Datenschutz in der EU: Einblick in spanisches Datenschutzrecht

Spätestens mit dem Inkrafttreten der Datenschutz-Grundverordnung im Jahr 2016 bestehen ein vereinheitlichtes Datenschutzrecht und gleiche Datenschutzstandards in der ganzen Europäischen Union. Dennoch ist es sinnvoll, einen Blick auf die Rechtstraditionen und nationalen Gesetze der Mitgliedstaaten zu werfen, um die jeweiligen Datenschutzgesetzgebungen besser zu verstehen. Im Folgenden wollen wir uns mit dem spanischen Datenschutzrecht beschäftigen.

Geschichte des Datenschutzes in Spanien

Nach dem Tod des Diktators Francisco Franco im Jahr 1975 wurde das Gesetz zur politischen Reform am 18. November 1976 vom spanischen Parlament verabschiedet, welches ausgehend von der franquistischen Gesetzgebung einen Demokratisierungsprozess im spanischen Staat ermöglichen sollte, der in der spanischen Verfassung von 1978 (im Folgenden „CE“) gipfelte. Diese sollte dem spanischen Staat eine demokratische Gestalt geben und sieht in ihrem Art. 18 das Recht auf Privatsphäre und auf das eigene Bild vor. Art. 18 Abs. 4 CE legt zudem fest, dass das Gesetz den Einsatz der Informatik einschränken wird, um das Recht auf Privatsphäre, die Ehre und die Grundrechte und Freiheiten der Bürger zu schützen. Damit war die spanische Verfassung wegweisend und erkannte das Recht auf Datenschutz an.

Im Jahr 1992 wurde das erste Gesetz zum Schutz personenbezogener Daten (Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal) verabschiedet, welches das in Art. 18 Abs. 4 CE verankerte Grundrecht auf Datenschutz regeln und mit Leben füllen sollte. Der Anwendungsbereich beschränkte sich allerdings nur auf personenbezogene Daten, die auf automatisierten Datenträgern verarbeitet werden. Um die EU-Datenschutzrichtlinie 95/46/EG ins spanische Recht umzusetzen, wurde ein neues Datenschutzgesetz (Ley Orgánica 15/1999 de 13 de diciembre) verabschiedet, welches das vorherige Gesetz außer Kraft setzte.

Das neue Datenschutzgesetz galt sowohl für die automatisierte als auch für die nichtautomatisierte Verarbeitung personenbezogener Daten und unterschied sich von seinem Gesetzesvorgänger in mehreren Punkten: Ein neues Widerspruchsrecht wird eingeführt; die Figur des Auftragsverarbeiters (encargado del fichero) wird geschaffen; neue Rechtsgrundlagen für die Datenverarbeitung werden eingeführt und Datenverarbeitungen sind zu historischen, statistischen oder wissenschaftlichen Zwecken unter gewissen Umständen zulässig.

Rechtsprechung zum Recht auf Privatsphäre

Eine grundlegende Rolle bei der Konkretisierung und Ausgestaltung des Rechts auf Privatsphäre und auf Datenschutz spielte das spanische Verfassungsgericht (Tribunal Constitucional), welches in seinem Urteil 94/1998 vom 4. Mai erklärte, dass Art. 18 Abs. 4 CE ein Grundrecht auf Datenschutz anerkennt, durch das der Einzelperson die Kontrolle über die Verwendung und das Schicksal ihrer Daten ermöglicht wird, um einen Missbrauch der Daten zu verhindern und die Grundrechte und Freiheiten der Personen zu schützen. In seinem Urteil 292/2000 vom 30. November betrachtete das spanische Verfassungsgericht es als ein eigenständiges Grundrecht jeder Person, das die Person befugt, zu entscheiden und zu kontrollieren, ob und wie betreffende personenbezogene Daten verarbeitet werden. In diesem Urteil konkretisierte das spanische Verfassungsgericht den sachlichen Anwendungsbereich dieses Rechts und erklärte, dass darunter alle Daten fallen, mit denen eine Person direkt oder indirekt identifiziert werden kann.

Die DSGVO und die LOPD

Die Enthüllungen des ehemaligen US-Geheimdienstmitarbeiters Edward Snowden über die weltweite Überwachung des Internets durch amerikanische Geheimdienste trugen maßgeblich zur Einführung der Datenschutz-Grundverordnung bei, die am 27. April 2016 in Kraft trat und am 25. Mai 2018 in der ganzen Europäischen Union unmittelbar zur Anwendung kam. Infolgedessen wurde das neue spanische Gesetz zum Schutz personenbezogener Daten am 6. Dezember 2018 verabschiedet (Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales; im Folgenden die „LOPD“), welches die spanische Gesetzgebung an die DSGVO anpasste und das alte Datenschutzgesetz von 1999 außer Kraft setzte.

Das spanische Datenschutzgesetz enthält eine Präambel, 10 Titel, 97 Paragrafen und zahlreiche ergänzende Regelungen. Das Gesetz hat folgende Struktur:

• Titel I: Allgemeine Bestimmungen
• Titel II: Grundsätze des Datenschutzrechts
• Titel III: Betroffenenrechte
• Titel IV: Vorschriften für bestimmte Datenverarbeitungen
• Titel V: Verantwortlicher und Auftragsverarbeiter
• Titel VI: Datenübermittlungen in Drittländer
• Titel VII: Aufsichtsbehörden
• Titel VIII: Verfahren bei möglichen Datenschutzverstößen
• Titel IX: Sanktionen
• Titel X: Digitale Rechte

Im Folgenden werfen wir einen Blick auf einige einzigartige Aspekte des Gesetzes.

Personenbezogene Daten Verstorbener

Der Erwägungsgrund 27 der DSGVO besagt, dass die Grundverordnung nicht für die personenbezogenen Daten Verstorbener gilt, aber lässt die Tür für eine Regelung durch die Mitgliedstaaten offen. Die LOPD macht von dieser Öffnungsklausel Gebrauch und sieht in ihrem Artikel 3 mehrere Fälle vor, in denen sich Familienmitglieder, Erben und die nichteheliche Lebenspartnerschaft eines Verstorbenen an den Verantwortlichen wenden und Auskunft, Berichtigung oder Löschung der Daten des Verstorbenen verlangen können. Ausnahmsweise haben die vorgenannten Personen aber kein solches Recht, wenn der Verstorbene dies ausdrücklich untersagt hat.

Art. 3 Abs. 2 LOPD sieht auch vor, dass der Verstorbene eine Person benennt, die nach seinen Weisungen die Verwaltung seiner personenbezogenen übernimmt. Wenn der Verstorbene diesbezüglich nichts vorgesehen hat, dann können die nach Art. 3 LOPD Berechtigten auch darüber entscheiden, ob die Netzwerkprofile des Verstorbenen beibehalten oder gelöscht werden sollen.

Einwilligung von Minderjährigen

Gemäß Art. 7 LOPD kann die Einwilligung eines Minderjährigen nur dann wirksam sein, wenn er oder sie über 14 Jahre alt ist. Wenn die minderjährige Person unter 14 Jahre alt ist, muss die Einwilligung der Erziehungsberechtigten eingeholt werden, damit die Datenverarbeitung rechtmäßig ist. Dies stellt eine Abweichung von Art. 8 Abs. 1 S. 2 DSGVO dar, der die Altersgrenze für eine wirksame Einwilligung nicht auf das 14., sondern auf das 16. Lebensjahr festlegt.

Benennungspflicht eines Datenschutzbeauftragten

Im Unterschied zum deutschen Bundesdatenschutzgesetz knüpft die LOPD nicht an die Anzahl der Mitarbeitenden an, sondern enthält im Artikel 34 eine Liste von 16 Einrichtungen, für die eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht: Dazu zählen unter anderem Berufsverbände, Bildungseinrichtungen, Finanzinstitute, Versicherungsunternehmen oder Gesundheitszentren. Wenn der Verantwortliche einen Datenschutzbeauftragten freiwillig ernennt, dann wird dies gemäß Art. 76 Abs. 2 lit. g LOPD als mildernder Umstand berücksichtigt.

Eine Hauptaufsichtsbehörde mit Sitz in Madrid

Auf den ersten Blick ist Spanien ähnlich wie Deutschland organisiert: Der spanische Staat ist in 17 Regionen (Comunidades Autónomas) aufgeteilt, die eine eigene Landesverfassung haben und in zwei Gruppen je nach Autonomiestatus unterschieden werden können. Wenn auch mit der Ankunft der Demokratie und der spanischen Verfassung vom Jahr 1978 eine gewisse Dezentralisierung im spanischen Staat stattgefunden hat, sind dennoch weiterhin starke zentralistische Züge in vielen Bereichen zu erkennen. Paradebeispiel hierfür ist die Dirección General de la Marina Mercante (Generaldirektorat der Handelsmarine), die für die allgemeine Verwaltung der Seeschifffahrt und der spanischen Zivilflotte zuständig ist und ihren Sitz bemerkenswerterweise in einer Stadt ohne Meer, Madrid, hat.

Von diesem zentralistischen Gedankengut geprägt, regeln die Art. 44 ff. LOPD die Kompetenzen der Datenschutz-Aufsichtsbehörden im spanischen Staat. Im klaren Gegensatz zu Deutschland ist eine einzige Hauptaufsichtsbehörde der Zentralregierung für Fragen des Datenschutzes zuständig, die sogenannte Agencia Española de Protección de Datos, deren Sitz sich in der Hauptstadt befindet. Die AEPD ist die Hauptaufsichtsbehörde und überwacht bei den nichtöffentlichen Stellen sowie den öffentlichen Stellen die Anwendung der Vorschriften über den Datenschutz. Neben der AEPD haben allerdings mehrere Comunidades Autonónomas eigene Datenschutz-Aufsichtsbehörden geschaffen, die bei den öffentlichen Stellen auf Landesebene die Einhaltung des Datenschutzes kontrollieren. Dies ist der Fall von Katalonien mit seiner Autoritat Catalana de Protecció de Dades und von Baskenland mit seiner Datuak Babesteko Euskal Agintaritza.

Die AEPD ist besonders aktiv

Die LOPD unterteilt Verstöße gegen den Datenschutz in sehr schwerwiegende Verstöße, schwerwiegende Verstöße und geringfügige Verstöße, für die unterschiedliche Verjährungsfristen vorgesehen sind. Aus dem Jahresbericht 2023 der AEPD geht hervor, dass die AEPD im Jahr 2023 insgesamt 367 Bußgelder für einen Gesamtbetrag in Höhe von knapp 30 Mio. € verhängte. Im Unterschied zu den deutschen Aufsichtsbehörden veröffentlicht die AEPD regelmäßig die Entscheidungen über verhängte Bußgelder, wodurch der Eindruck entsteht, dass die AEPD im internationalen Vergleich besonders aktiv ist. Allerdings ermöglicht die föderale Organisation in Deutschland, über weitaus mehr menschliche und materielle Ressourcen zu verfügen, da insgesamt 17 Datenschutz-Aufsichtsbehörden tätig sind. Mehr Informationen über die Problematik der Bußgelder finden Sie in unserem Blogbeitrag „Die verborgenen deutschen Bußgelder“.