DSGVO-Verhaltensregeln in Italien: Code-of-Conduct zur Bonitätsauskunft von Betroffenen

[IITR – 20.05.21] Kurz vor dem dritten Geburtstag der DSGVO hat man in Italien als erstem Mitgliedstaat der Europäischen Union ein Aufstellungsverfahren von Verhaltensregeln im Sinne des Art. 40 DSGVO abgeschlossen. Der neue Regelungstext, der am Tag nach Veröffentlichung im offiziellen Gesetzesblatt in Kraft tritt, schließt das Aufstellungsverfahren, das am 12. Juni 2019 begonnen hat, mit der Akkreditierung einer Kontrollinstanz ab, so die italienische Datenschutzbehörde in einer Pressemitteilung am 17. Mai 2021 aus Rom.

Die Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (A.N.C.I.C.) als Vereinigung einzelner Wirtschaftsunternehmen aus dem Bonitäts-Analysebereich hat mit juristischer Unterstützung der Rechtsanwaltskanzlei Panetta & Associati diese Verhaltensregeln für seine Mitgliedsunternehmen ausgearbeitet.

Gegenstand der Verhaltensregeln: Unternehmen im Bereich der Bonitätsanalyse

Ziel des neuen „Codice di condotta“ ist es, Rechtssicherheit für italienische Unternehmen, die in der Bonitätsanalyse tätig sind, zu schaffen:

Ins Deutsche übersetzt besagt die Präambel: „In den vorliegenden Verhaltensregeln sind angemessene Sicherheiten und Durchführungsbestimmungen in Bezug auf die Verarbeitung personenbezogener Daten zum Schutz von Betroffenenrechten festgelegt, die im Rahmen der Ausübung der Verarbeitung von geschäftlichen Informationen beachtet werden müssen, um einerseits für Klarheit und Transparenz in Geschäftsbeziehungen, sowie für angemessene Kenntnisse und Verbreitung solcher Informationen, und andererseits, für die Qualität, die Bedeutung, die Richtigkeit und die Aktualität der verarbeiteten personenbezogenen Daten zu garantieren.“)

Im Original: „nel presente Codice di condotta sono individuate le garanzie e le modalità adeguate di trattamento dei dati personali, a tutela dei diritti degli interessati, che dovranno essere rispettate in connessione all’esecuzione e alla realizzazione delle finalità di informazione commerciale per garantire, da un lato, la certezza e la trasparenza nei rapporti commerciali, nonché l’adeguata conoscenza e circolazione delle informazioni commerciali ed economiche e, dall’altro lato, la qualità, la pertinenza, l’esattezza e l’aggiornamento dei dati personali trattati.“

„Informazione commerciale“, geschäftliche Information, ist nach der Definition in Art. 2 Nr. 2 lit. a) des „Codice di condotta“ jedes Datum, auch lediglich bewertend, das sich auf vermögensrechtliche, wirtschaftliche, finanzielle, kreditbezogene, unternehmensbezogene, industrielle, organisatorische, produktive, unternehmerische oder auch berufliche Aspekte einer natürlichen Person bezieht.

Unter weiter heißt es: „Um Geschäftsinformationen verarbeiten zu können, kann der Anbieter personenbezogene Daten beim Betroffenen selbst, bei öffentlich oder allgemein zugänglichen Quellen oder bei anderen vom Gesetz autorisierten Institutionen erheben.“

Im Original: „Per finalità di informazione commerciale il fornitore può raccogliere dati personali presso il soggetto censito, presso fonti pubbliche, fonti pubblicamente e generalmente accessibili da chiunque o presso altri soggetti autorizzati dalla legge alla distribuzione e fornitura delle informazioni.“ (Art. 4 Abs. 1 Codice di condotta)

Unter öffentlichen Quellen („fonti pubbliche“) werden öffentliche Register wie das Handelsregister verstanden, während allgemein zugängliche Quellen („fonti pubblicamente e generalmente accessibili da chiunque“) Zeitungen oder auch frei zugängliche Internetseiten sein können.

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Informationen, die aus öffentlich oder allgemein zugänglichen Quellen stammen, zögen grundsätzlich gem. Art. 14 DSGVO die Informationspflicht des Betroffenen mit sich.

Diese wird nun durch die neuen Verhaltensregeln vereinfacht. So wird es den einzelnen Unternehmen von jetzt an möglich sein, die Informationspflichten über ein neu geschaffenes Internetportal der A.N.C.I.C. vorzunehmen, die somit als Repräsentant der jeweiligen Unternehmen auftritt (Art. 5 Abs. 1 des „Codice di condotta“). Dort werden auch die Pflichtangaben des Art. 14 Abs. 1, 2 DSGVO aufgeführt.

Eine Ausnahme wird kleineren Unternehmen gewährt, die einen Jahresumsatz unter 300.000 Euro aufweisen. Diese dürfen auf ihrer eigenen Website über die Verarbeitung von personenbezogenen Daten aufklären (Art. 5 Abs. 3 des „Codice di condotta“).

Interessensabwägung, Rahmenbedingungen und Betroffenenrechte

Im genehmigten Code of Conduct heißt es dazu: „Die Verarbeitung von Geschäftsinformationen von personenbezogenen Daten aus Quellen wie in Art. 4 (…) benötigt keine Einwilligung des Betroffenen.“

Im Original: „Il trattamento per finalità di informazione commerciale di dati personali provenienti dalle fonti di cui al precedente art. 4 (…) non richiede il consenso dell’interessato.“ (Art. 6 Abs. 1 Codice di condotta).

Vielmehr kommt es auf ein berechtigtes Interesse des Verarbeiters an. Das ist mit Blick auf Art. 6 Abs. 1 Satz 1 lit. f) DSGVO nichts neues. Die neuen Verhaltensregeln in Italien legen jedoch grundsätzlich ein starkes Interesse an einem fairen Wettbewerb und einem funktionierenden Marktgeschehen zugunsten der Unternehmen zugrunde, soweit diese im vorgegebenen Rahmen agieren.

Einen solchen Rahmen hat der „Codice di condotta“ hinsichtlich verschiedenster Aspekte gesteckt. So ist die Verarbeitung von Daten im Sinne des Art. 9 DSGVO beispielsweise ausgeschlossen (Art. 3 Abs. 1 des „Codice di condotta“). Außerdem wird die die Datenerhebung aus Berichten über „negative Ereignisse“ wie Insolvenzen o.ä. sehr eingeschränkt (Art. 8 des „Codice di condotta“) und es werden eigene Maßstäbe an die IT-Sicherheit bezüglich der erhobenen Daten gestellt (Art. 11 des „Codice di condotta“).

Zu berücksichtigen bleiben auch weiterhin die Rechte und Interessen der betroffenen Dritten, ganz im Sinne der Interessensabwägung nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO. Die Grundtendenz einer solchen Interessensabwägung ist jetzt jedoch vorgegeben.

Auf der anderen Seite sind die Betroffenen durch ihre üblichen Rechte der Artt. 15 ff. DSGVO geschützt, auf die in Art. 10 des „Codice di condotta“ explizit hingewiesen wird. Die Besonderheit ist hierbei, dass die Betroffenen ihre Rechte direkt bei der A.N.C.I.C., bzw. auf deren neu geschaffenen Seite wahrnehmen können, nachdem sie herausgefunden haben, ob und inwieweit sie tatsächlich selbst betroffen sind.

Die Kontrollinstanz: „Organismo di Monitoraggio“

Die Überwachung und Einhaltung der Verhaltensregeln kann gem. Art. 41 DSGVO eine Stelle gewährleisten, die zur Akkreditierung besondere Merkmale aufzuweisen hat.

Für diese Verhaltensregeln hat man den „Organismo di Monitoraggio“ ins Leben gerufen, der unabhängig von der A.N.C.I.C. agiert und aus bis zu fünf Mitgliedern bestehen soll. Neben genauen Abläufen bei Beschwerden und Überprüfungen hat man auch genaue Vorstellungen von den Merkmalen dieser Kontrollinstanz:

So regelt man bspw. das notwendige Fachwissen (Art. 41 Abs. 2 lit. a) DSGVO) folgendermaßen:

„(…) es ist essentiell, dass jeder Bestandteil der Kontrollinstanz ein angemessenes Kompetenzniveau garantiert, das als Zusammenspiel von Wissen, Erfahrung und den nötigen Mitteln für eine effiziente Ausübung der übertragenen Aufgaben zu verstehen ist. Dafür müssen die Bestandteile der Kontrollinstanz, sowohl individuell als auch universell als Einrichtung, über ein vertieftes Wissen und Verständnis um die Materie der geschäftlichen Informationen, mit besonderem Blick für die Probleme des Datenschutzes personenbezogener Daten verfügen.“

Im Original: „(…) è essenziale che ciascun componente dell’OdM garantisca un adeguato livello di competenza, da intendersi come l’insieme delle conoscenze, delle esperienze e degli strumenti necessari ad un efficiente svolgimento delle funzioni assegnate. Per tale ragione, i componenti dovranno avere, sia singolarmente che nel loro insieme come organismo, un’approfondita conoscenza e dimestichezza in materia di informazioni commerciali, con particolare riguardo ai profili di protezione dei dati personali.“ (Art. 12 Abs. 3 lit. d) Codice di condotta)

Und zu möglichen Interessenskonflikten verlangt man:

„Jedes Mitglied der Einrichtung muss dauerhaft absolute Unparteilichkeit und Unabhängigkeit garantieren und dabei jeden Interessenskonflikt vermeiden, ob real oder potenziell, ob für sich selbst oder einen Verwandten bis einschließlich dritten Grades, Ehegatten oder Lebenspartner.“

Im Original: „Ciascun componente dell’organismo deve costantemente garantire la massima imparzialità ed indipendenza anche evitando ogni situazione di conflitto di interessi, reale o anche solo potenziale, sia per sé stesso che in riferimento a propri parenti, affini entro il terzo grado, coniugi o conviventi.“ (Art. 12 Abs. 3 lit. c) Codice di condotta)

Italien geht voran

In Italien ist es gelungen, einem Teilbereich der Unternehmenslandschaft einen detaillierten und rechtssicheren Verhaltenskodex an die Hand zu geben. Die betroffenen Unternehmen haben somit – im Rahmen der vorgegebenen Bedingungen – die Möglichkeit ihrer Tätigkeit datenschutzkonform nachzugehen. Diese Verhaltensregeln können ein Beispiel für andere sein, auch wenn die Umsetzung – angesichts der langen Zeitspanne bis zur endgültigen Wirksamkeit – einiges an Kraft benötigt.

Zusatz-Information: wenige Tage nach der Veröffentlichung durch die Datenschutz-Aufsicht in Italien wurde auch der erste Verhaltenskodex auf europäischer Ebene unter Federführung der belgischen Datenschutz-Aufsicht genehmigt – dort zum Thema Cloud Services.

Autor: Michael Wehowsky