Slowenien ist dem neuen Datenschutzgesetz endlich einen Schritt nähergekommen
Es ist kein Geheimnis, dass Slowenien der letzte EU-Mitgliedsstaat ist, der immer noch kein neues lokales Gesetz hat, das einige der datenschutzrelevanten Fragen lokalisieren würde, welche die Datenschutz-Grundverordnung (DSGVO) den Mitgliedsstaaten zur Regelung überlassen hat. Außerdem würde das lokale Gesetz der lokalen Aufsichtsbehörde (d.h. dem Informationskommissar) die Befugnis geben, die in der DSGVO vorgesehenen Bußgelder zu verhängen.
Slowenien ist nun jedoch endlich der Verabschiedung des neuen Datenschutzgesetzes einen Schritt nähergekommen. Der Gesetzentwurf (ZVOP-2) wurde im Arbeitsgremium der Regierung zur Diskussion gestellt. Dies ist der erste Entwurf, der es so weit geschafft hat, und es ist nun weniger wahrscheinlich, dass es zu größeren Änderungen am aktuellen Entwurf kommen wird. Einige Fragen sind jedoch noch offen und könnten sich noch ändern.
Im aktuellen Entwurf (ZVOP-2) sind unter anderem folgende Bestimmungen enthalten:
- Das Schutzalter für Minderjährige wird auf 15 Jahre festgesetzt, was auch den Bestimmungen des Familiengesetzes entspricht. Bei Personen unter 15 Jahren kann neben dem gesetzlichen Vertreter auch ein Pflegeelternteil oder ein Vertreter der Einrichtung, in der der Minderjährige untergebracht ist, seine Zustimmung erteilen (z. B. die verschiedenen Erziehungsanstalten und ähnliche Einrichtungen, in denen sie z. B. vom Gericht untergebracht werden, nicht aber z. B. die Internate, in denen Minderjährige leben).
- Die Bestimmungen über den Schutz der personenbezogenen Daten von Verstorbenen gelten noch 20 Jahre nach dem Tod der Person. Danach werden die Daten nicht mehr als personenbezogene Daten geschützt, aber es können einzelne Sonderregelungen gelten.
- Der Einzelne hat das Recht, seine Rechte gerichtlich schützen zu lassen, ohne vorher alle anderen Rechtsmittel ausschöpfen zu müssen. Gegenwärtig ist der gerichtliche Rechtsschutz nur vor dem Verwaltungsgerichtshof vorgesehen und gilt nicht mehr als dringliches und vorrangiges Verfahren, wie es nach dem geltenden Datenschutzgesetz (ZVOP-1) der Fall war/ist.
- Verarbeitungsprotokolle müssen geführt werden, wenn (i) besondere Kategorien personenbezogener Daten in großem Umfang verarbeitet werden, oder (ii) Personen regelmäßig oder systematisch überwacht werden, oder (iii) wenn in einer Folgenabschätzung für die Datenverarbeitung festgestellt wird, dass die festgestellten Risiken durch die Führung der Protokolle erfolgreich gemindert werden könnten, oder (iv) wenn dies gesetzlich vorgesehen ist. Nach dem derzeitigen Entwurf müssten die Protokolle mindestens 2 Jahre und höchstens 5 Jahre lang aufbewahrt werden.
- – Der Entwurf sieht besondere Vorschriften für die Sicherheit personenbezogener Daten im Bereich der besonderen Arten der Verarbeitung vor, wozu unter anderem die für die Verarbeitung Verantwortlichen/Verarbeiter gehören, die in ihren Dateisystemen überwiegend besondere Kategorien personenbezogener Daten aufbewahren. So wie der derzeitige Entwurf formuliert ist, würde dies auch für alle Ärzte gelten, unabhängig davon, wie klein ihre Praxis ist.
- Für den privaten Sektor ist eine kürzere Frist für die Beantwortung des Antrags einer betroffenen Person auf Zugang zu den Daten vorgesehen als in der Datenschutz-Grundverordnung (DSGVO) – außer unter besonderen Umständen beträgt die Frist für die Beantwortung 15 Tage (anstelle der in der Datenschutz-Grundverordnung vorgesehenen 30 Tage).
- Der ZVOP-2-Entwurf sieht ausdrücklich vor, dass ein Leiter der Informationssicherheit kein DSB (d.h. Datenschutzbeauftragter) sein kann.
- Im Vergleich zu ZVOP-1 regelt das ZVOP-2 das Direktmarketing nicht mehr in einem eigenen Kapitel.
- Das Kapitel über die Videoüberwachung wird ebenfalls geändert, da (wie derzeit vorgesehen) die Videos nun maximal ein Jahr lang aufbewahrt werden dürfen (das derzeitige ZVOP-1 sieht zwei Jahre vor), und der Hinweis auf die Videoüberwachung muss alle in Artikel 13 der Datenschutz-Grundverordnung vorgesehenen Informationen enthalten (die Unternehmen dürfen jedoch einen Link zu einer Website mit all diesen Informationen angeben, anstatt sie in den Hinweis vor Ort selbst aufzunehmen).
- Was den Zertifizierungsprozess betrifft, wird Slovenska akreditacija den Zertifizierungsstellen Akkreditierungen erteilen. Das Akkreditierungsverfahren wird am 1. Januar 2024 beginnen.
- Der neue ZVOP-2-Entwurf sieht weiterhin Bußgelder nicht nur für juristische Personen, sondern auch für die verantwortlichen Personen dieser juristischen Personen vor (z. B. Geschäftsführer oder Personen, die für einen bestimmten Bereich, auf den sich der Verstoß bezieht, verantwortlich sind). Verglichen mit der DSGVO und anderen EU-Mitgliedstaaten ist diese Regelung recht selten, Slowenien könnte sogar das einzige Land mit einer solchen Regelung sein.
Natürlich können die Bestimmungen noch geändert werden, so dass wir die Aktualisierungen regelmäßig verfolgen und erneut über den Inhalt des Gesetzes berichten werden, sobald es verabschiedet ist.