Ein neues tschechisches Datenschutzgesetz aus dem Jahr 2019
Ein neues tschechisches Gesetz über die Verarbeitung personenbezogener Daten aus dem Jahr 2019
Ein neues tschechisches Anpassungsgesetz zur europäischen Verordnung DSGVO Nr. 110/2019 Slg. das mit Wirkung vom 24.04.2019 in Kraft ist.
Ab dem 24.04.2019 ist in der Tschechischen Republik ein neues Adaptationsgesetz Nr. 110/2019 Slg., über die Verarbeitung personenbezogener Daten („Gesetz über die Verarbeitung personenbezogener Daten“) - deutsche Übersetzung des tschechischen Datenschutzgesetzes gültig und wirksam, das die Bedingungen der Verarbeitung personenbezogener Daten in Übereinstimmung mit der europäischen Datenschutzgrundverordnung DSGVO („DSGVO“) präzisiert und weiter regelt. Die Verhandlung dieses Gesetzes dauerte mehr als ein Jahr und der gesamte Prozess einschließlich der Begründung und der einzelnen Abänderungen befindet sich auf der Website der Abgeordnetenkammer unter dem Abgeordnetenkammerblatt Nr. 138, Gesetzentwurf der Regierung des Gesetzes über die Verarbeitung personenbezogener Daten - EU. Das neue Gesetz über die Verarbeitung personenbezogener Daten hebt das bisherige Gesetz über den Schutz personenbezogener Daten Nr. 101/2000 Slg. auf, das in Kraft war, obwohl viele seiner Bestimmungen im Widerspruch zur DSGVO standen. Das neue Anpassungsgesetz über die Verarbeitung personenbezogener Daten bringt grundsätzlich keine grundlegenden Änderungen und präzisiert insbesondere die Rechte und Pflichten der Verantwortlichen in jenen Bereichen, wo DSGVO keine komplexe Regelung bietet oder präzisiert die Regelung dort, wo DSGVO dispositiv geblieben ist und vereinfacht gewissermaßen auch die Regelung und regelt einige spezifischen Ausnahmen. Im nachstehenden Text werden die hauptsächlichen Änderungen aufgelistet, die das Gesetz über die Verarbeitung personenbezogener Date in das tschechische Recht bringt.
Abweichende Festsetzung der Altersgrenze für die Erteilung der Zustimmung zur Verarbeitung personenbezogener Daten
Ein Kind ist befähigt, gemäß DSGVO im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft (typischerweise im Rahmen eines Einkaufs über einen Onlineshop oder bei der Gewährung von sonstigen Online-Dienstleistungen gegen Entgelt oder unentgeltlich, z.B. auch im Rahmen der sozialen Netzwerke) seine Zustimmung ohne jegliche Mitwirkung der gesetzlichen Vertreter nach Vollendung des 16. Lebensjahres zu erteilen, wobei die EU-Mitgliedsländer das Mindestalter bis auf 13 Jahre senken können.
Der tschechische Gesetzgeber hat die Altersgrenze der selbständigen Zustimmung des Kindes in § 7 des Gesetzes über die Verarbeitung personenbezogener Daten auf 15 Jahre gesenkt. Diese Zustimmung berechtigt den Verantwortlichen, personenbezogene Daten des Kindes im Zusammenhang mit der Erbringung und dem Angebot von Dienstleistungen der Informationstechnologien im notwendigen Umfang und unter Anwendung aller einschlägigen Bestimmungen der DSGVO für die jeweilige Art der Verarbeitung zu verarbeiten, wobei die Regelung die in der Tschechischen Republik bisher angewandte Altersgrenze von 15 Jahren kopiert, die sowohl für die zivilrechtliche als auch die strafrechtliche Haftung des Kindes festgesetzt ist.
Definition des Begriffs „öffentliche Stelle“
Das DSGVO setzt im Allgemeinen in Art. 37 Abs. 1 Lit. a) die Pflicht öffentlicher Stellen fest, einen Datenschutzbeauftragten zu benennen, die Definition des Begriffs „öffentliche Stelle“ fehlt jedoch. Das Gesetz über die Verarbeitung personenbezogener Daten setzt in § 14 fest, dass als öffentliche Stelle neben einer Behörde auch eine durch das Gesetz errichtete Stelle gilt, die gesetzlich festgesetzten Aufgaben im öffentlichen Interesse erfüllt. In diesem Bereich kam es also zu einer Klarstellung der Begriffe, die bereits ab dem Inkrafttreten der DSGVO diskutiert wurden und zur Präzisierung der gesetzlichen Regelung für die Umsetzung der DSGVO im tschechischen Recht.
Befugnisse der Datenschutzbehörde
Der ganze Titel V. des Gesetzes über die Verarbeitung personenbezogener Daten ist der rechtlichen Verankerung der Datenschutzbehörde („ÚOOÚ“), ihrer Organisationsstruktur und ihren Befugnissen gewidmet, und ÚOOÚ wird also auch nach der neuen gesetzlichen Regelung zur zentralen Verwaltungsbehörde für den Bereich des Schutzes personenbezogener Daten. ÚOOÚ konnte bisher nicht über die Übertretungen im Datenschutzbereich gemäß DSGVO entscheiden, weil diese Zuständigkeit nirgendwo verankert wurde und sie musste mit einem eingeschränkten Spektrum von Übertretungen auskommen, die im ursprünglichen Gesetz Nr. 101/2000 Slg., über den Schutz personenbezogener Daten festgesetzt wurden (dieses Gesetz wurde zum 23.04.2019 aufgehoben).
Das Gesetz über die Verarbeitung personenbezogener Daten führt des Weiteren neue Tatbestände von Übertretungen ein, die in der Verletzung von Pflichten, die durch das eigentliche Gesetz über die Verarbeitung personenbezogener Daten festgesetzt sind, bestehen und setzt dafür ebenso Sanktionen fest. Das Gesetz berücksichtigt auch jene Fälle, wenn es zu einer Verletzung des Verbots der Veröffentlichung personenbezogener Daten kommen sollte, das durch eine andere Rechtsvorschrift festgesetzt ist, das einen Bestandteil der tschechischen Rechtsordnung bildet. Für einen solchen Verstoß kann gemäß dem Gesetz über die Verarbeitung personenbezogener Daten eine Strafe bis zu CZK 1.000.000 oder bis zu CZK 5.000.000 auferlegt werden, wenn es sich um eine durch Presse, Film, Rundfunk, Fernsehen, ein öffentlich zugängliches Computernetz oder auf eine ähnlich wirksame Art und Weise begangene Übertretung handelt.
ÚOOÚ kann neu jegliche Mittel nutzen, die ihr auf dem Feld des Schutzes personenbezogener Daten DSGVO eingeräumt sind, was sich insbesondere in der Berechtigung zur Erteilung von Strafen für Sachverhalte der Übertretungen gemäß DSGVO zeigt. Es ist jedoch zu erwähnen, dass in der Sache des Übertretungsverfahrens ÚOOÚ gemäß der tschechischen gesetzlichen Regelung vorzugehen hat, d.h. insbesondere gemäß dem Gesetz Nr. 250/2016 Slg., über die Haftung für Übertretungen und Übertretungsverfahren, und die Höhe der Strafen hängt von der Regelung ab, die das neue Gesetz über die Verarbeitung personenbezogener Daten bringt, die entgegen DSGVO herabgesetzt wurden (siehe nachstehend).
Neue Tatbestände von Übertretungen und Senkung der Strafen
Das neue Gesetz über die Verarbeitung personenbezogener Daten senkt des Weiteren die Höhe der Strafe, die im Zusammenhang mit der Verletzung von einzelnen Pflichten im Rahmen des Schutzes personenbezogener Daten durch eine juristische Person auferlegt werden kann, insbesondere in Bezug auf die Verarbeitung personenbezogener Daten zum Zweck der Vorbeugung, Suche nach oder Aufdeckung von Straftaten, Verfolgung von Straftaten, Strafvollstreckung und Vollziehung von Schutzmaßnahmen, Gewährleistung der Sicherheit der Tschechischen Republik oder Gewährleistung der öffentlichen Ordnung und der inneren Sicherheit, auf CZK 10.000.000, wobei die ursprüngliche Regelung gemäß DSGVO mit der Möglichkeit der Auferlegung einer Strafe bis zu EUR 20.000.000 gerechnet hat. Auf alle Fälle der Bestrafung von Übertretungen gemäß DSGVO, gegebenenfalls gemäß dem Gesetz über die Verarbeitung personenbezogener Daten bezieht sich selbstverständlich die tschechische gesetzliche Regelung der Grundsätze der verwaltungsrechtlichen Sanktionsregelungen, die insbesondere Angemessenheit und Individualisierung der Strafe verlangt, unter Berücksichtigung des Charakters des Subjekts, dem die Strafe auferlegt wird und ebenso der Schwere der Übertretung.
Das Gesetz über die Verarbeitung personenbezogener Daten führt des Weiteren neue Tatbestände von Übertretungen ein, die in der Verletzung der durch das eigentliche Gesetz über die Verarbeitung personenbezogener Daten festgesetzten Pflichten bestehen und für die ebenso Strafen festgesetzt werden. Es reflektiert auch jene Fälle, in denen es zu einer Verletzung des Verbots der Veröffentlichung personenbezogener Daten kommen würde, das durch eine andere Rechtsvorschrift festgesetzt wird, die einen Bestandteil der tschechischen Rechtsordnung bildet. Für einen solchen Verstoß kann gemäß dem Gesetz über die Verarbeitung personenbezogener Daten eine Strafe bis zu CZK 1.000.000 oder bis zu CZK 5.000.000, auferlegt werden, wenn es sich um eine durch Presse, Film, Rundfunk, Fernsehen, ein öffentlich zugängliches Computernetz oder auf eine ähnlich wirksame Art und Weise begangene Übertretung handelt.
Neu kann ÚOOÚ jene Mittel umfassend nutzen, die ihr auf dem Feld des Schutzes personenbezogener Daten durch DSGVO eingeräumt wurden, was sich insbesondere in der Berechtigung zur Erteilung der Sanktionen gemäß DSGVO zeigt, und zwar in Übereinstimmung mit dieser Gemeinschaftsvorschrift bis zu einer Höhe von CZK 10.000.000. Auf alle Fälle der Bestrafung von Übertretungen gemäß DSGVO, gegebenenfalls gemäß dem Gesetz über die Verarbeitung personenbezogener Daten bezieht sich selbstverständlich die tschechische gesetzliche Regelung der Grundsätze der verwaltungsrechtlichen Sanktionsregelungen, die insbesondere die Angemessenheit und Individualisierung der Strafe verlangen, unter Berücksichtigung des Charakters des Subjekts, dem die Strafe auferlegt wird und ebenso der Schwere der Übertretung.
Ausnahme von der Auferlegung von Sanktionen für öffentliche Institutionen und öffentliche Subjekte
Das Gesetz über die Verarbeitung personenbezogener Daten nutzt des Weiteren vollständig die in Art. 83 Abs. 7 DSGVO verankerten Möglichkeiten über die innerstaatliche Regelung der Auferlegung von Verwaltungsstrafen bei öffentlichen Behörden und öffentlichen Stellen für die Nichteinhaltung der Regeln des Schutzes personenbezogener Daten gemäß DSGVO, gegebenenfalls gemäß einer innerstaatlichen Durchführungsvorschrift. Diesen Subjekten kann jetzt für Übertretungen zwar eine Strafe bis zu CZK 10.000.000 auferlegt werden, wenn ein solches Subjekt jedoch eine Gemeinde ist, die nicht mit Umsetzungsaufgaben im Umfang eines Gemeindeamts einer Gemeinde mit erweiterten Befugnissen betraut ist, eine freiwillige Vereinigung von solchen Gemeinden, eine Zuschussorganisation einer solchen Gemeinde oder eine juristische Person, die die Tätigkeit einer Schule oder einer Schuleinrichtung wahrnimmt, die von der Gemeinde oder von der freiwilligen Vereinigung der Gemeinden errichtet wurde, so kann nur eine Strafe bis zu CZK 5.000 auferlegt werden.
Neben der Milderung der Geldbußen, die einigen Subjekten auferlegt werden, ermöglicht das Gesetz über die Verarbeitung personenbezogener Daten denjenigen Subjekten, bei denen ein Verstoß gegen die Rechtsvorschriften im Bereich des Schutzes personenbezogener Daten festgestellt wurde, ebenso eine Maßnahme zur Mängelbeseitigung – in Übereinstimmung mit der tschechischen juristischen Terminologie eine sog. Mahnung und angemessene Maßnahmen einzuführen, nach deren Einführung außerdem auf die Verwaltungsstrafe, d.h. auf die Auferlegung einer Strafe verzichtet werden kann.
Verarbeitung personenbezogener Daten zum Zweck der wissenschaftlichen und historischen Forschung oder zu statistischen Zwecken und Verarbeitung personenbezogener Daten zu journalistischen Zwecken oder zu akademischen, künstlerischen oder literarischen Zwecken
In diesen Fällen reflektiert das Gesetz neu die Besonderheiten einer solchen Verarbeitung personenbezogener Daten und reduziert die Pflichten des Verantwortlichen, gegebenenfalls des Auftragsverarbeiters und reduziert gleichzeitig die Rechte der Betroffenen, insbesondere das Recht des Betroffenen auf Zugang zu personenbezogenen Daten gemäß DSGVO, und zwar im Hinblick auf den Schutz der Quelle und des Inhalts der Informationen. Das Gesetz über die Verarbeitung personenbezogener Daten stellt so gewissermaßen jene Situationen klar, in denen Journalisten, Künstler usw., verpflichtet sind, Betroffenen Informationen hinsichtlich der Verarbeitung ihrer personenbezogener Daten mitzuteilen.
Das Gesetz über die Verarbeitung personenbezogener Daten setzt die Grundnorm fest, wie diese Kategorien der Auftragsverarbeiter die Verarbeitung personenbezogener Daten behandeln sollen und es verlangt unter anderem auch die Aufbewahrung der Daten in anonymisierter Form, d.h. so, dass die Information dem konkreten Betroffenen nicht zugeordnet werden kann, jederzeit, wenn dies im Hinblick auf ihre Tätigkeit möglich ist. Diese Bestimmung ist deshalb insbesondere auf die Verarbeitung von Informationen zu Statistikzwecken oder zu Zwecken der Forschung gerichtet.
Ein neues Gesetz als Beendigung der ersten Welle der Anpassung der tschechischen Rechtsordnung an DSGVO
Das neu erlassene Gesetz beendet den Prozess der ersten Welle der Anpassung der tschechischen Rechtsordnung an DSGVO. In der Zukunft können weitere Änderungen der gesetzlichen Regelung erwartet werden, insbesondere in Bezug auf einige Dienste der Informationsgesellschaft und Inline-Werbung (kommerzielle Kommunikation, Cookies, Big Data…) sowie im Arbeitsrecht.
Das Gesetz über die Verarbeitung personenbezogener Daten hat einen Rechtsrahmen für ÚOOÚ geschaffen, damit sie ihre Aufsichts- und Kontrolltätigkeit im Bereich des Personendatenschutzes effektiv durchführen kann, die bisher insbesondere aufgrund des Fehlens eines Rechtsrahmens zur Umsetzung der DSGVO eingeschränkt war.
Für einen durchschnittlichen Unternehmer sind aus dem neuen Gesetz über die Verarbeitung personenbezogener Daten insbesondere die ersten 23 Paragrafen anwendbar, die die Verarbeitung personenbezogener Daten durch einen gewöhnlichen Verantwortlichen regeln, d.h. durch eine juristische oder natürliche Person, Arbeitgeber, Händler und ähnliche, wobei der Rest des Gesetzes sich insbesondere auf öffentliche Stellen und öffentliche Behörden konzentriert. Ein erheblicher Teil des Gesetzes über die Verarbeitung personenbezogener Daten konzentriert sich auch auf die Verarbeitung personenbezogener Daten zum Zweck der Vorbeugung, Suche nach Straftaten oder der Aufdeckung von Straftaten, Verfolgung von Straftaten, Strafvollzug und Schutzmaßnahmen, Gewährleistung der Sicherheit der Tschechischen Republik oder Gewährleistung der öffentlichen Ordnung und der internen Sicherheit und dem Schutz personenbezogener Daten bei der Sicherstellung von Verteidigungs- und Sicherheitsinteressen der Tschechischen Republik.
Falls Sie mehr Informationen benötigen, kommen Sie bitte jederzeit auf uns zu:
JUDr. Mojmír Ježek, Ph.D.
Managing Partner
ECOVIS ježek, advokátní kancelář s.r.o.
tschechische Rechtsanwaltskanzlei
t: +420 226 236 600
e: mojmir.jezek@ecovislegal.cz
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz/de
Mehr über ECOVIS ježek, advokátní kancelář s.r.o., tschechische Rechtsanwaltskanzlei in Prag:
ECOVIS ježek ist eine tschechische Rechtsanwaltskanzlei mit Sitz in Prag, die sich insbesondere auf das tschechische Handelsrecht und Immobilienrecht, die Prozessführung und das Banken- und Finanzrecht konzentriert. Mit ihrer umfassenden Bandbreite kompetent erbrachter Rechtsberatungsleistungen stellt sie eine attraktive, vollwertige Alternative für Mandanten der großen internationalen Kanzleien dar. Die langfristige erfolgreiche Zusammenarbeit mit führenden Rechtsberatungsunternehmen in den meisten europäischen Ländern und den USA (sowie weiteren Rechtsordnungen) bürgt dafür, dass die grenzübergreifende Dimension des jeweiligen Mandats stets eingehend berücksichtigt wird. Die tschechischen Rechtsanwälte von ECOVIS ježek weisen eine hervorragende Erfolgsbilanz bei der Erbringung von Beratungsleistungen an transnationale Konzerne, tschechische Großunternehmen, den Mittelstand sowie Freiberufler und Privatpersonen auf, die auf jahrelange, bei führenden Rechts- und Steuerberatungsunternehmen erworbene Erfahrung gründet. Weitere Auskünfte finden Sie unter nachstehendem Link: www.ecovislegal.cz/de..
Die auf dieser Website enthaltenen Informationen stellen eine Anwaltswerbung dar. Informationen, die auf dieser Webseite veröffentlicht werden, stellen keine Rechtsberatung dar und nichts auf dieser Website begründet das Bestehen einer Mandatsbeziehung. Vereinbaren Sie mit uns eine Rechtsberatung, bevor Sie auf Grund dessen, was Sie hier lesen, etwas unternehmen. Ergebnisse der Vergangenheit sind keine Garantie für zukünftige Ergebnisse, und frühere Ergebnisse implizieren oder prognostizieren keine zukünftigen Ergebnisse. Jeder Fall ist anders und muss nach seinen eigenen Umständen beurteilt werden.