16.08.2017

Spanien: Datenschutzverordnung

Am 25.05.2016 trat die Verordnung EU 2016/679 des europäischen Parlaments und des Rates von Simon 20.04.2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG in Kraft.

Obwohl die europäischen Verordnungen in den Mitgliedstaaten unmittelbar ohne Anpassung an das nationale Recht durchführbar sind, hat die spanische Regierung beschlossen, das derzeitige Gesetz 15/1999 über den Schutz personenbezogener Daten zu überarbeiten und ein neues Verfassungsgesetz über den Schutz personenbezogener Daten vorzulegen, welches  das alte Datenschutzgesetz ersetzen und die Änderungen, welche durch die EU-Datenschutzgrundverordnung eingeführt wurden, umsetzt.

Bisher hat die spanische Regierung die spanische Gesetzgebungskommission beauftragt, in Zusammenarbeit mit der spanischen Datenschutz-behörde (AEPD) einen neuen Text des Gesetzes auszuarbeiten.

Der Text wurde vor kurzem an das Justizministerium weitergeleitet, welches es dem Ministerrat am vierten 20.06.2017 vorgelegt hat. Zu dem Entwurf werden zurzeit Stellungnahmen und Berichte sowie Besprechungen mit betroffenen Bürgern und Betroffenen stellen Eingang holt. Das neue Gesetz wird gleichzeitig mit der EU-Datenschutzgrundverordnung im Mai 2018 in Kraft treten.

In Anbetracht des vorstehenden können wir Ihnen keinen Überblick über die endgültigen Bestimmungen des neuen spanischen Datenschutzgesetzes geben aber der zur Genehmigung vorgelegte Text enthält derzeit folgende Regelung:

(1) Das neue spanische Gesetz über den Schutz personenbezogener Daten gilt nicht für die Verarbeitung folgender personenbezogener Daten:

(A) Daten natürlicher Personen, welche im Rahmen einer rein persönlichen oder hauswirtschaftlichen Tätigkeit gesammelt wurden;

(B) von der spanischen Generaldirektion bei der Durchführung von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel zwei des EUV fallen;

(C) von den zuständigen Behörden für die Zwecke der Prävention, Ermittlung, Feststellung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen, einschließlich der Sicherung und Prävention von Bedrohung der öffentlichen Sicherheit;

(D) verstorbene Personen;

(E) Daten vorbehaltlich der Rechtsvorschriften über den Geheimnisschutz;

(F) für statistische oder Forschungszwecke.

(2) die Zustimmung zur Verarbeitung personenbezogener Daten wird durch eine freiwillige, eindeutige und informierte Angabe der betroffenen Personen, deren personenbezogene Daten verarbeitet werden sollen, gegeben.

(3) die Verarbeitung personenbezogener Daten von Kindern ist nur im Fall der Zustimmung eines Kindes ab 13 Jahren zulässig. Für Kinder unter 13 Jahren muss die Zustimmung von den Erziehungsberechtigten erteilt werden.

(4) das neue spanische Gesetz über den Schutz personenbezogener Daten umfasst besonders Bestimmungen über die Verarbeitung personenbezogener Daten im Zusammenhang mit Nichterfüllung von Geld –, Finanz – oder Kreditverpflichtungen in Kreditinformationssystemen und die Verarbeitung zu Videoüberwachungszwecken.

(5) die Verarbeitung personenbezogener Daten zum Zwecke der Zusendung von Werbung ist nicht zulässig, soweit eine Ablehnung oder ein Widerspruch hiergegen erhalten wurde.

(6) die Verarbeitung personenbezogener Daten in Verbindung mit Verurteilungen und Straftaten, Vorsorge- und Sicherungsverfahren oder –maßnahmen oder für andere Zwecke der Prävention, Ermittlung, Feststellung oder Verfolgung von Straftaten oder Vollstreckung von Strafen darf nur erfolgen, soweit dies ausdrücklich zugelassen ist. Das spanische Justizministerium ist für die Verwaltung von Informationssystemen zuständig, in den alle Daten über Verurteilungen und Straftaten, Vorsorge- und Sicherungsverfahren oder –maßnahmen erhoben werden.

(7) Informationen darüber, wie und welche Gesamtdaten gesammelt werden, müssen einer präzisen und übersichtlichen Weise in leicht zugänglicher Form mit klaren und einfachen Worten bereitgestellt werden. Diese Informationen müssen entsprechend angepasst werden, wenn sie sich an Kinder richten.

(8) Bei der Erhebung personenbezogener Daten sind folgende Angaben zu machen:

  • Identität des Sammlers oder Vertreters des Sammlers;
  • Zweck der Verarbeitung;
  • Angaben über die Ausübung der in Art. 15-22 der EU-Datenschutzgrundverordnung festgelegten Rechte.

(9) die spanischen Regelungen über Zugangsrechte, Berichtigungen, Löschungen, Beschränkung der Verarbeitung, Datentransfer und Einspruch soll den Bestimmungen der EU-Datenschutzgrundverordnung folgen.

(10) ein Datenschutzbeauftragter muss für folgende Unternehmen bestellt werden:

  • Berufsverbände und Räte, die im spanischen Gesetz 2/1974 vom 13. Februar als Berufsverbände gelistet sind.
  • Lehrzentren, die entsprechend dem spanischen Gesetz 2/2006 vom 3. Mai über Bildung und öffentliche und private Universitäten als geregelte Bildungseinrichtungen benannt sind.
  • Unternehmen, die Netzwerke und elektronische Kommunikationsdienste anbieten entsprechend den Bestimmungen des spanischen Gesetzes 9/2014 vom 9. Mai.
  • Dienstleistungserbringer die Informationen ihrer Nutzer zu Diensten sammeln, unabhängig davon, ob jetzt eine Registrierung erforderlich ist oder nicht.
  • Unternehmen, die in Art. 1 des spanischen Gesetzes 10/2014 vom 26. Juni über die Verwaltung, Beaufsichtigung und Insolvenz von Kreditinstituten gelistet sind.
  • Finanzkreditinstitute, die entsprechend Titel zwei des spanischen Gesetzes 5/2015 vom 24. April über die Förderung der Unternehmensfinanzierung gelistet sind.
  • Sicherung – und Rückversicherungsunternehmen, die im spanischen Gesetz 20/2015 vom 14. Juli über die Verwaltung, Aufsicht und soll Events von Versicherern und Rückversicherern gelistet sind.
  • Wertpapierdienstleistungsunternehmen, die entsprechend Titel V des konsolidierten Textes des spanischen Gesetzes über die Börse, genehmigt durch das spanisch königliche Gesetzesdekret 4/2015 von transtanzten Oktober gelistet sind.
  • Partner und Händler elektrischer Energie gemäß den Bestimmungen des spanischen Gesetzes 24/2013 vom 26. Dezember für den Elektrizitätssektor, Gasverteiler und Händler gemäß dem spanischen Gesetz 34/1998 vom 7. Oktober über die Kohlenwasserstoffsektoren.
  • Unternehmen, die gemeinsame Akten zur Bewertung der Eigenkapitalsolvenz und Prävention von Betrug verwalten, einschließlich der in Art. 32 des spanischen Gesetzes 10/2018 vom 28. April zu Geldwäsche und Terrorismusfinanzierung benannten Stellen.
  • Unternehmen, die Werbe- und Prospekttätigkeiten entwickeln, einschließlich kommerzieller Forschung und Marktforschung.
  • Medizinische Gesundheitszentren, die gesetzlich verpflichtet sind, medizinische Unterlagen der Patienten gemäß den Bestimmungen des spanischen Gesetzes 41/2002 vom 14. November über die Autonomie des Patienten und über die Rechte und Pflichten im Bereich der Information und der täglichen Dokumentation zu pflegen.
  • Unternehmen, die in kommerzieller Weise Berichte über Personen und Unternehmen zur Verfügung stellen.
  • Spielebetreiber, die Spiele durch elektronische Kanäle unter Verwendung von Informationstechnologie, Telematik oder sonst interaktiv in Übereinstimmung mit den Bestimmungen des spanischen Gesetzes 3/2011 vom Mai über die Regulierung des Spiels zur Verfügung stellen.
  • Jene Stellen, die Tätigkeiten ausführen, die in Titel II des spanischen Gesetzes 5/2014 vom 4. April über die private Sicherheit geregelt sind.

Für alle anderen Unternehmen ist die Benennung eines Datenschutzbeauftragten freiwillig.

(11) Schließlich regelt das neue spanische Gesetz über den Schutz personenbezogener Daten, die Sanktionen in Form von Geldbußen, die bei einer Zuwiderhandlung verhangen werden:

  • bei sehr ernsten Verstößen, Wiederverwendung von Daten die zu einem anderen Zweck erhoben wurden, ohne Zustimmung der betroffenen Person oder ohne Rechtsgrundlage für die Erhebung cooler
  • ernsthafte Verstöße, wie die Verarbeitung personenbezogener Daten einer Person unter 13 Jahren ohne Einverständniserklärung der Erziehungsberechtigten;
  • geringere Verstöße, wie Erfordernis der Zahlung einer Gebühr zur Bereitstellung von Informationen entsprechend den Artikeln 13 und 14 der EU Datenschutz Grundverordnung.

Was die Höhe der Geldbußen betrifft, so scheint es so zu sein, dass ein sehr schwerwiegender Verstoß mit einer Geldbuße über 300.000 € bestraft wird, schwere Verstöße mit einer Geldstrafe von 40.001 bis 300.000 € und geringere Verstöße mit einer Geldstrafe bis zu 40.000 €.

Es bleibt noch etwas abzuwarten, bis die endgültige Version des neuen spanischen Gesetzes erlassen wird. Nach einer Genehmigung durch die spanische Regierung wird der endgültige Text im spanischen Amtsblatt (BO E) veröffentlicht und auf folgender Internetseite abrufbar sein: www.boe.es/diario_boe.

Ansprechpartner: Gastbeitrag von Vanessa Sánchez, Advocada bei Mireia Serra und Kollegen in Barcelona