Was sind die Besonderheiten des Datenschutzrechts in Portugal? Dieser Artikel gibt einen Überblick über die Eigenheiten des Datenschutzrechts in Portugal, insbesondere in Bezug auf die europäische Datenschutzgrundverordnung (DSGVO).

Datenschutzrecht in Portugal

Was ist die DSGVO?

Die Datenschutzgrundverordnung (Verordnung (EU) 2016/679) (DSGVO) ist ein europäisches Gesetz und trat im Jahr 2016 in Kraft. Die DSGVO ist eine Verordnung und gilt allgemein und unmittelbar für alle Mitgliedstaaten der EU (gemäß Artikel 288 (2) AEUV). Im Gegensatz zu den Richtlinien hat die DSGVO Wirkungen auf alle Mitgliedstaaten, ohne dass eine Umsetzung in nationales Recht erforderlich ist. Sie gilt seit dem 25. Mai 2018 für alle Mitgliedstaaten der EU.

Die DSGVO sorgt für Harmonisierung und gleiche Standards des Datenschutzrechts zwischen den Mitgliedstaaten. Sie ermöglicht zudem, dass diese von bestimmten Regelungen der DSGVO durch die Öffnungsklauseln abweichen können. Dadurch haben die Mitgliedstaaten der EU eigene Regelungsspielräume und die Möglichkeit, die DSGVO durch die Anpassung und die Modifikation der Vorschriften zu dem eigenen nationalem Recht zu konkretisieren.

Der räumliche Anwendungsbereich der DSGVO ist in Artikel 3 DSGVO geregelt und hat nicht nur territoriale, sondern auch extraterritoriale Auswirkungen. Die DSGVO sorgt für einheitliche Regelungen zwischen Unternehmen, die sich inner- und außerhalb Europas befinden. Beispielsweise greift die DSGVO auch für Waren oder Dienstleistungen ein, die in der EU angeboten werden, wenn das Unternehmen außerhalb Europas sitzt. Erforderlich ist, dass das Angebot „offensichtlich beabsichtigt ist“, es reicht z B. nicht aus, dass die Webseite einer Firma eine bestimmte Sprache verwendet. Weiterhin ist die DSGVO auch bei der zielgerichteten Beobachtung des Verhaltens der betroffenen Person in der EU, durch eine niedergelassene Verantwortliche oder Auftragsverarbeiter, die nicht in der EU ansässig ist anwendbar. Zum Beispiel die Überwachung der Internetaktivitäten bei der Verwendung von Cookies, Browser- Fingerprinting, Social Plug-Ins, bei Profiling u.a. Ferner erstreckt sich die Anwendbarkeit der DSGVO auf die Niederlassungen, die aufgrund völkerrechtlicher Bestimmungen dem Recht eines EU-Mitgliedsstaates unterliegen, wie z.B. Konsulate oder diplomatische Vertretungen, Schiffe, Flugzeuge, Datenverarbeitung durch die Diplomaten u.a.

Datenschutzrecht in Portugal

Die Verarbeitung personenbezogener Daten in Portugal unterliegt der DSGVO und ist durch das Ausführungsgesetz Nr. 58/2019 vom 8. August 2019 konkretisiert. Weiterhin regelt Artikel 35 der portugiesischen Verfassung die Informationenverwendung sowie das Recht auf Zugang, Berichtigung und Aktualisierung der personenbezogenen Daten und das Recht auf Kenntnisnahme der Zweckbestimmung der Datenverarbeitung.

Die nationalen Gesetze der Mitgliedstaaten dürfen der DSGVO nicht entgegenstehen und ihre Anwendung nicht verhindern. Der Datenverkehr ist frei und soll geschützt werden (gemäß Artikel 16 (2) AEUV).

Als das Ausführungsgesetz Nr. 58/2019 im Widerspruch zu der DSGVO stand, hat die portugiesische Aufsichtsbehörde Comissão Nacional de Protecção de Dados - CNPD durch die Erlassung der Entscheidung Nr. 494/2019 vom 3. September 2019 die Nicht-Anwendung von bestimmten Bestimmungen des Ausführungsgesetz Nr. 58/2019 angeordnet, um den Anwendungsvorrang der DSGVO zu respektieren.

Die folgenden Vorschriften werden wegen des Widerspruchs zur DSGVO nicht angewendet:

  • Artikel 2 (1) und (2): Geltungsbereich des Gesetzes;
  • Artikel 20 (1): Geheimhaltungspflicht;
  • Artikel 23: Verarbeitung personenbezogener Daten durch öffentliche Einrichtungen für verschiedene Zwecke;
  • Artikel 28 (3) (a): Zustimmung des Arbeitnehmers in einem Beschäftigungskontext;
  • Artikel 37 (1) (a) (h) (k) und (2): Vergehen und anwendbare Sanktionen;
  • Artikel 38 (1) (b) und (2): Vergehen und anwendbare Sanktionen;
  • Artikel 39 (1) und (3): Vergehen und geltende Sanktionen;
  • Artikel 61 (2): Zusammenhang zwischen Ablauf der Zustimmung und Beendigung des Vertrags (für bestehende Verträge);
  • Artikel 62 (2): Widerruf von Bestimmungen, die eine vorherige Genehmigung oder Benachrichtigung der CNPD mit Wirkung ab dem Datum des Inkrafttretens der DSGVO erfordern.

Darüber hinaus enthält das Gesetz Nr. 59/2019 vom 8. August Bestimmungen zur Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von Straftaten sowie zum Zwecke der Vollstreckung strafrechtlicher Sanktionen zur Umsetzung der EU-Richtlinie 2016/680 des Europäischen Parlaments und der Rat vom 27. April 2016.

Relevante Datenschutzbestimmungen im Zusammenhang mit elektronischer Kommunikation finden sich auch im Gesetz 41/2004 vom 18. August (Gesetz über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation in der Fassung des Gesetzes 46/2012 von 29. August 2012 und gemäß Richtlinie 2002/58 / EG erlassen (mit nachfolgenden Änderungen aus Artikel 2 der Richtlinie 2009/136 / EG) sowie in der Verordnung der Kommission (EU) Nr. 611/2013 vom 24.Juni 2013 über die Maßnahmen zur Meldung des Verstoßes gegen personenbezogene Daten gemäß Richtlinie 2002/58 / EG des Europäischen Parlaments und des Rates über Datenschutz und Privatsphäre elektronische Kommunikation. Zudem sind auch das Gesetz 32/2008 (das die Richtlinie zur Vorratsdatenspeicherung zur Erhaltung elektronischer Kommunikationsdaten umgesetzt hat) und das Gesetz 5/2004 über die Schaffung einer Datenbank von Abonnenten, die Schuldner elektronischer Kommunikationsdienste sind, relevant.

Ferner ist das Gesetz 34/2013 über die Nutzung von Videoüberwachungssystemen durch private Sicherheits- und Selbstschutzdienste (geändert durch die Verordnung 273/2013) sowie das Gesetz 1/2005 über die Videoüberwachung durch Sicherheitskräfte an öffentlichen Orten der gemeinsamen Nutzung besonders wichtig.

Im Rahmen des Gesundheitswesens ist das Gesetz 12/2005 über die persönliche genetische Gesundheitsinformationen bedeutsam.

Strafrechtlich relevant ist das Gesetz 109/2009 über die Cyberkriminalität.


Quellen

geschrieben von Ani Karini Muniz Schiebert (Humboldt Law Clinic Internetrecht, Berlin)
am
veröffentlicht unter: Creative Commons Namensnennung 4.0 International Lizenz

Titelfoto angepasst nach: „Portugal Flag Wind“ von b1-foto (Pixabay-Lizenz)