Datenschutz Und Privatsphäre In Italien

Der Begriff Privatsphäre bezeichnet im rechtlichen Kontext das Recht des Einzelnen auf die Vertraulichkeit seiner persönlichen Daten und seines Privatlebens. Um die Einhaltung der Vorschriften durch Einzelpersonen und Unternehmen zu gewährleisten und zu verhindern, dass entsprechende Informationen ohne die Einwilligung der Betroffenen verbreitet oder verarbeitet werden, bestehen weltweit, in der Europäischen Union („EU“) und auch in Italien verschiedene Gesetze zum Datenschutz und zum Schutz der Privatsphäre.

Zum besseren Verständnis werden der einschlägige organisatorische und sich ständig weiterentwickelnde rechtliche Rahmen (I.) mit seinen allgemeinen Grundsätzen und seiner Anwendbarkeit (II.) sowie die Rechtmäßigkeit der Datenverarbeitung (III.) und verschiedene Sonderbestimmungen (IV.) dargelegt. Schließlich werden die entsprechenden Rechte der betroffenen Personen (V.) und das Fazit (VI.) der Gesetzgebung beschrieben.

Im Einzelnen:
I. Organisatorischer und rechtlicher Rahmen
Das Recht auf Privatsphäre und den Schutz personenbezogener Daten ist in den meisten nationalen Rechtsvorschriften seit Jahren als Grundrecht und Freiheit natürlicher Personen anerkannt (vgl. Art. 8 der Charta der Grundrechte der EU sowie Art. 2 der italienischen Verfassung). In den letzten Jahrzehnten ist es weltweit zu einem Schwerpunkt geworden, was zu einer zunehmenden Gesetzgebung geführt hat, insbesondere im Hinblick auf die Bereitstellung der notwendigen Instrumente zur Regelung der Datenverarbeitung durch Unternehmen.

Der wichtigste aktuelle Rahmen für den Datenschutz und den Schutz der Privatsphäre, der auf die Harmonisierung des Datenschutzrechts in der EU abzielt und auch als globaler Standard gilt, ist die Verordnung (EU) Nr. 2016/679 – Datenschutz-Grundverordnung („DSGVO„) – die seit dem 28. Mai 2018 in Kraft ist. Neben Unternehmen, deren Geschäftsmodell die Erhebung und Verarbeitung von (personenbezogenen) Daten in der Union umfasst, sind auch alle größeren Unternehmen, insbesondere aus der digitalen Wirtschaft, von der neuen Rechtsgrundlage für den Datenschutz betroffen.

Die Harmonisierung und Vereinheitlichung des Datenschutzrechts wurde jedoch nur in begrenztem Umfang erreicht. Denn die DSGVO lässt einerseits Raum für nationale Regelungen, andererseits enthält sie eine Reihe von Öffnungsklauseln, die es den Mitgliedstaaten erlauben oder vorschreiben, unterschiedliche und/oder ergänzende Regelungen zu erlassen.

Dementsprechend wurde der bestehende italienische Rechtsrahmen, das italienische Datenschutzgesetz („Codice in materia di protezione dei dati personali“, Gesetzesdekret vom 30. Juni 2003, Nr. 196, im Folgenden „IDSG“), aufgrund der durch die DSGVO eingeführten Änderungen insbesondere im Hinblick auf kollidierende Bestimmungen geändert. Die Gesetzesdekrete zur Aktualisierung der durch die DSGVO vorgenommenen Änderungen, insbesondere das Gesetzesdekret Nr. 101 vom 10. August 2018, haben das IDSG nicht aufgehoben, das nun zusätzlich zu den unmittelbar geltenden Bestimmungen der DSGVO weitere Bestimmungen enthält.

Die Einhaltung der Verordnung wird von der Datenschutzaufsichtsbehörde überwacht, in Italien der „Garante per la Protezione dei Dati Personali“ („Garante“) gemäß Artikel 51 GDPR. Die Garante ist eine unabhängige Verwaltungsbehörde, die durch das sogenannte Datenschutzgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Gesetz Nr. 675 vom 31. Dezember 1996) eingerichtet wurde, das durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, die durch die DSGVO ersetzt wurde, umgesetzt und anschließend durch das oben genannte IDSG geregelt wurde. Darin wurde festgelegt, dass die italienische Datenschutzbehörde die für die Überwachung der Anwendung der DSGVO zuständige Aufsichtsbehörde ist.

II. Allgemeine Grundsätze und Anwendbarkeit
Generell beruhen die Datenschutzgesetze auf Grundsätzen wie (vgl. Art. 5 DSGVO):
• Rechtmäßigkeit, Fairness, Transparenz, Integrität und Vertraulichkeit bei der Verarbeitung (vgl. Rechtmäßigkeit der Verarbeitung unter III.),
• Zweckbindung auf eine verträgliche Datenverwendung im Hinblick auf die Datenerhebung,
• Datenminimierung und Richtigkeit der Daten,
• Speicherbegrenzung insbesondere im Hinblick auf Zeiträume und Zwecke,
• Einwilligung in Kenntnis der Sachlage und Beteiligung der betroffenen Personen,
• Sicherheit zum Schutz vor Verlust, Beschädigung oder unberechtigtem Zugriff und
• Rechenschaftspflicht des für die Verarbeitung Verantwortlichen für die Einhaltung der vorgenannten Grundsätze.

Die sachliche Anwendbarkeit des Datenschutzrechts nach der DSGVO ist anzunehmen, wenn die von einem Verantwortlichen verarbeiteten Daten in irgendeiner Weise mit einer natürlichen Person in Verbindung stehen oder wenn eine solche Verbindung hergestellt werden kann. Die wichtigsten Begriffe sind wie folgt definiert (vgl. Art. 4 DSGVO):
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (vgl. Art. 4 Nr. 1 DSGVO). „Sensible“ oder „besondere personenbezogene Daten“ sind Informationen, die sich auf die ethnische Herkunft, politische, religiöse oder weltanschauliche Überzeugungen, den Gesundheitszustand, das Sexualleben oder die sexuelle Ausrichtung, ausdrücklich genetische oder biometrische Daten und Daten über Minderjährige beziehen. Beispielsweise legt Artikel 2-septies IDSG („Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute“) fest, wie die Garante Schutzmaßnahmen für die Verarbeitung von genetischen, biometrischen und Gesundheitsdaten festlegen soll, die mindestens alle zwei Jahre zu erteilen sind.

Die „Verarbeitung“ von Daten umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, Übermittlung und Vernichtung (vgl. Art. 4 Nr. 2 DSGVO).

„Verantwortlicher“ kann jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

„Elektronische Kommunikationsdienste“ sind in Artikel 121 IDSG definiert („Servizi interessati e definizioni“).

Was den räumlichen Anwendungsbereich betrifft, so gilt die Verordnung für alle Verantwortlichen und Auftragsverarbeiter in der EU, die personenbezogene Daten verarbeiten. Für Verantwortliche und Auftragsverarbeiter außerhalb der EU gilt das Marktortprinzip.
Das IDSG dehnt seinen persönlichen Anwendungsbereich in Bezug auf die Durchsetzung der Rechte der betroffenen Personen (Artikel 15-22 DSGVO) auf verstorbene Personen aus; insbesondere Artikel 2-Terdecies („Diritti riguardanti le persone decedute“) erlaubt es anderen Personen, sogenannten „Vertretern“, die ein entsprechendes Interesse daran haben, die Rechte der betroffenen Personen auszuüben, sofern dies nicht gesetzlich verboten ist, oder im Falle der direkten Bereitstellung von Diensten der Informationsgesellschaft, wenn der Verstorbene einen solchen Wunsch durch eine schriftliche Erklärung geäußert hat.

III. Rechtmäßigkeit der Verarbeitung von Daten
Um Daten zu verarbeiten, müssen Unternehmen die oben genannten Grundsätze erfüllen, auf denen die Datenschutzgesetze beruhen. Zu diesem Zweck sind sie verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, um die Risiken für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung zu ermitteln und zu minimieren; bestimmte Arten von Organisationen müssen außerdem einen Datenschutzbeauftragten („DSB“) ernennen, der für die Einhaltung der Datenschutzgesetze und der internen Richtlinien verantwortlich ist und diese überwacht sowie die entsprechende Garante benachrichtigt/mit ihr kommuniziert (über: https://servizi.gpdp.it/comunicazione-rpd/). Dies gilt auch für die Verarbeitung durch Justizbehörden (Art. 2-sexiesdecies IDSG, “Responsabile della protezione dei dati per i trattamenti effettuati dalle autorita‘ giudiziarie nell’esercizio delle loro funzioni”).

Grundsätzlich sieht die DSGVO den Regelungsgrundsatz des Verbots mit (gesetzlichem) Erlaubnisvorbehalt für die Verarbeitung von personenbezogenen Daten vor. Danach kann ein Unternehmen ausnahmsweise personenbezogene Daten insbesondere auf folgender Rechtsgrundlage verarbeiten (vgl. Art. 6 DSGVO):
• Einwilligung der betroffenen Person, die definiert ist (vgl. Art. 4 (11) DSGVO) als die Zustimmung der Person zur Verarbeitung der sie betreffenden personenbezogenen Daten (sowie Standortdaten und die Verwendung von Cookies), die

• freiwillig erfolgte im Hinblick auf die echte Entscheidungsfreiheit der Person; die Person kann die Einwilligung verweigern oder zurückziehen, ohne dass ihr dadurch Nachteile entstehen;
• spezifisch in Bezug auf die Verwendung der Daten und den Zweck der Verarbeitung ist; eine „pauschale Einwilligung“ wäre unwirksam, eine zu abstrakte Beschreibung ungültig;
• informiert ist: Die betroffene Person muss über den Umfang der erteilten Einwilligung, das Unternehmen und die Art der zu verarbeitenden Daten informiert werden.
• unzweideutig ist: Es muss sich um eine eindeutige bestätigende Handlung in einer verständlichen und leicht zugänglichen Form in einfacher Sprache handeln; es besteht kein strenges Schriftformerfordernis, aber bloßes Schweigen oder Untätigkeit gelten nicht als Einwilligung.

Ergänzend kann gemäß Artikel 2quinquies (1) IDSG („Consenso del minore in relazione ai servizi della società dell’informazione“) ein Kind unter 14 Jahren in die Verarbeitung von Daten durch Dienste der Informationsgesellschaft einwilligen.

Im Falle von wissenschaftlicher und medizinischer Forschung können besondere Datenkategorien ohne Einwilligung verwendet werden, vgl. Artikel 110 IDSG.
• Erforderlichkeit für die Wahrnehmung einer Aufgabe, die im erheblichen öffentlichen Interesse (vgl. Art. 9(2)(g) DSGVO oder in Ausübung öffentlicher Gewalt des Unternehmens; dieses erhebliche öffentliche Interesse ist in Artikel 2-sexies(2)(a-z) IDSG („Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante“) näher beschrieben, einschließlich z.B. dem Zugang zu Verwaltungsdokumenten und Staatsbürgerschaftsrechten.

• Gesetzliche Verpflichtung (Gesetzgebung); z.B. die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten ist in Artikel 2 IDSG festgelegt und diese dürfen nur verarbeitet werden, wenn dies gesetzlich erlaubt ist.

• Vertragliche Verpflichtung des Unternehmens und der betroffenen Person, wenn und soweit die Verarbeitung für die Begründung, Durchführung oder Beendigung eines Vertrags erforderlich ist.

• Abwägung der berechtigten Interessen: Überwiegen die Interessen oder grundlegenden Rechte und Freiheiten der Person/des Betroffenen die Interessen des für die Verarbeitung Verantwortlichen/des Unternehmens/des Dritten, so kann die Verarbeitung nicht auf der Grundlage des berechtigten Interesses des Unternehmens erfolgen; besonders hohe Anforderungen sind an die berechtigten Interessen zu stellen, wenn Kinder betroffen sind (vgl. Art. 6 (f) DSGVO am Ende).

IV. Besondere Bestimmungen

Bei der Verarbeitung personenbezogener Daten sind auch die folgenden Vorschriften zu berücksichtigen.

Für geografisch grenzüberschreitende Übermittlungen personenbezogener Daten in ein Drittland (d.h. außerhalb des Europäischen Wirtschaftsraums) sieht das geltende Recht Beschränkungen vor, die vorschreiben, dass in dem Land, in das die Daten übermittelt werden, ein ähnlich angemessener Standard für den Schutz der Privatsphäre bestehen muss wie nach geltendem Recht. Andernfalls sind Übermittlungen auf der Grundlage einer Einwilligung oder einer vertraglichen Vereinbarung, der sogenannten „Standardvertragsklausel“, möglich. Um die Angemessenheit des Datenschutzniveaus eines Drittlandes oder einer internationalen Organisation festzustellen, ist die Europäische Kommission befugt, einen sogenannten Angemessenheitsbeschluss mit Wirkung für die gesamte Union zu erlassen.
Darüber hinaus sind die Anforderungen an die Aufbewahrung von Daten zu beachten: Die Daten müssen so kurz wie möglich gespeichert werden, um die Verarbeitung auf ein Minimum zu beschränken. Artikel 99 IDSG erlaubt die Verarbeitung personenbezogener Daten auch nach Ablauf der normalen Frist oder der Beendigung im Falle von wissenschaftlichen Zwecken oder der Archivierung im öffentlichen Interesse, während Artikel 106 IDSG eine entsprechende Anleitung der Garante verlangt. Für die wissenschaftliche und statistische Forschung finden sich weitere Sonderbestimmungen in Artikel 110-bis IDSG. In Bezug auf Artikel 111 IDSG fordert die Garante die Annahme von ethischen Regeln im Zusammenhang mit der Beschäftigung.

Für Direktmarketing per E-Mail/Nachrichten müssen die Personen die Möglichkeit herlaten, dem Empfang von Direktmarketing zuzustimmen, oder sie müssen bereits Kunde des betreffenden Unternehmens und seiner Produkte sein. Die betroffenen Personen müssen das Recht haben, dieser Form des Marketings zu widersprechen und sich jederzeit abmelden zu können.

Im Falle einer Datenschutzverletzung, d.h. des Zugriffs auf Daten durch eine nicht autorisierte Partei (durch Hacking eines Cybersicherheitssystems, Fahrlässigkeit oder eine Systemstörung), ist das Unternehmen rechtlich verantwortlich für alle Daten, für die es verantwortlich ist. Wenn personenbezogene Daten von Einzelpersonen in der EU von einer Datenschutzverletzung betroffen sind, muss die für die Daten verantwortliche Partei nach der DSGVO die Aufsichtsbehörde in der EU unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden der Sicherheitsverletzung benachrichtigen (vgl. Artikel 33 DSGVO).

Die Verwendung von Cookies hängt zunächst von der Art des Cookies ab: technisch oder profilbildend. Für letztere müssen die betroffenen Personen in Italien ihre vorherige Einwilligung erteilen, z.B. durch einen Datenschutzhinweis auf der Website. Für technische Cookies gelten geringere Anforderungen, aber die betroffene Person muss darüber informiert werden, z.B. über die allgemeinen Datenschutzbestimmungen der Website. Besondere Rechte in Bezug auf die Information im Falle der Übermittlung von Lebensläufen oder Direktbewerbungen finden sich in Artikel 111-bis IDSG: Danach sollten die Anforderungen von Artikel 13 DSGVO zum Zeitpunkt des ersten Kontakts erfüllt sein. Die Einwilligung zur Verarbeitung der Daten des Lebenslaufs ist unter den Bedingungen von Artikel 6 Absatz 1 Buchstabe b) DSGVO nicht erforderlich.

Die Strafen für rechtswidriges Verhalten finden sich in:
• Artikel 167, 167-bis, 167-ter und 168 IDSG, wonach Verstöße mit einer Gefängnisstrafe geahndet werden können für: Rechtswidrige Verarbeitung, Weitergabe, Verbreitung, betrügerische Erhebung personenbezogener Daten, falsche Angaben oder Behinderung in Bezug auf die Garante;
• Artikel 170 IDSG für Sanktionen im Zusammenhang mit der Missachtung von Maßnahmen der Garante gemäß Artikel 58 (2) (f) DSGVO, 2-septies (1) IDSG oder Artikel 21 (1) des Gesetzesdekrets zur Umsetzung von Artikel 13 des Gesetzes Nr. 163 vom 25. Oktober 2017;
• Artikel 171 IDSG für Sanktionen im Bereich der Beschäftigung (Artikel 4 und 8 des italienischen Arbeiterstatuts);
• Artikel 172 IDSG, wonach die Verurteilung wegen einer der oben genannten Straftaten die Veröffentlichung des entsprechenden Urteils zur Folge hat.

V. Rechte der betroffenen Personen
Die Betroffenen haben mehrere Rechte in Bezug auf ihre Daten, insbesondere Transparenz, Information und Zugang gemäß Artikel 12 ff. DSGVO.

Danach haben Betroffene das Recht, über die Herkunft der Daten, die Zwecke der Verarbeitung und die Kategorien der verarbeiteten Daten, die Empfänger, die geplante Speicherdauer und darüber, ob die Daten für eine automatisierte Entscheidungsfindung oder ein Profiling verwendet werden, informiert zu werden. Darüber hinaus werden sie über ihre Rechte auf Berichtigung und Widerspruch informiert, ihre Berichtigung, Aktualisierung und Löschung („Recht auf Vergessenwerden“) zu verlangen, wenn die Daten unvollständig, fehlerhaft oder unter Verstoß gegen das Gesetz erhoben wurden, sowie ihre Verarbeitung aus berechtigten Gründen einzuschränken und Widerspruch gegen die ursprüngliche Anfrage einzulegen und eine Beschwerde bei der Garante einzureichen.
In jedem Fall einer Übermittlung an Drittländer oder internationale Organisationen haben sie das Recht, über die geeigneten Garantien informiert zu werden, vgl. Art. 46 DSGVO.

Das IDSG schränkt die Rechte der betroffenen Personen in den folgenden Fällen ein:
• Gemäß Artikel 2-Undercies („Limitazioni ai diritti dell’interessato“) bei Geldwäsche, Unterstützung von Opfern von Erpressungsansprüchen, Tätigkeiten von parlamentarischen Untersuchungskommissionen, Tätigkeiten einer öffentlichen Einrichtung, Durchführung von Ermittlungen zur Verteidigung oder Ausübung eines Rechts vor Gericht, Whistleblowing, Ausübung der Rechte von betroffenen Personen verstorbener Personen;
• Gemäß Artikel 138 in Bezug auf die personenbezogenen Daten von journalistischen Quellen.

Der für die Verarbeitung Verantwortliche auf der anderen Seite hat das Recht, einem Löschungsantrag unter bestimmten Umständen nicht stattzugeben. Solche Umstände sind z.B. die Ausübung des Rechts auf freie Meinungsäußerung und Information, eine Leistung im öffentlichen Interesse oder für bestimmte Zwecke (Archivierung, Statistik, Wissenschaft oder Geschichte), die Erfüllung einer rechtlichen Verpflichtung oder die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen.

VI. Schlussfolgerung
Während die Rechtsvorschriften zum Datenschutz und zum Schutz der Privatsphäre – zumindest in der EU – größtenteils durch die Bestimmungen der DSGVO geprägt sind, lassen sich Nuancen und Unterschiede im Hinblick auf unterschiedliche Durchsetzungs- und Marktüberwachungsinfrastrukturen sowie kulturelle Normen feststellen.

Im Allgemeinen wirkt sich die Gesetzgebung vor allem in folgender Hinsicht aus:
• Beschränkungen der Geschäftstätigkeit, die die Möglichkeiten von Unternehmen einschränken, frei zu agieren;
• Verschlechterung der Benutzerfreundlichkeit oder der Benutzererfahrung;
• Kosten für die Umsetzung, aber auch für Rechtsstreitigkeiten oder Strafen/Bußgelder bei Nichtumsetzung/Unterlassung/Übertretung/Verstößen durch die Aufsichtsbehörden sowie
• Risiken der Verweigerung der Geschäftstätigkeit in Ländern, in denen kein Angemessenheitsbeschluss der Europäischen Kommission ergangen ist.