Datenschutzgesetz

Das neue spanische Datenschutzgesetz

(Ley Orgánica de Protección de datos (LOPD))

Am 19.01.2008 wurde im spanischen Staatsanzeiger das königliche Dekret 1720/2007 vom 21.12. veröffentlicht. Dieses Gesetz verabschiedet das Ausführungsgesetz zum Gesetz 15/1999, de 13 de diciembre ((Ley Orgánica (LOPD)).

Dieses neue, am 19.04.2008 in Kraft tretende, 158 Artikel und verschiedene Übergangsvorschriften umfassende Gesetz sieht verschiedene Änderungen auf dem Gebiet des Datenschutzes vor und behandelt umfassend die Grundsätze, Rechte und Verpflichtungen des Schutzes der Daten natürlicher Personen.

Die Übergangsvorschriften (Disposición Transitoria Segunda) sehen eine Übergangsfrist für die Vornahme der entsprechenden Maßnahmen vor. Je nach Grad der Sicherheitsstufe der Daten bestehen Fristen von zwischen 12 und 18 Monaten.

Diese gesetzliche Regelung, die als Ausgangspunkt das infolge der unaufhaltsamen Entwicklung der neuen Medien gesteigerte Bedürfnis an Rechtssicherheit, Transparenz und Schutz der persönlichen Rechte des Einzelnen hatte, betrifft allerdings nicht nur den Bereich dieser neuen Medien.

Damit hat der Nutzer von Karteien die persönliche Daten enthalten, die daraus resultierenden rechtlichen Konsequenzen zu analysieren und wirksame Maßnahmen zu ergreifen.

Dies bedeutet, dass zwar grds. die Erfassung von Unternehmensdaten nicht betroffen sind, da es sich nicht um natürlichen Personen handelt, wohl aber die dort gespeicherten Kontaktdaten der natürlichen Personen im Rahmen dieser Unternehmen. Desweiteren kommen persönlichen Daten von Angestellten, Dienstleistern etc. in Betracht.

Die Nichterfüllung der gesetzlichen Verpflichtungen kann mit hohen Bußgeldern geahndet werden.

So werden bspw. bereits die fehlende Mitteilung über das Vorhandensein von Dateien mit personenbezogenen Daten an das zuständige Organ (Agencia Española de Protección de Datos (AEPD), www.agpd.es), mangelnde Information bei der Entgegennahme und Erfassung von Personendaten oder mangelhafte Sicherheitsmaßnahmen als leichte Verstöße behandelt.

Als schwere Verstöße zählen das fehlende Einverständnis der Dateninhaber bei der Erfassung, fehlende Aktualisierung der Daten und fehlende Sicherheitsmaßnahmen.

Diese Verstöße werden mit Sanktionen von zwischen 3.000,00 und 300.000,00 Euro belegt.

Die illegale Weitergabe von Daten kann mit Sanktionen von bis 600.000,00 Euro belegt werden.

Da im Zeitalter der Informationstechnik die Mehrzahl von Unternehmen automatisierte Dateien mit persönlichen Daten nutzen, besteht dort meist entsprechender Handlungsbedarf zum Schutz dieser Daten.

Allerdings sind in ebensolcher Weise durch das neue Gesetz auch gedruckte Daten geschützt.

Die Kosten der Durchführung der entsprechenden Maßnahmen werden von Spezialisten je nach Struktur des Unternehmens mit zwischen 3.000,00 und 90.000,00 Euro eingeschätzt.

Diese Schätzung umfasst neben den Beratungskosten u. a. die Anpassung der vorhandenen Mittel, z. B. hinsichtlich der Archivierung, Aufbewahrung und Sicherung der gedruckten Daten, etc..

Außerdem entstehen zukünftig laufende Kosten infolge der Aktualisierung der Daten, dem Nachweis der Erfüllung der gesetzlichen Pflichten und der Zurverfügungstellung von einfachen und kostenlosen Mitteln (frei frankierte Briefumschläge, Gratistelefonleitung, etc.), damit die Betroffenen Ihre Rechte, z. B. solche auf Widerruf wahrnehmen können.

Der Betroffene hat grds. das Recht auf Widerspruch im Falle der Nutzung seiner persönlichen Daten ohne vorherige Genehmigung, im Falle der Nutzung zu Werbe- und sonstigen kommerziellen Zwecken oder im Falle, dass aus der Behandlung von persönlichen Daten Entscheidungen abgeleitet werde, die ihn unmittelbar berühren.

Außerdem besteht das jederzeitige Recht die gespeicherten persönlichen Daten und den Zweck der Speicherung zu erfragen.

Auch die weiteren Nutzung der Daten seitens des Unternehmens nach Widerruf durch den Betroffenen kann im Extremfall mit einer Sanktion von bis 600.000,00 Euro bestraft werden.

Das Unternehmen hat die Pflicht der Aufbewahrung des Nachweises, hinsichtlich des Sachverhaltes der Vorabinformation des Betroffenen, dass und zu welchem Zweck Daten erfasst und gespeichert werden und dass er über seine Rechte informiert wurde.

Im Rahmen der Erfüllung der gesetzlichen Pflichten hat das Unternehmen einen Verantwortlichen zu benennen, um u. a. Betroffenen die Kontrolle der Richtigkeit und der Art der Nutzung der persönlichen Daten zu erleichtern.

Schließlich regelt das Gesetz das Procedere hinsichtlich der Aktualisierung der gespeicherten Daten und legt den Rahmen fest in dem das Verhältnis zwischen Unternehmen und Personen oder Einrichtungen im Hinblick auf die Erbringung von Dienstleistungen bestimmt wird.

Gemäß aktueller Umfragen ist der Mehrheit der Bevölkerung die Existenz der gesetzlichen Regelung und im Grundsatz der daraus folgenden Rechte bekannt. Dieses Bewusstsein und die ansteigende Besorgnis der Betroffenen bezüglich des Umgangs mit den persönlichen Daten, lassen es im Hinblick auf die drastischen Sanktionen den Nutzern solcher Daten angeraten scheinen, die entsprechenden Maßnahmen kurzfristig zu ergreifen.

©2008 Verfasser: Frank Müller, Rechtsanwalt, Abogado