Kontrollen einer Erfüllung von Pflichten rund um den Datenschutz sollten nicht unterschätzt werden

PrintMailRate-it

Bereits kurz nach Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) und der Implementierung ihrer grundlegenden Anforderungen war bei einem großen Teil der Unternehmen als Verantwortlichen eine gewisse Apathie und der Eindruck zu verzeichnen, dass sie mit den umgesetzten Maßnahmen im Grunde ihre Verpflichtungen erfüllt hätten und die DSGVO somit für die nahe Zukunft – ja, vergessen werden könne.

 

Zum 25. Mai 2018 oder kurze Zeit danach wurden in den Unternehmen die jeweiligen internen Richtlinien verabschiedet, bzw. kam es zur Erarbeitung von weiteren Teilen der Dokumentation zur Verarbeitung und zum Schutz personenbezogener Daten sowie zu einer formellen Einführung einiger technischer und organisatorischer Maßnahmen zum Datenschutz, die teilweise auch praktisch um­gesetzt wurden. Im privaten Sektor gibt es in dieser Hinsicht nur wenige Verantwortliche, die verstanden haben, dass sich die Herangehensweise an die Verarbeitung und den Schutz personen­bezogener Daten (zum Datenschutz) im Zuge der DSGVO grundlegend geändert hat.

 

Diese grundlegende Änderung besteht darin, dass die Umsetzung der Anforderungen der DSGVO grundsätzlich einen langfristigen und dynamischen internen Prozess darstellt, der sich beständig weiterentwickelt, und dass die Verantwortlichen fortlaufend und operativ einerseits auf interne Änderungen der Zwecke, des Umfangs und der Art der Verarbeitung personenbezogener Daten und andererseits auf die sich langsam entwickelnde Auslegungspraxis des Europäischen Datenschutzausschusses und der nationalen Aufsichtsbehörden und die zusammenhängende sog. Best Practice reagieren müssen.

 

In der Tschechischen Republik ist dieses Thema nun umso bedeutender, als im März dieses Jahres endlich das neue Datenschutzgesetz verabschiedet wurde, das mit seinem Inhalt in erster Linie eine sog. Anpassungsvorschrift darstellt, die an die Datenschutz-Grundverordnung anknüpft. Die Tschechische Republik erhielt mit dem neuen Gesetz und der DSGVO nach längerer Zeit eine voll­ständige und umfassende rechtliche Regelung für den Bereich Datenschutz, einschließlich einschlägiger prozessualer Vorschriften und Instrumente für die Daten­schutzbehörde (das sog. Amt für den Schutz personenbezogener Daten). Hierzu zählen insbesondere die Berechtigung zur Beseitigung von Mängeln (sog. Abhilfemaßnahmen) sowie Bußgelder für Verstöße. 

     

Im Zusammenhang mit dieser Änderung können Unternehmen als Verantwortliche künftig damit rechnen, dass sich die bisherige, gegenüber den Verantwortlichen eher entgegenkommende Vorgehensweise der tschechischen Datenschutzbehörde, die sich nach dem Inkrafttreten der DSGVO lange insbesondere auf ihre Informations- und Präventionsaktivitäten konzentrierte, ändern wird. Obwohl die Datenschutzbehörde in den letzten Monaten Untersuchungen bzw. Kontrollen diverser Fälle von Beschwerden und Verletzungen von Pflichten bei der Verarbeitung und dem Schutz personenbezogener Daten vornahm, handelte es sich hierbei überwiegend um Einzelfragen (z.B. eine Anzeigepflicht bei Datenschutzverletzungen, Versendung von Geschäftsmitteilungen etc.)

 

Der tschechischen Datenschutzbehörde werden auf Grundlage des Datenschutzgesetzes jedoch erhebliche prozessuale Berechtigungen zur Durchsetzung der rechtlichen Anforderungen und der Pflichten der laut DSGVO Verantwortlichen zuerkannt, und zwar im Zusammenhang mit neuen Tatsachenbeständen von Verstößen bei der Verarbeitung personenbezogener Daten, die in § 61 bis § 65 des Gesetzes geregelt werden. Von wesentlicher Bedeutung für die unternehmerische Öffentlichkeit ist dabei der Sachverhalt eines Verstoßes gemäß § 62 des Gesetzes, der von einem Verantwortlichen oder einem Auftragsverarbeiter begangen wird, wenn diese die hier angeführten Pflichten gemäß den betroffenen Bestimmungen der DSGVO verletzen.

 

An dieser Stelle ist darauf hinzuweisen, dass sich die gesetzliche Beschränkung der maximalen Höhe der Geldbuße für diesen Verstoß von bis zu 10 Millionen Tschechischen Kronen nur auf Verwaltungsbehörden und öffentliche Subjekte, nicht jedoch auf unternehmerische Subjekte bezieht, denen allgemein eine Geldbuße gemäß 83 Abs. 6 DSGVO, d.h. von bis zu 20 Mio. Euro, oder von bis zu 4 % ihres gesamten weltweit erzielten Jahresumsatzes auferlegt werden kann. Es ist davon auszugehen, dass die Entscheidungspraxis der Datenschutzbehörde sich in dieser Hinsicht erst entwickeln wird und Geldbußen, die für Verletzungen der Pflichten gemäß der DSGVO und dem Datenschutzgesetz auferlegt werden, zunächst nicht sehr hoch ausfallen werden; in der Zukunft ist allerdings zweifellos mit einer Änderung dieser Praxis und einer Verschärfung der Strafen zu rechnen.  

 

In dieser Hinsicht ist unter anderem auch damit zu rechnen, dass - obwohl im Rahmen der Europäischen Union keine einheitlichen Verfahren für die Bestrafung von Verletzungen der Pflichten gemäß der DSGVO eingeführt werden – die nationalen Aufsichtsbehörden sich bis zu einem gewissen Maß gegenseitig beeinflussen werden, wobei sie sich in Bezug auf die Auslegung der DSGVO nach verbindlichen Leitlinien des Europäischen Datenschutzausschusses richten werden. In diversen Fällen haben die Aufsichtsbehörden in den jeweiligen Mitgliedsstaaten der EU Beschlüsse ausgegeben, die sehr hohe Strafen für Verletzungen von Pflichten gemäß der DSGVO vorsehen.

 

Es handelt sich bei weitem nicht nur um den spezifischen Fall der Entscheidung der französischen Aufsichtsbehörde (CNIL) vom Januar dieses Jahres in der Sache Google LCC, mit der eine Geldbuße in Höhe von 50 Millionen Euro auferlegt wurde, sondern um zahlreiche andere „normale” Fälle, die andere Aufsichtsbehörden bearbeiten. Zu erwähnen sind an dieser Stelle z.B. die Entscheidung der portugiesischen Aufsichtsbehörde in der Sache eines Anbieters von medizinischen Leistungen (Geldbuße in Höhe von 150 Tausend Euro) oder eine Geldbuße in Höhe von 250 Tausend Euro, die durch die polnische Aufsichtsbehörde für die Nichterfüllung der Informationspflichten eines Verantwortlichen auferlegt wurde.   

 

In Bezug auf den aktuellen Stand der Durchsetzung der Anforderungen der DSGVO in der Tsche­chischen Re­publik geht es vorläufig primär nicht um die Höhe der Geldbußen für die Verletzung der jeweiligen rechtlichen Pflichten als solche, sondern vielmehr um die Notwendigkeit sich vor Augen zu führen, dass sich der bisherige Zustand der „Ruhe” auf Seiten der Verantwortlichen langsam ändert und diese grundlegende Änderung der Arbeitsweise von Handelsgesellschaften reflektiert und intern berücksichtigt werden muss.

 

Die kommenden Jahre werden zweifelsohne durch Kontrollen zur Erfüllung der einzelnen Pflichten bei der Verarbeitung und dem Schutz personenbezogener Daten geprägt sein. Die sog. Verantwortlichen werden dabei ihre Vorgehensweisen, Instrumente und Maßnahmen fortlaufend bewerten und aktualisieren müssen, und zwar unter anderem auch in Bezug auf die Auslegungspraxis des Euro­päischen Datenschutzausschusses und die Kontrolltätigkeit der Aufsichtsbehörde, die in diesem Bereich die sog. Best Practice einführen werden.  

 

Kontakt

Contact Person Picture

JUDr. Pavel Koukal

Attorney at Law (Tschechische Rep.)

Associate Partner

+420 236 2637 10

Anfrage senden

Deutschland Weltweit Search Menu