Skip to main content
Nachrichten

In Vorbereitung ist ein neues Gesetz zum Schutz personenbezogener Daten

29. Dezember, 2021No Comments

In Vorbereitung ist ein neues Gesetz zum Schutz personenbezogener Daten

Am jüngsten internationalen Antikorruptionstag (9. Dezember) wurde klar gemacht, dass die Republik Slowenien bis zum Ablauf der voraussichtlichen Frist am 17. Dezember 2021 kein Gesetz verabschieden wird, mit dem die Bestimmungen der sog. Hinweisgeberschutzrichtlinie („EU-Whistleblower-Richtlinie“) in nationale Gesetzgebung rechtzeitig umsetzen würden. Auf diese Richtlinie haben wir in einem der vorherigen Artikel hingewiesen (https://www.fpjr.si/de/veroffentlichungen/2021/10/613-Whistleblower-Richtlinie-Hinweisgeberschutzrichtlinie#middle). 

Ähnlich ist es im Bereich des Schutzes personenbezogener Daten, wo die Republik Slowenien der einzige EU-Mitgliedstaat ist, der seine Gesetzgebung noch nicht angemessen regulierte oder diese an der Datenschutz-Grundverordnung (DSGVO) angepasst hat. Die DSGVO trat am 25. Mai 2018 in Kraft und wurde seitdem unmittelbar angewendet. Trotzdem ist aber jeder Mitgliedstaat verpflichtet durch entsprechende nationale Gesetzgebung diejenigen Bereichen zu regulieren, die, gemäß DSGVO, auf die Ebene einzeln Mitgliedstaats zu regulieren sind. Unter anderem legt ein Mitgliedstaat auch geeignete Regelung der Verfahrenbestimmungen fest. Der letzte Entwurf des Gesetzes zum Schutz personenbezogener Daten (slowenische Abkürzung: „ZVOP-2“) wurde im Frühjahr dieses Jahres veröffentlicht und befindet sich seit August in ressortübergreifender Abstimmung. 
Die Mehrheit der Verpflichteten passten ihre Geschäftstätigkeit beziehungsweise Tätigkeit bereits an die aktuelle DSGVO an; das neue Gesetz wird so, in der Regel, für die Mehrheit keine zusätzlichen Verpflichtungen darstellen. Dennoch ist es wichtig, dass das neue nationale Gesetz das Dilemma, bezüglich der Sanktionierung von Verstoßen des Schutzes personenbezogener Daten, einschließlich des Verhängens von sog. Verwaltungsstrafen, endlich lösen wird. Teilweise antworteten in diesem Jahr der Oberste Gerichtshof der Republik Slowenien und das Oberste Gericht in Ljubljana auf das seit langem bestehende Dilemma über Sanktionierung von Verstößen. Die stimmten dem Standpunkt des Datenschutzbeauftragtes zu. Der Datenschutzbeauftragte kann, auch nach Inkrafttreten der DSGVO, die Verstöße gegen den Schutz personenbezogener Daten, die im (derzeit gültigen) Gesetz zum Schutz personenbezogener Daten (slowenische Abkürzung: ZVOP-1) als Vergehen bestimmen sind, sanktionieren. Dies gilt sowohl für Verstöße, die vor als auch nach dem Inkrafttreten der DSGVO eingetreten sind. Die grundlegende Betonung des Obersten Gerichtshofs der Republik Slowenien in diesem Fall war, dass die DSGVO den Mitgliedstaaten einen relativ großen Spielraum bei der Regulierung nationaler Regeln zur Sanktionierung von Verstößen zulässt und, dass daher die in Artikel 83 vorgeschriebene Verwaltungsstrafen nicht die einzige mögliche Sanktion der Verstöße gegen den Schutz personenbezogener Daten sind. 
Neben der systematischen Regulierung der Sanktionierung der Verstöße bringt das Gesetz „ZVOP-2“ noch einige Neuerungen mit. Unter anderem legt das Gesetz die Altersgrenze für die Einwilligung in Verarbeitung personenbezogener Daten im Alter von 15 Jahren fest, es regelt das sensible Verhältnis zwischen dem Schutz personenbezogener Daten und der Meinungsfreiheit sowie dem Zugang zu Informationen, es regelt Aktivitäten im Zusammenhang mit Videoüberwachung, Biometrie und Verarbeitung der personenbezogenen Daten der Verstorbenen, legt die Bedingungen, die von den Datenschutzbeauftragten zu erfüllen sind, fest, und regelt einige andere Verfahrenshandlungen (z.B. legt den Inhalt des Gesuchs nach Weitergabe von personenbezogenen Daten fest). 
Da sich der Entwurf des Gesetzes „ZVOP-2“ derzeit noch in ressortübergreifender Abstimmung befindet, ist es schwer vorherzusagen, wann es tatsächlich verabschieden wird, beziehungsweise inwieweit der endgültige Entwurf vom derzeit vorgelegten Vorschlag abweichen könnte. Abgesehen davon zählt dies aber als ein klares Signal an alle, die mit der entsprechenden Ordnung des Schutzes personenbezogener Daten verzögern oder sie es unvollständig regulieren, dass sie eine interne Überprüfung ihrer bestehenden Regelung und Situation vorbereiten und sicherstellen, dass die ergriffene Maßnahmen und Aktivitäten, beinahe vier Jahre nach Beginn der unmittelbaren Anwendung der DSGVO, den geltenden Standards und der Entwicklung von Technologie und Rechtsordnung noch entsprechen. 
Autorin: Eva Možina, Rechtsanwältin