Das neue spanische Datenschutzgesetz (Ley Orgánica 3/2018, de 5 de noviembre, de Protección de Datos y Garantía de los Derechos Digitales)
Seit dem 7. Dezember 2018 ist das neue spanische Datenschutzgesetz (Ley Orgánica 3/2018, de 5 de noviembre, de Protección de Datos y Garantía de los Derechos Digitales- LOPDGDD) in Kraft, das das spanische Datenschutzrecht an die im Mai 2018 in Kraft getretene EU-DSGVO anpasst.
Aus der Anpassung ergeben sich einige bedeutende Neuerungen und Veränderungen gegenüber dem nun obsoleten alten Datenschutzgesetz von 1999, der „Ley Orgánica de Protección de Datos 1999/15“ (LOPD). Insbesondere hat der spanische Gesetzgeber im insgesamt 97 Artikel umfassenden Gesetz die wesentlichen Bestimmungen der Datenschutzgrundverordnung übernommen und das Schutzniveau angeglichen, um bei deren Anwendung in Spanien für Rechtssicherheit zu sorgen.
Als bedeutende Neuerung gegenüber dem alten Datenschutzgesetz gelten insbesondere die digitalen „Grundrechte“ des Titels X, z.B. das „Recht auf Vergessenwerden“, Netzneutralität, das Recht auf Klarstellung und Aktualisierung von Informationen in digitalen Medien und das Recht auf digitale Bildung. Diese digitalen Grundrechte finden ihre Verankerung in Art. 18.4 der spanischen Verfassung. Als für das Arbeitsrecht relevante digitale Grundrechte kann zum einen insbesondere das Recht der Arbeitnehmer auf Privatsphäre am Arbeitsplatz bei der Nutzung der vom Arbeitgeber zur Verfügung gestellten digitalen Geräte genannt werden, Art. 87 (Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral). Desweiteren räumt Art. 88 den Arbeitnehmern ein Recht auf digitale „Abschaltung“ bzw. „Entkopplung“ (Derecho a la desconexión digital en el ámbito laboral) außerhalb der Arbeitszeit ein.
Gegenüber der EU-DSGVO bietet die LOPDGDD einige Konkretisierungen an, woraus sich im Einzelfall Unterschiede zu anderen innereuropäischen nationalen Datenschutzbestimmungen ergeben können (keine abschließende Auflistung):
- Nach spanischem Datenschutzrecht lag die Einwilligungsfähigkeit von Minderjährigen bezüglich der Verarbeitung ihrer persönlichen Daten bisher bei 14 Jahren. Diese Regelung fügt sich nun der Bestimmung des Art. 8 Abs. 1 der EU-DSGVO, nach der die Mitgliedstaaten von der Möglichkeit Gebrauch machen können, die Einwilligungsfähigkeit unter 16 Jahren (das generelle einwilligungsfähige Alter nach der Verordnung) anzusetzen.
- Weiterhin wird den Angehörigen Verstorbener ein ausdrückliches Recht auf Zugang und Umgang mit deren persönlichen Daten eingeräumt, es sei denn, der Verstorbene hat dem zuvor widersprochen.
- Die Anforderungen an Unternehmen hinsichtlich der Benennung eines Datenschutzbeauftragten werden konkretisiert, so muss die Ernennung der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos- AEPD) innerhalb von 10 Tagen mitgeteilt werden.
- Im Gesetz findet sich zudem eine Sanktionsregelung, die zwischen leichten, schweren und sehr schweren Verstößen (infracciones leves, graves y muy graves) gegen die Datenschutzbestimmungen differenziert. Hinsichtlich der Verjährung von Verstößen gelten Fristen von ein, zwei oder drei Jahren. Bezüglich der Höhe der Bußgelder wird auf die Bestimmungen EU-DSGVO Bezug genommen.
Insgesamt hat der spanische Gesetzgeber mit der LOPDGDD also eine Angleichung an das europäische Datenschutzniveau vorgenommen, gleichzeitig aber auch einige nationale, besondere Regelungen, deren Relevanz für einige Bereiche des alltäglichen Lebens nicht zu unterschätzen sein dürfte (siehe die Digitalgrundrechte am Arbeitsplatz), mit in das Gesetz eingebracht.
Philip Müller
Referendar - AHK Spanien