Die Zeit der Warnungen ist vorüber. Unternehmen müssen die DSGVO vollständig und uneingeschränkt einhalten.
Delgien ist mit der Umsetzung der Datenschutz-Grundverordnung (DSGVO) ein wenig langsam gestartet. Sowohl das belgische DSGVO-Rahmengesetz als auch die ersten Sanktionen durch die Datenschutzbehörde, ließen auf sich warten. Inzwischen ist der Rückstand aufgeholt und die ersten beiden Verurteilungen sind erfolgt.
Die Aufsichtsbehörde, Data Protection Agency (DPA), gegründet per Gesetz vom 3. Dezember 2017, hat im ersten Jahr ihres Bestehens keine einzige Sanktion ausgesprochen. Grund hierfür war die relativ späte Zusammenstellung der Kontrollorgane innerhalb der Behörde, die Beschwerden beurteilen und Verhalten sanktionieren sollen, wenn die Vorschriften missachtet werden. Dies war Ende Mai dieses Jahres das erste Mal der Fall und das bedeutet, die Zeit der Warnungen ist vorüber. Unternehmen müssen die DSGVO vollständig und uneingeschränkt einhalten.
Streitfall zu E-Mail-Nutzung
Zur ersten Verurteilung kam es am 28. Mai 2019. Ein Bürgermeister hatte die E-Mailadressen zweier Einwohner seiner Gemeinde im Rahmen der Änderung einer Parzellierung erhalten. Die Adressen hatte er danach verwendet, um persönliche Wahlwerbung zu verbreiten. Die beiden betroffenen Einwohner reichten Beschwerde bei der DPA ein. Diese urteilte, dass der Bürgermeister sich nicht an die Zweckbindung gehalten hatte, auf deren Grundlage ihm die Daten zur Verfügung gestellt worden waren (nämlich die geplante Änderung der Parzellierung). Diese Zweckbindung wird durch die Artikel 5.1.b und 6.4 der Datenschutz-Grundverordnung geschützt. Der Bürgermeister wurde mit einem behördlichen Bußgeld von 2.000 Euro belegt und erhielt außerdem eine Abmahnung.
Weigerung der Einsichtnahme in persönliche Daten
Am 9. Juli folgte dann die zweite Entscheidung der DPA. Hier wurde zwar kein behördliches Bußgeld verhängt, jedoch eine Abmahnung formuliert. Diese bezog sich auf die Verweigerung der Einsichtnahme in persönliche Daten. Das belgische Gesundheitsministerium lehnte den Antrag des Klägers ab, Einsicht in Dokumente zu erhalten, die der Verweigerung zu Grunde lagen, seine Position als stellvertretendes Mitglied der Kommission für Gesundheitswesen der Provinz Limburg zu verlängern. Da den Anträgen des Klägers trotz mehrfacher Kontaktversuche, nie Gehör geschenkt wurde, stellte die Aufsichtsbehörde einen Verstoß gegen die Artikel 12.3, 12.4 und 15 der Datenschutz-Grundverordnung seitens des Ministeriums fest. Laut DSGV muss Inhabern von persönlichen Daten das Recht eingeräumt werden, Einsicht in diese zu erhalten. Ihr Urteil veröffentlichte die DPA auf ihrer Website unter Bekanntmachung der Parteien.
Neue Regeln für Unternehmen
Das belgische Gesetz über den Schutz von natürlichen Personen in Bezug auf die Verarbeitung von persönlichen Daten, oder DSGVO-Rahmengesetz, wurde bereits am 30. Juli 2018 beschlossen und am 5. September 2018 veröffentlicht. Auch wenn es sich vor allem auf die Präzisierung der Aufgaben verschiedener Behörden konzentrierte, so gab es auch Neuerungen für Unternehmen. So wurde z.B. das Alter, mit dem eine minderjährige Person rechtswirksam ihre Zustimmung zur Verarbeitung von persönlichen Daten erteilen kann, von 16 auf 13 Jahre gesenkt. Kinder in Belgien haben somit die Möglichkeit, bereits ab ihrem 13. Geburtstag selbst über die Verarbeitung ihrer persönlichen Daten zu entscheiden. Belgien entscheidet sich damit für das laut EU-Verordnung erlaubte Mindestalter.
Das Rahmengesetz sieht auch einige zusätzliche Verpflichtungen für Unternehmen vor, die sich hauptsächlich auf die Verarbeitung spezieller Kategorien von Daten beziehen:
- Unternehmen müssen einen „Data Protection Officer“ (Datenschutzbeauftragter) einstellen, wenn sie persönliche Daten für die föderale Regierung verarbeiten beziehungsweise diese von der föderalen Regierung empfangen, sofern ein hohes Risiko für die Rechte und Freiheiten von Personen besteht.
- Wenn Unternehmen persönliche Daten verarbeiten, die sich auf strafrechtliche Verurteilungen oder Delikte beziehen, müssen zusätzliche Sicherheitsvorkehrungen ergriffen werden. Eine dieser Vorkehrungen ist die Anstellung eines Datenschutzbeauftragten.
- Zudem müssen Unternehmen eine Liste der Personen bereithalten, die Zugang zu Gesundheitsdaten oder strafrechtlich relevanten Daten haben.
Kontakt:
Alexis Hallemans, Nelissen Grade Lawyers