung durch die Erziehungsberechtigten erteilt werden;
  • Die Verhaltenskodizes, Maßnahmen und allgemeinen Genehmigungen des Datenschutzbeauftragten bleiben für eine Übergangszeit in Kraft und werden überprüft, um ihre Vereinbarkeit mit der DS-GVO zu überprüfen, da sie vom Datenschutzbeauftragten durch Maßnahmen aktualisiert werden müssen, die der Öffentlichkeit zur Stellungnahme vorgelegt werden;
  • Der Datenschutzbeauftragte wird zugunsten kleiner und mittlerer Unternehmen für vereinfachte Konformitätsverfahren sorgen;
  • Der Inhaber des Rechts zur Datenverarbeitung und der für die Datenverarbeitung Verantwortliche können Aufgaben und Funktionen an zwischengeschaltete Personen, d.h. an natürliche Personen, die unter ihrer Aufsicht und Verantwortung tätig sind, übertragen.

Die neuen Bestimmungen zu Sanktionen

In Bezug auf die Sanktionen, die für den Fall einer Verletzungshandlung gegen das Datenschutzgesetz vorgesehen sind, hat der italienische Gesetzgeber die strafrechtlichen Sanktionen gegenüber der bisherigen Sanktionsregelung erweitert und geändert, die zusätzlich zu den in der Verordnung vorgesehenen strengen verwaltungsrechtlichen Sanktionen gelten.

Die hauptsächlichen strafrechtlich sanktionierten Handlungen sind:

  • rechtswidrige Verarbeitung personenbezogener Daten;
  • betrügerische Erfassung von personenbezogenen Daten, die einer umfangreichen Verarbeitung unterliegen;
  • rechtswidrige Übermittlung und Verbreitung personenbezogener Daten, die einer umfangreichen Verarbeitung unterzogen werden;
  • falsche Angaben gegenüber dem Datenschutzbeauftragten;
  • Nichteinhaltung der Anweisungen des Datenschutzbeauftragten;
  • Verletzung des Artikels 4 Absatz 1 des Arbeitnehmerstatuts (Kontrolle aus der Entfernung).

Was die Verwaltungssanktionen betrifft, so wurde festgestellt, dass es in den ersten acht Monaten nach Inkrafttreten der Gesetzesverordnung (101/2018) entgegen den bisherigen Andeutungen kein Moratorium für Inspektionen geben wird. Der Datenschutzbeauftragte wird jedoch nicht nur Sanktionen verhängen, sondern soweit wie möglich auch dazu, die ihm zur Verfügung stehenden weiteren und sonstigen Befugnisse nutzen (Art. 58 DS-GVO).

Weitere Neuerungen

Der Gesetzgeber hat im Rahmen der Harmonisierungsverordnung weitere wesentliche Neuerungen eingeführt:

  • Die Verarbeitung genetischer, biometrischer und gesundheitsbezogener Daten, für die eine Öffnungsklausel zugunsten nationaler Vorschriften gilt, unterliegt der Einhaltung der Garantieregelungen, die der Datenschutzbeauftragte mindestens alle zwei Jahre erlassen wird.

Ebenfalls Bereich des Gesundheitswesens wird klargestellt, dass für die Verarbeitung von Daten zum Zwecke der Diagnose und Behandlung keine Einwilligung mehr erforderlich ist, obwohl es immer erforderlich sein wird, die vom Datenschutzbeauftragten in der vorgenannten Maßnahme festgelegten Garantien einzuhalten; darüber hinaus werden auch die vereinfachten Verfahren zur Erfüllung der Informationspflicht gegenüber dem Patienten bestätigt;

  • Die den Verstorbenen gewährten Rechte können von einer Person ausgeübt werden, die ein eigenes Interesse hat oder zum Schutz der betreffenden Person handelt, als ihr Vertreter oder aus schützenswerten familiären Gründen. Die Ausübung dieser Rechte ist nicht zulässig, wenn dies gesetzlich verboten ist oder wenn der Betreffende dies ausdrücklich in einer schriftlichen und unmissverständlichen Erklärung verboten hat (beschränkt auf das "direkte Angebot von Diensten der Informationsgesellschaft"). Ein Verbot darf sich jedoch nicht nachteilig auf die Ausübung der Eigentumsrechte durch Dritte auswirken, die sich aus dem Tod des Betreffenden oder dem Recht auf Verteidigung der eigenen Interessen vor Gericht ergeben.

Es bleibt also nur abzuwarten, bis der Datenschutzbeauftragte die weiteren zu erwartenden Neuerungen erlassen hat, vor allem im Bereich der Vereinfachungen für kleine und mittlere Unternehmen.

(Avv. Riccardo De Mare)