Datenschutzrechte
Die Rechte zum Schutz personenbezogener Daten sind in Artikel 8 der Charta der Grundrechte der Europäischen Union festgehalten. Eine rechtmäßige, faire und transparente Datenverarbeitung soll hiermit sichergestellt werden. Betroffene können mit dem Artikel 8 das Recht auf Zugriff, Berichtigung, Löschung und Widerspruch hinsichtlich ihrer personenbezogenen Daten geltend machen. Durch das Recht auf Datenzugriff sind die spanischen Finanzbehörden dazu verpflichtet, die Herkunft, Verwendung und Übermittlung personenbezogener elektronischer Daten offenzulegen. Das Recht auf Zugriff wird zudem durch den Artikel 15 der EU-Richtlinie 95/46/EC, der allgemeinen Datenschutz-Grundverordnung, bestätigt, die am 25. Mai 2018 in Kraft trat.
Das Spanische Verfassungsgericht hat Kriterien festgelegt, gemäß denen die spanischen Finanzbehörden die Bürger über erfasste personenbezogene Daten informieren müssen. Auf Anfrage eines Betroffenen muss die Finanzbehörde diesen über Herkunft und Zweck der Verarbeitung aller erfassten und behandelten Daten, Daten, die durch Profiling oder automatisierte Prozesse erfasst wurden, zukünftige Verwendung und die Dauer der Speicherung informieren. Sollte ein Antrag auf Dateneinsicht gestellt werden, hat der Datenverantwortliche einen Monat Zeit, die gewünschten Informationen bereitzustellen. Die spanischen Finanzbehörden müssen sicherstellen, dass die Daten stets verfügbar, präzise und transparent sind.
Elektronische Speicherung personenbezogener elektronischer Daten in Spanien
Die Speicherung personenbezogener Daten wirft hinsichtlich der Dauer und dem Speicherort Bedenken auf. Fraglich ist auch, ob Verwaltungsangestellte personenbezogene Daten untereinander weitergeben dürfen. Die Dauer der Speicherung hängt vom Zweck und der Verwendung der Daten ab. Sobald Informationen nicht mehr benötigt werden, müssen diese gelöscht werden. In der Begründung der DSGVO ist vorgesehen, dass die Speicherzeit auf ein Minimum begrenzt werden soll.
Umfang der personenbezogenen Daten
Das Recht auf Zugriff bezieht sich auf „personenbezogene Daten“, doch dieser Begriff kann sehr weit ausgelegt werden und umfasst all jene Informationen, die zur Identifizierung einer Person dienen. Die Auslegung des Begriffes ist somit flexibel, kann gleichzeitig jedoch doppeldeutig sein. Beispielsweise ist es unklar, wann eine Finanzbehörde den Zugriff verweigern kann. Am Spanischen Obersten Gerichtshof wurde ein Fall zum Umfang personenbezogener Daten verhandelt (Verwaltungsbeschwerde Nr. 5672/2005), bei dem der Antragssteller umfassende Informationen von der Finanzbehörde forderte. Das Gericht ordnete an, dass die Finanzbehörde dem Antragssteller alle angeforderten Informationen zur Verfügung stellen sollte, einzige Ausnahme war die Identität des Angestellten, der die Daten des Betroffenen verwaltete.
Abschreckung
Es mangelt jedoch an ausreichender Abschreckung für Finanzbehörden, die gegen diese Gesetze verstoßen. Wenn eine Finanzbehörde in der Praxis gegen die Datenschutzvorschriften verstößt, erlaubt die Datenschutzbehörde dieser Institution im Normalfall, den Verstoß ohne Strafe zu beheben. Eine Möglichkeit, die Abschreckung zu verbessern, wäre die Einführung eines Entschädigungssystems.
Es bestehen Unsicherheiten bezüglich der Verarbeitung personenbezogener elektronischer Daten in Spanien durch die spanischen Finanzbehörden, es wurden jedoch Sicherheitsmaßnahmen zum Schutz persönlicher Daten ergriffen.
Víctor Sáez