24.1.2023
GDPR
> Schutz personenbezogener Daten

Das neue Gesetz zum Schutz personenbezogener Daten tritt am 26. Januar 2023 in Kraft – was bringt es?

Das neue Gesetz zum Schutz personenbezogener Daten wurde am 15. Dezember 2022 von der Nationalversammlung verabschiedet und am 27. Dezember 2022 im Amtsblatt veröffentlicht, wobei eine Frist von 30 Tagen ab Veröffentlichung gilt. Das bedeutet, dass sie am 26. Januar 2023 in Kraft treten wird.

Mit ihrem Inkrafttreten bringt die neue mit Spannung erwartete Gesetz zum Schutz personenbezogener Daten (ZVOP-2)[1] einige wichtige Neuerungen mit sich, von denen die wichtigste darin besteht, dass der Informationsbeauftragte (der weiterhin die Aufsichtsbehörde ist) die in der Allgemeinen Datenschutzverordnung (DSGVO) vorgeschriebenen Geldbußen verhängen kann. In den Übergangsbestimmungen sieht das Gesetz vor, dass Strafverfahren, die vor dem Inkrafttreten dieses Gesetzes beim Datenschutzbeauftragten oder bei den Gerichten eingeleitet wurden, nach dem Gesetz über den Schutz personenbezogener Daten (Amtsblatt der Republik Slowenien, Nr. 94/07 – offizielle konsolidierte Fassung; im Folgenden: ZVOP-1) abgeschlossen werden, es sei denn, dieses Gesetz ist für den Straftäter milder. Die gemäß ZVOP-1 eingeleiteten Prüfverfahren werden jedoch gemäß ZVOP-2 fortgesetzt.

Die Neuerungen, über die wir Anfang 2022 berichtet haben, wurden in der endgültigen Fassung des Gesetzes weitgehend beibehalten, so dass wir sie hier nicht wiederholen werden. Unter den nicht erwähnten Neuerungen und denjenigen, die möglicherweise etwas anders angeordnet sind als im Entwurf des vorangegangenen Artikels, möchten wir die folgenden hervorheben:

  1. ZVOP-2 sieht zwei neue Gründe für die Verarbeitung besonderer Kategorien personenbezogener Daten vor, nämlich (i) die Verarbeitung von Daten, die sich auf die nationale oder ethnische Herkunft beziehen, im öffentlichen Sektor, unter anderem zur Gewährleistung der Chancengleichheit, der Garantie besonderer Rechte und dergleichen, und (ii) die Verarbeitung aller besonderen Kategorien personenbezogener Daten in den Bereichen Nachrichtendienst, Sicherheit und Spionageabwehr, sofern dies gesetzlich vorgesehen ist.
  2. Streichung der Liste der in Artikel 66 der Datenschutz-Grundverordnung-1 genannten Drittländer, d.h. der Länder, die nach Auffassung der KTI ein angemessenes Schutzniveau für personenbezogene Daten aufweisen oder ein solches ganz oder teilweise nicht aufweisen. Gemäß den von der Europäischen Kommission angenommenen Beschlüssen (d. h. Angemessenheitsbeschlüsse)[2] wird dies bedeuten, dass Mazedonien nicht mehr auf der Liste der Drittländer steht, für die keine zusätzliche Grundlage für den Datenexport erforderlich ist, und (bis zu neuen Beschlüssen) muss eine andere Rechtsgrundlage (z. B. Standardvertragsklauseln) für den Export personenbezogener Daten nach Mazedonien gefunden werden.
  3. Er sieht auch eine Übergangszeit bis zur Umsetzung der Akkreditierungsverfahren vor, die am 1. Januar 2024 beginnen. In der Zwischenzeit wird davon ausgegangen, dass die zertifizierungspflichtigen Verarbeitungen (z. B. biometrische Verarbeitungen) die Kriterien des Zertifizierungsverfahrens erfüllen, sofern die Verarbeitungen mit den Vorschriften zum Schutz personenbezogener Daten übereinstimmen.
  4. Außerdem wird den für die Verarbeitung Verantwortlichen eine gewisse Zeit eingeräumt, um der neuen Verpflichtung zur Führung von Verarbeitungsprotokollen (Artikel 22 der ZVOP-2) nachzukommen. Er sieht vor, dass die Führung von Verarbeitungsprotokollen erst innerhalb von 2 Jahren nach Inkrafttreten des Gesetzes, d.h. bis zum 26.1.2025, mit diesem in Einklang gebracht werden muss.

Neben der Videoüberwachung und der Biometrie regelt das Gesetz auch bestimmte andere Bereiche, die die DSGVO den Mitgliedstaaten überlässt (z. B. die Verarbeitung zu wissenschaftlichen Forschungs-, Statistik- und Archivierungszwecken sowie den Schutz der freien Meinungsäußerung und den Zugang zu öffentlichen Informationen im Zusammenhang mit dem Schutz personenbezogener Daten), und legt die Befugnisse der Aufsichtsbehörde und die Geldbußen für Verstöße gegen die Bestimmungen der DSGVO-2 fest.

 

 

[1] Wir haben seit dem 25.5.2018 darauf gewartet.
[2] Für einige Länder wurden sowohl die EG-Entscheidung als auch die IPRS-Entscheidung getroffen.