Slowenien und GDPR – was bedeutet die Tatsache, dass Slowenien kein Gesetz zur Implementierung der GDPR angenommen hat, für Datenschutz in Slowenien?
Slowenien zählt zu den EU-Mitgliedstaaten, die kein Gesetz zur Implementierung der Verordnung (EU) 2016/679 des Europäischen Parlaments und der Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (GDPR) vor 25. Mai 2018 angenommen hat. Eigentlich könnte Slowenien noch einige Zeit kein solches Gesetz haben, da die Sache, während der Entwurf des neuen Datenschutzgesetzes seit April im parlamentarischen Verfahren ist, wegen der vorherigen parlamentarischen Wahlen ausgesetzt wurde. Zudem ist es auch nicht klar, ob der Entwurf in der gegenwärtigen Version angenommen wird, da sein Inhalt ziemlich scharf kritisiert wurde, so dass in den nächsten Monaten voraussichtlich eine revidierte Version des Entwurfs veröffentlicht sein sollte.ur
Während die GDPR unmittelbar anwendbar ist, hat sie bestimmte Fragen den EU-Mitgliedstaaten zur (weiteren) Regulierung überlassen. Da kein solches Gesetz angenommen wurde, hat das Ministerium für Justiz der Republik Slowenien Erklärungen dazu veröffentlicht, wie sie die gegenwärtige Situation in Bezug auf Datenschutz in Slowenien ansehen. Da die zuständige Behörde für die Gewährleistung der Erläuterungen zu den Gesetzen das Parlament als der Gesetzgeber ist, und im gewissen Umfang der Informationsbeauftragter, sind diese Erläuterungen des Ministeriums nicht verbindlich, trotzdem ist es aber interessant zu sehen, wie die gegenwärtige Situation im Zusammenhang mit dem Datenschutz in Slowenien von einer staatlichen Behörde wie das Ministerium wahrgenommen wird.
Gemäß den Erklärungen bleiben einige Bestimmungen des derzeitigen Datenschutzgesetzes (ZVOP-1) weiterhin in Kraft – es geht um die Teile, die nicht in der GDPR einbegriffen sind. Das sind z.B. Bestimmungen über Biometrie, Schutz personenbezogener Daten der Verstorbenen, gerichtlichem Schutz der Rechte, Videoüberwachung, Registrierung von Ein- und Ausreisen und Vernetzung von Datenbanken.
Interessanter ist jedoch die Haltung des Ministeriums über die Ermächtigungen des Informationsbeauftragten. Das Ministerium meint nämlich, dass während der Informationsbeauftragter gegenwärtig für die Durchführung von Inspektionen auch nach GDPR (und nicht nur nach den bewahrten Bestimmungen ZVOP-1) zuständig ist, hat er keine Befugnis für die Auferlegung von verwaltungsrechtlichen Geldbußen und anderen Sanktionen für die Verletzungen der GDPR, sondern nur für die Verletzungen des ZVOP-1 in den Teilen, die nach 25. Mai in Kraft bleiben. Die Begründung für solche Haltung basiert auf den Bestimmungen des Gesetzes über den Informationsbeauftragter (ZInfP), die keine Befugnis zum Handeln als Behörde für Ordnungswidrigkeiten im Falle von GDPR-Verletzungen erteilen. Nach ihrer Ansicht werden die Bestimmungen des neuen ZVOP-2 dem Informationsbeauftragten eine Rechtsbasis zur Auferlegung von verwaltungsrechtlichen Geldbußen gewährleisten können, die gegenwärtige Gesetzgebung ermöglicht ihn aber nicht dazu. Nach Ansicht des Ministeriums bedeutet das auch, dass alle Verfahren, die aufgrund des ZVOP-1 eingeleitet wurden für Sachen, die jetzt mit GDPR geregelt werden, bis zur Annahme des ZVOP-2 ausgesetzt werden. Trotzdem wird aber der Informationsbeauftragter zur Ausstellung von Inspektionssanktionen auch für GDPR-Verletzungen ermächtigt.
Es wurde auch hervorgehoben, dass für Verletzungen der GDPR vom 25. Mai 2018 bis zum Inkrafttreten des neuen ZVOP-2 den Rechtsverletzer verwaltungsrechtliche Geldbußen aus GDPR auferlegt werden könnten, wenn diese Verfahren im Rahmen der generellen Verjährungsfristen für die Behandlung von Rechtswidrigkeiten eingeleitet oder abgeschlossen werden.
Zudem glaubt das Ministerium auch, dass der Informationsbeauftragter (noch) keine Zuständigkeit für die Behandlung von Sachen aus Artikel 16 bis 22 GDPR hat, was bedeutet, dass die Einzelpersonen nur das Recht haben, gerichtlichen Schutz nach ZVOP-1 zu verlangen, sie haben aber kein Recht, eine Beschwerde bei der Aufsichtsbehörde nach GDPR einzulegen.
Das ist eine unverbindliche Meinung des Ministeriums für Justiz, während die Informationsbeauftragte ihre Haltungen in Bezug auf diese Fragen noch nicht veröffentlicht hat. Es wird interessant sein zu sehen, wie diese Bestimmungen schließlich implementiert werden. Während die neue Version des ZVOP-2-Entwurfs bis zum Ende dieses Sommers veröffentlicht werden sollte, könnte es viel länger dauern, bis das Gesetz tatsächlich angenommen wird.