Lettland bereitet sich auf die DSGVO vor

Das Parlament Lettlands verabschiedet in der ersten Lesung das Gesetz zur Verarbeitung von Personendaten.

Am 12. April 2018 hat das Parlament Lettlands in erster Lesung das Gesetz zur Verarbeitung von Personendaten verabschiedet. Die zweite – und die letzte – Lesung soll in den kommenden Wochen stattfinden.

Hiermit ergreift das Parlament die notwendigen Schritte zur Umsetzung der durch die Datenschutzgrundverordnung (DSGVO) eingeführten neuen gesetzlichen Rahmenbedingungen. Ab dem 25. Mai 2018 wird das derzeitige Datenschutzsystem in Lettland – ebenso wie in der restlichen EU – durch die unmittelbar geltenden Regeln der DSGVO abgelöst. Dennoch lässt die DSGVO Raum für bestimmte Regeln auf Ebene des Mitgliedstaates, wie z. B. die Zusammensetzung, Funktion und Ermittlungsbefugnis der jeweiligen Datenschutzbehörde, die Qualifikation und Befugnisse des Datenschutzbeauftragten (DSB) oder die Altersgrenze von Kindern für die Zustimmung zu Web-Inhalten. Ferner ist es den jeweiligen Parlamenten vorbehalten, über zusätzliche Voraussetzungen zur Verarbeitung von sensiblen Personendaten zu entscheiden, über die Verarbeitung solcher Daten bei Beschäftigungsverhältnissen oder über weitergehende Sanktionen bei Verletzung von Datenschutzregeln.

Die derzeitige vom lettischen Parlament verabschiedete Fassung des Gesetzes zur Verarbeitung von Personendaten macht von diesen Möglichkeiten verschärfter Regulierung bestimmter Datenschutzbereiche keinen Gebrauch; sie beinhaltet auch keine sonstigen zusätzlichen Einschränkungen oder Sanktionen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten. An den Stellen, wo die DSGVO den Mitgliedstaaten Entscheidungsbefugnis über die Härte der jeweiligen Gesetzesvorschriften einräumt, hat der Gesetzgeber in Lettland tendenziell geringe Einschränkungen gewählt (z. B. in Bezug auf die Altersgrenze der Kinder, ab der sie ihre Zustimmung zur Datenverarbeitung erteilen können).

Das Gesetz sieht auch Regelungen vor, die möglicherweise gegen die DSGVO verstoßen. Zum Beispiel regelt das Gesetz, dass die Verantwortlichen und Auftragsverarbeiter bei der Benennung eines DSB berechtigt wären, nicht nur einen bei der Datenschutzbehörde eingetragenen DSB zu wählen, sondern auch eine „andere Person“. Die auf eine solche „andere Person“ anwendbaren Kriterien – im Gegensatz zum DSB – sind allerdings nirgendwo definiert. Dies wirft die Frage auf, ob diese Regelung mit der DSGVO im Einklang steht, nach der ein DSB entsprechende professionelle Erfahrung und Fachkompetenzen nachweisen muss.

Quelle: Gesetz zur Verarbeitung von Personendaten

Newsletter abonnieren

Wenn Sie den Newsletter abonnieren, stimmen Sie zugleich unseren Datenschutzbedingungen zu.