Steuerberater und Wirtschaftsprüfer
Dr. Mirko Oliva
Der in Italien gültige Datenschutzkodex (Legislativdekret Nr. 196 vom 30. Juni 2003) wird mit Wirkung ab dem 25. Mai 2018 von der Verordnung der Europäischen Union Nr. 2016/679 über den Datenschutz (sog. Datenschutz- Grundverordnung) abgelöst. Die Bestimmungen der EU-Verordnung finden auf die Verarbeitung der personenbezogenen Daten Anwendung und verfolgen das Ziel, die Daten und die Privatsphäre aller EU-Bürger besser zu schützen. Einige Verpflichtungen der neuen Verordnung sind mit dem zuvor in Italien gültigen Datenschutzkodex im Einklang, hingegen andere Bereiche wurden neu geregelt und sehen somit zusätzliche Obliegenheiten vor.
Grundsätzlich dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und der Umfang der erhobenen Daten, sowie die weitere Verarbeitung derselben muss mit diesen Zwecken vereinbar sein. Zudem ist die Verarbeitung und Speicherung der Daten nur für den Zeitraum möglich, bis der festgelegte Zweck erreicht wird. Des Weiteren kann die betroffene Person das Recht geltend machen, dass sämtliche sie betreffende Daten gelöscht werden („Recht auf Vergessenwerden“).
Für die Erhebung und Verarbeitung personenbezogener Daten ist stets die Einwilligung der betroffenen Person, sowie ein umfassendes Informationsschreiben notwendig. Die betroffene Person muss ihre Zustimmung frei, informiert und unmissverständlich ausdrücken, sodass Stillschweigen oder Untätigkeit keine Einwilligung darstellen. Die Zustimmung kann schriftlich, elektronisch oder auch mündlich erfolgen, wobei der Verantwortliche für die Datenerhebung die Einwilligung zur Datenverarbeitung von Seiten der betroffenen Person nachweisen muss.
Wichtig ist auch, dass die betroffene Person umfassend vor der Erhebung und Verarbeitung der personenbezogenen Daten informiert werden muss. Dieses Informationsschreiben muss alle von der EU-Verordnung vorgesehenen Punkte umfassen und dabei unter anderem den Zweck und die rechtliche Grundlage (z. B. Vertrag) für die Datenverarbeitung, den Empfänger der Daten und den eventuell ernannten Verantwortlichen für den Datenschutz, die Dauer der Speicherung der Daten oder die Kriterien für die Festlegung dieses Zeitraumes, das Recht auf Berichtigung, Sperrung und Löschung der Daten, die eventuelle Verwendung der Daten außerhalb Italiens, die Möglichkeit der Einbringung einer Beschwerde bei den Aufsichtsbehörden, die Verwendung automatisierter Entscheidungsverfahren, sowie die Verwendung der Daten für Profiling-Zwecke.
Die betroffene Person kann alle Rechte ausüben, sowie Auskünfte über die Verarbeitung ihrer personenbezogenen Daten einholen, welche von der EU-Verordnung vorgesehen sind. Der Empfänger der Daten ist verpflichtet, die Anfragen der betroffenen Person innerhalb von einem Monat zu bearbeiten. Hervorzuheben ist des Weiteren, dass erstmalig das Recht auf die Mitnahme von persönlichen Daten durch die betroffene Person definiert wurde.
So müssen die Daten beispielsweise auf Anfrage an einen neuen Empfänger übermittelt werden, sofern dies technisch möglich ist (wie z. B. bei der Mitnahme der Handynummer zu einem neuen Anbieter).
Für die Erhebung und Verarbeitung personenbezogener Daten ist stets die Einwilligung der betroffenen Person, sowie ein umfassendes Informationsschreiben notwendig. Die betroffene Person muss ihre Zustimmung frei, informiert und unmissverständlich ausdrücken, sodass Stillschweigen oder Untätigkeit keine Einwilligung darstellen. Die Zustimmung kann schriftlich, elektronisch oder auch mündlich erfolgen, wobei der Verantwortliche für die Datenerhebung die Einwilligung zur Datenverarbeitung von Seiten der betroffenen Person nachweisen muss.
Wichtig ist auch, dass die betroffene Person umfassend vor der Erhebung und Verarbeitung der personenbezogenen Daten informiert werden muss. Dieses Informationsschreiben muss alle von der EU-Verordnung vorgesehenen Punkte umfassen und dabei unter anderem den Zweck und die rechtliche Grundlage (z. B. Vertrag) für die Datenverarbeitung, den Empfänger der Daten und den eventuell ernannten Verantwortlichen für den Datenschutz, die Dauer der Speicherung der Daten oder die Kriterien für die Festlegung dieses Zeitraumes, das Recht auf Berichtigung, Sperrung und Löschung der Daten, die eventuelle Verwendung der Daten außerhalb Italiens, die Möglichkeit der Einbringung einer Beschwerde bei den Aufsichtsbehörden, die Verwendung automatisierter Entscheidungsverfahren, sowie die Verwendung der Daten für Profiling-Zwecke.
Die betroffene Person kann alle Rechte ausüben, sowie Auskünfte über die Verarbeitung ihrer personenbezogenen Daten einholen, welche von der EU-Verordnung vorgesehen sind. Der Empfänger der Daten ist verpflichtet, die Anfragen der betroffenen Person innerhalb von einem Monat zu bearbeiten. Hervorzuheben ist des Weiteren, dass erstmalig das Recht auf die Mitnahme von persönlichen Daten durch die betroffene Person definiert wurde.
So müssen die Daten beispielsweise auf Anfrage an einen neuen Empfänger übermittelt werden, sofern dies technisch möglich ist (wie z. B. bei der Mitnahme der Handynummer zu einem neuen Anbieter).
Im Rahmen der Verordnung wird der neue Grundsatz hervorgehoben, laut welchem der Empfänger und der Verantwortliche der Datenverarbeitung die Modalitäten, Garantien und Beschränkungen der Datenverarbeitung definieren, sowie eine Einschätzung der verbundenen Risiken ausarbeiten und die technischen und organisatorischen Maßnahmen ergreifen, welche zum Schutz der Daten notwendig sind. Im Gegensatz zum zuvor in Italien gültigen Datenschutzkodex wurden keine generell gültigen Verpflichtungen festgesetzt, welche als Mindestmaß für die Sicherheit der Daten eingehalten werden müssen. Es liegt nun in der Verantwortung des Empfängers der Daten die notwendigen Sicherheitsmaßnahmen festzulegen.
Bei Vorliegen bestimmter Voraussetzungen ist außerdem die Führung eines Registers über die Operationen, welche die Verarbeitung personenbezogener Daten betreffen, verpflichtend vorgesehen.
Bei Vorliegen bestimmter Voraussetzungen ist außerdem die Führung eines Registers über die Operationen, welche die Verarbeitung personenbezogener Daten betreffen, verpflichtend vorgesehen.
Alle Empfänger von personenbezogenen Daten müssen zudem ein Register führen, in welchem Verletzungen des Schutzes der personenbezogenen Daten, die entsprechenden Umstände und Folgen, sowie die ergriffenen Maßnahmen aufgezeichnet werden müssen. Besteht laut Einschätzung des Empfängers der Daten aufgrund der festgestellten Verletzung ein Risiko für die Rechte und Freiheit der betroffenen Person, so muss der Empfänger diese Verletzung ohne Verzug innerhalb von 72 Stunden der Aufsichtsbehörde melden. Sofern dieses Risiko als sehr hoch einzustufen ist, muss auch die betroffene Person unverzüglich informiert werden.
Im Rahmen der EU-Verordnung wurde neu bei Erfüllung bestimmter Voraussetzungen die Ernennung eines Verantwortlichen für den Datenschutz verpflichtend vorgesehen. Als Verantwortlicher kann sowohl ein Mitarbeiter des Unternehmens, als auch eine externe Person ernannt werden. Sein Aufgabenbereich umfasst unter anderem die Unterstützung des Empfängers der Daten in der Definition und Umsetzung von Maßnahmen zum Schutz der personenbezogenen Daten, die Überwachung der Einhaltung der Verpflichtungen gemäß der EU-Verordnung, die Schulung und Information an die Mitarbeiter und die Zusammenarbeit mit den Aufsichtsbehörden.
Werden die Bestimmungen zum Schutz der personenbezogenen Daten nicht angewandt, so sind erhebliche Strafen (im Bereich des Strafrechts, Verwaltungsrechts und Geldstrafen) vorgesehen, wobei zusätzliche Maßnahmen beispielsweise auch die Verarbeitung personenbezogener Daten für einen bestimmten Zeitraum untersagen können.
Abschließend empfehlen wir all unseren Kunden, die entsprechenden internen Prozeduren anzupassen sowie das gestzlich vorgesehene Informationsschreiben an die eigenen Kunden zu übermitteln.
Abschließend empfehlen wir all unseren Kunden, die entsprechenden internen Prozeduren anzupassen sowie das gestzlich vorgesehene Informationsschreiben an die eigenen Kunden zu übermitteln.
