20.3.2018
GDPR
> Schutz personenbezogener Daten

Entwurf des slowenischen Gesetzes über den Schutz personenbezogener Daten (ZVOP-2) – Überschreitung von DSGVO-Grenzen?

Seitdem das slowenische Ministerium für Justiz Ende Januar den Entwurf des neuen Gesetzes über den Schutz personenbezogener Daten (ZVOP-2) veröffentlicht hat, steht er auf dem Prüfstand der interessierten Öffentlichkeit – und das zu Recht. Als die Europäische Union (EU) die Datenschutz-Grundverordnung (DSGVO) in Form einer unmittelbar verwendbaren Vorschrift, die keine Umsetzung in die innerstaatliche Rechtsordnung erfordert, um wirksam zu sein, angenommen hat, war der Absicht der EU unweigerlich, die Datenschutzregimen in den Mitgliedstaaten zu vereinheitlichen (abweichend vom Ansatz der Datenschutzrichtlinie (95/46/EG) aus 1995.

Zwar hat die DSGVO den Mietgliedstaaten etwa Ermessensspielraum bei der Regelung bestimmter Aspekte jeweiliger einzelstaatlichen Datenschutzregimen überlassen (z. B. Verarbeitung im Rahmen von Beschäftigung, Verarbeitung bestimmten Kategorien sensibler persönlichen Daten, einschließlich gesundheitsbezogener Daten, Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, Pflicht zur Geheimhaltung). Die DSGVO enthält weitere Anleitungen in Bezug darauf und erläutert, dass soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen, können die Mitgliedstaaten Teile der DSGVO in ihr nationales Recht aufnehmen. Jedoch gilt das nur, wenn in DSGVO Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind (Erwägungsgrund 8 DSGVO).

Es scheint, dass ZVOP-2, wenn es in der Form des letzten Entwurfs angenommen würde, diese durch DSGVO erteilten ausdrücklichen Ermächtigungen überschreiten würde.

Erstens, verdoppelt der Entwurf zahlreiche Bestimmungen der DSGVO, die hinreichend klar sind und nicht umsetzt oder interpretiert werden müssen. Das sind beispielsweise Definitionen, Grundsätze für die Verarbeitung personenbezogener Daten, Rechte betroffener Personen und Ähnliches, was alles sowohl in DSGVO als auch im Entwurf des ZVOP-2 enthalten ist. Während einige Bestimmungen der DSGVO wörtlich übernommen werden, werden andere in gewissem Umfang geändert, was zu erheblicher Verwirrung führt. Es scheint, dass der vorliegende Entwurf des ZVOP-2 bei seinem Versuch, das Datenschutzgesetz möglichst klar und vollständig zu machen, gescheitert hat.

Weiter regelt der Entwurf der ZVOP-2 bestimmte Themen anders oder detaillierter als DSGVO, auch wenn DSGVO keine solche Präzisierungen oder Einschränkungen vorsieht. Zum Beispiel, der Entwurf des ZVOP-2 regelt konkret Direktwerbung, die laut Erwägungsgründe der DSGVO als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann, wobei aber DSGVO in Zusammenhang mit berechtigtem Interesse als der Grundlage für rechtmäßige Datenverarbeitung keine solche spezifische Regelung ermöglicht. Der Entwurf regelt konkret auch Videoüberwachung (die gemäß dem Grundsatz der Technologieneutralität nicht in DSGVO reguliert wird), wofür Ähnliches gilt. Andere Beispiele konkreter Regelung im Entwurf des ZVOP-2 umfassen die Altersgrenze für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft (der Entwurf des ZVOP-2 bestimmt die Altersgrenze auf 15 Jahre, wobei er vom Standardoption der DSGVO, die die Altersgrenze auf 16 Jahre bestimmt, abweicht) und Verarbeitung personenbezogenen Daten Verstorbener (gemäß Erwägungsgrund 27 DSGVO).

Auf der anderen Seite, umfasst aber der Entwurf des ZVOP-2 keine spezifische Regelung in Bezug auf andere Fragen, die aufgrund der Bestimmungen der DSGVO reguliert werden könnten, z. B. über die Anforderungen, einen Datenschutzbeauftragter zu ernennen, und über spezifische Einschränkungen für die Verarbeitung genetischer oder gesundheitsbezogener Daten. Der Entwurf schränkt auch nicht die Möglichkeit der Verarbeitung besonderer Arten personenbezogener Daten im Privatsektor auf der Grundlage der ausdrücklichen Zustimmung mehr als DSGVO ein.

Zum Datum dieses Artikels wurde die Endfassung des ZVOP-2 noch nicht bestätigt. Am 13. März wurde zwar ein neuer Gesetzesentwurf als zur Prüfung der slowenischen Regierung vorliegendes Material veröffentlicht, der aber nicht wesentlich vom oben genannten abweicht. Die Regierung hat auch darauf hingewiesen, dass bestimmte Harmonisierungsmaßnahmen bezüglich dieses Entwurfs noch nicht abgeschlossen sind. Da die Vorbereitungen zur Einhaltung im Rahmen des neuen Systems mit einem gewaltigen Zeit- und Ressourcenaufwand verbunden werden könnten, befinden sich in der Zwischenzeit sowohl die für die Verarbeitung Verantwortlichen als auch die Auftragsverarbeiter in einer misslichen Situation der Ungewissheit, ob und wie das slowenische Recht die Sachen anders als DSGVO regeln wird. Der Tag des Wirksamwerdens der DSGVO nähert sich rasch und die slowenischen Behörden werden schnell eine Endlösung finden müssen.