Recht & Steuern

DSGVO-Themen sind auch nach dem 25. Mai 2018 relevant

28.06.2018

Unabhängig davon, dass der 25. Mai 2018 bereits hinter uns liegt und die Datenschutzgrundverordnung (DSGVO) bereits in Kraft getreten ist, hat der Prozess der Umsetzung erst begonnen. Es wird ein Prozess werden, der Unternehmen tagtäglich beschäftigen wird. Auf dem Markt beobachten Verantwortliche und Auftragsverarbeiter einander, um die besten Umsetzungsstrategien zu finden. Der Datenschutzbeauftragte der Republik Slowenien (IPRS) veröffentlicht Richtlinien und Anleitungen auf seiner Webseite und das Justizministerium gab seine ersten (nicht bindenden) systemischen Erklärungen heraus.

1. Ist es notwendig den Bestimmungen des slowenischen Datenschutzgesetzes (ZVOP-1) Folge zu leisten?

Die DSGVO-Bestimmungen allein genügen nicht. Aus den systemischen Erklärungen des slowenischen Justizministeriums wird deutlich, dass nur die Bestimmungen des jetzigen slowenischen Datenschutzgesetzes (ZVOP-1) am 25. Mai 2018 außer Kraft gesetzt werden, welche sich von den Bestimmungen der DSGVO unterscheiden. Was im Besonderen bestehen bleiben wird, sind die anwendungsbereichsspezifischen Bestimmungen des ZVOP-1, so wie die Bestimmungen bezüglich der Videoüberwachung, des biometrischen Verfahrens, des Direktmarketings und der Bestimmungen in den Bereichen, die nicht von der DSGVO oder die von den EU-Mitgliedsstaaten unterschiedlich reguliert werden. (z. B. Artikel 14 – Schutz sensibler personenbezogener Daten, Artikel 24 – zusätzliche Maßnahmen für den Schutz personenbezogener Daten). Bis die neue ZVOP-2 in Kraft treten wird, werden in Slowenien zwei Regelungen geltend sein, was sicherlich die juristische Sicherheit und Vorhersehbarkeit vermindern wird.

2. Stimmt es, dass wir gemäß der DSGVO nach dem 25. Mai 2018 noch nicht zu einer Geldstrafe verurteilt werden können?

Infolge der DSGVO können Unternehmen zu Geldstrafen in Höhe von bis zu 20 Millionen Euro, oder mit bis zu 4% des gesamten weltweiten jährlichen Umsatzes des vorherigen Geschäftsjahres verurteilt werden, je nachdem welcher Betrag höher ist. Infolge, sowohl des Datenschutzbeauftragten als auch des Justizministeriums, bezieht sich die DSVGO auf Bußgelder, welche in der slowenischen Rechtsordnung nicht bekannt sind (bekannt sind aber Geldstrafen für Ordnungswidrigkeiten). Dies bedeutet, dass der IPRS, der aktuellen Rechtslage zufolge, weder Geldstrafen noch andere Sanktionen für den Verstoß gegen die DSGVO-Bestimmungen verhängen darf, bis die ZVOP-2 erlassen wird. Stattdessen dürfen Sanktionen in Bezug zu den noch anwendbaren Artikeln der ZVOP-1 verhängt werden. Das slowenische Justizministerium fügt überraschenderweise hinzu, dass Verstöße gegen die DSGVO, die zwischen dem 25. Mai und der Festlegung der Befugnisse des IPRSs bezüglich der Zuwiderhandlung gegen die in der ZVOP-2 niedergeschriebenen Strafvorschriften begangen werden, weiterhin strafbar sein werden (in Anbetracht materiellrechtlicher Vorschriften). Letztendlich wird es von den Gerichten abhängen, ob es möglich sein wird Rechtsverletzer (nach Erlassung der ZVOP-2) für die Verstöße gegen die DSGVO nach dem 25. Mai 2018 zu bestrafen. Dennoch sollte beachtet werden, dass zusätzlich zu den Sanktionen (Geldstrafen), die DSGVO auch eine Haftungspflicht der Unternehmen im Schadensfall beinhaltet, welche nicht von der (Nicht)Erlassung der ZVOP-2 abhängt. Im Falle der Verletzung des Rechts des Einzelnen können Unternehmen bereits aufgrund der DSGVO zur Verantwortung gezogen werden.

Quelle: Odvetniška pisarna Fabiani, Petrovič, Jeraj, Rejc d.o.o. | Tel.:+386 8 205 21 11 | Fax: +386 8 205 21 10 | info(at)fpjr.si