Datenschutzrechtliche Verstöße können in Italien sowohl vor ordentlichen Gerichten als auch vor der Datenschutzbehörde (Autorità Garante della Privacy) gemeldet werden. Über welche Befugnisse verfügt die Behörde und welche Folgen können datenschutzrechtliche Verstöße in Italien haben?

Aufgaben der Behörde

Die Datenschutzbehörde in Italien ist dafür zuständig, jegliche Verstöße im Bereich der Datenverarbeitung, sowohl im privaten als auch im öffentlichen Bereich, zu verfolgen. Durch ihre Entscheidungen und Richtlinien kann die Behörde großen Einfluss auf die konkrete Auslegung und Durchsetzung der datenschutzrechtlichen Vorschriften ausüben. Die Behörde muss u.a.:

  • Kontrolle über personenbezogenen Daten durchführen, um sicher zu stellen, dass diese rechtskonform sind. Wenn dies nicht der Fall ist, wird die Behörde den verantwortlichen Stellen ausführliche Richtlinien geben, um den Rechtsverstoß zu beheben;
  • Einsprüche, Meldungen und Berufungen sanktionieren;
  • Richtlinien und Stellungnahmen verfassen, die die wichtigsten Themen im Bereich Datenschutz erklären und vertiefen.

Notifikationspflichten vor der Behörde

In bestimmten Fällen muss der Online-Händler, bevor er eine Verarbeitung von personenbezogenen Daten beginnt, diese erst an die Datenschutzbehörde melden (Art. 37 Privacy Kodex). Die Meldungen werden in einem öffentlichen Verzeichnis zusammengetragen, das online zur Verfügung gestellt wird. Die Meldepflicht wurde durch verschiedene Richtlinien der Behörde erheblich gelockert. Zu den für den Online-Handel relevantesten meldepflichtigen Verarbeitungsarten zählen:

  • die Verarbeitung von Daten, die mittels eines elektronischen Informationsnetzes die geografische Position von Personen oder Gegenständen angeben (Art. 37 Abs. 1 Buchstabe a) Privacy Kodex);
  • die Verarbeitung, die „der Ermittlung des Profils und der Persönlichkeit der betroffenen Person, der Analyse von Konsumgewohnheiten und -entscheidungen oder der Überwachung der Nutzung von Dienstleistungen des elektronischen Informationsnetzes dienen. Hiervon ausgeschlossen sind Verarbeitungsarten, die aus technischer Sicht für die Erbringung dieser Dienstleistungen für die Nutzer erforderlich sind.“ In der Praxis handelt es sich hierbei um Cookies, die der Erstellung von Profilen dienen (Art. 37 Abs. 1 Buchstabe d) Privacy Kodex).

Rechtswege vor die Datenschutzbehörde

Betroffene, deren Daten Gegenstand einer Verarbeitung wurden, können ihre Rechte vor der Datenschutzbehörde geltend machen. Die Rechtswege, die zur Verfügung stehen, unterliegen spezifischen Voraussetzungen und können nur in bestimmten Fällen Anwendung finden:

  • Berufung: Dieser Rechtsweg betrifft lediglich die Verstöße gegen die Ausübung der Rechte zur Sperrung, Löschung und Änderung von personenbezogenen Daten. Wenn der Betroffene schon die verantwortliche Stelle kontaktiert hat, um seine Rechte auszuüben, ohne jegliche Rückmeldung innerhalb von 15 Tagen (bzw.  für kompliziertere Fälle 30 Tage) bekommen zu haben, dann steht ihm der Rechtsweg der Berufung frei (Art. 141 Abs. 1 c) Privacy Kodex).
  • Einspruch: Der Einspruch kann vom Betroffenen verwendet werden, um allgemeine Rechtsverstöße gegen datenschutzrechtliche Vorschriften zu melden. Der Einspruch muss ausführliche Informationen enthalten, so wie Angaben darüber, welche konkrete Datenverwendungen für rechtswidrig gehalten werden und welche Rechtsvorschriften betroffen wären (Art. 141 Abs. 1 a) Privacy Kodex).
  • Meldung: Die Meldung kann ebenfalls gegen allgemeine datenschutzrechtliche Verstöße verwendet werden, wenn der Betroffene nicht genügend Informationen über den möglichen Rechtsverstoß hat(Art. 141 Abs. 1 b) Privacy Kodex).

Vor- und Nachteile des Verfahrens vor der Behörde

Das Verfahren vor der Datenschutzbehörde ist wesentlich schneller als der normale Rechtsweg vor den ordentlichen Gerichten. Ein sehr hoher Grad an Fachwissen ist sicherlich gewährleistet, da die Beamten sich ausschließlich mit datenschutzrechtlichen Fragenstellungen beschäftigen. Wenn der Tatbestand im konkreten Fall eine Straftat darstellt, kann die Behörde im gleichen Verfahren auch auf strafrechtliche Sanktionsmittel zugreifen.

Schadensersatzansprüche kann der Betroffenen jedoch nur vor den ordentlichen Gerichten geltend machen, wo er auch von einer Beweislastumkehr profitieren kann. Ein zusätzliches Verfahren zum gleichen Fall, zwischen den gleichen Parteien kann aber nur wegen Schadensersatz begonnen werden. Ansonsten sind die beide Rechtswege alternativ: wer einen Rechtsverstoß vor der Behörde gemeldet hat, kann nicht für die gleiche Streitigkeit auch vor den Gerichten klagen.

Haben Sie Fragen zum Cross-Border-Handel? Setzen Sie sich mit uns in Verbindung, wir unterstützen Sie gerne im Cross-Border-Verkauf. (ec)