Neues slowakisches Datenschutzgesetz – Ausnahmen von der GDPR

Am 30.Januar2018 wurde in der Slowakischen Republik das neue Gesetz zum Schutz personenbezogener Daten verkündet und unter der Nummer 18/2018 Z. z. in der Gesetzessammlung veröffentlicht (nachfolgend bezeichnet als „Neues Datenschutzgesetz“). Das neue Datenschutzgesetz ersetzt das derzeitige slowakische Gesetz Nr. 122/2013 Z. z. zum Schutz personenbezogener Daten. Grund der Verabschiedung des Neuen Datenschutzgesetzes ist insbesondere die europaweite Reform der Rechtsregelung zum Schutz personenbezogener Daten, die insbesondere durch die Datenschutz-Grundverordnung (auch bezeichnet als „GDPR“, aus dem englischen General Data Protection Regulation) realisiert wird. Das Gesetz zum Schutz personenbezogener Daten soll zusammen mit der GDPR am 25. Mai 2018 wirksam werden. Das Neue Datenschutzgesetz kopiert weitgehend die Regelungen der GDPR, die als Verordnung in der Slowakischen Republik direkt anwendbar ist, setzt jedoch gleichzeitig in die slowakische Rechtsordnung die sog. „Polizei-Richtlinie“ (Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates) um und nutzt auch die durch GDPR vorgesehene Möglichkeit der Festlegung von Ausnahmen und Abweichungen von der GDPR in den einzelstaatlichen Rechtsvorschriften.

Die letztgenannten Ausnahmen und Abweichungen, die weiter im Text analysiert werden, sind in § 78 des Neuen Datenschutzgesetzes enthalten. Zu den wichtigsten gehören insbesondere:

Möglichkeit der Datenverarbeitung zu ausgewählten Zwecken ohne Einwilligung der betroffenen Person

Ohne Einwilligung der betroffenen Person können nach slowakischem Recht personenbezogene Daten zu wissenschaftlichen, künstlerischen oder literarischen Zwecken verarbeitet werden, oder wenn die Datenverarbeitung zur Information der Öffentlichkeit durch Massenmedien unvermeidbar ist und wenn die personenbezogenen Daten von einem Verantwortlichen verarbeitet werden, bei dem sich die Datenverarbeitung aus seinem Tätigkeitsgegenstand ergibt. Die vorgenannte Datenverarbeitung darf jedoch weder das Recht der betroffenen Person auf Schutz ihrer Persönlichkeit noch ihr Recht auf Schutz der Privatsphäre verletzen und der Verantwortliche sollte nach der Gesetzesbegründung überlegen, ob der jeweilige Verarbeitungsvorgang tatsächlich unvermeidbar ist.

Möglichkeit der Veröffentlichung der Kontaktdaten der Arbeitnehmer durch den Arbeitgeber

In einer Situation, in der der Verantwortliche Arbeitgeber der betroffenen Person ist, ist der Verantwortliche zwecks und im Zusammenhang mit der Erfüllung der Arbeits-, Dienst- oder Funktionspflichten der betroffenen Person berechtigt, die personenbezogenen Daten der betroffenen Person in dem folgenden Umfang mitzuteilen oder zu veröffentlichen:

• Akademischer Grad, Vorname, Nachname,
• Arbeitsplatz-, Dienst-, Funktionszuweisung,
• Personal- oder Arbeitnehmernummer, Fachabteilung,
• Arbeitsort,
• Telefon-, Faxnummer,
• Berufliche E-Mail-Adresse und
• Identifikationsdaten des Arbeitgebers.

Die Mitteilung der Angaben darf weder die Würde noch das Ansehen der betroffenen Person verletzen und laut der Gesetzesbegründung hat der Verantwortliche auch zu überlegen, ob der jeweilige Verarbeitungsvorgang tatsächlich unvermeidbar ist.

Sonderregelung zur Verarbeitung und Veröffentlichung der Personenkennzahl

Bei der Verarbeitung der personenbezogenen Daten kann zwecks Identifizierung einer natürlichen Person die Personenkennzahl nur dann verwendet werden, wenn ihre Verwendung für die Erreichung des jeweiligen Verarbeitungszwecks unvermeidbar ist. Sofern die Personenkennzahl auf rechtlicher Grundlage der Einwilligung der betroffenen Person verarbeitet wird, muss eine solche Einwilligung ausdrücklich sein und die jeweilige Verarbeitung darf gleichzeitig durch keine Sondervorschrift verboten sein. Die Veröffentlichung der Personenkennzahl ist verboten, die einzige Ausnahme stellt die Veröffentlichung der Personenkennzahl durch die betroffene Person selbst.

Genetische, biometrische und Gesundheitsdaten

Das Neue Datenschutzgesetz gibt dem Verantwortlichen die Möglichkeit, genetische, biometrische und Gesundheitsdaten auch auf Grundlage einer Sondervorschrift oder eines internationalen Abkommens zu verarbeiten, an das die Slowakische Republik gebunden ist. Es geht um eine Berechtigung für einen Verantwortlichen, der die Verarbeitung der vorgenannten personenbezogenen Daten etwa zur Erbringung von aufgrund von Sondergesetzen zu erbringenden Gesundheitsversorgungsleistungen benötigt.

Von einer anderen natürlichen Person mitgeteilte Daten

Die Erlangung der personenbezogenen Daten einer betroffenen Person von einer anderen natürlichen Person und deren Verarbeitung im Dateisystem des Verantwortlichen ist durch eine schriftliche Einwilligung der betroffenen Person bedingt. Da diese Bedingung ausdrücklich nur an die Daten von einer natürlichen (und nicht juristischen) Person gebunden ist, ist zu erwarten, dass die Regelung u. a. darauf abzielt, die Daten davor zu schützen, dass die Verantwortlichen Daten von Personen verarbeiten, welche von Personen empfohlen werden, die sie kennen. Die Pflicht zur Einholung der Einwilligung gilt nicht, wenn durch die Mitteilung der personenbezogenen Daten zu der betroffenen Person in das Dateisystem eine andere natürliche Person ihre Rechte oder ihr rechtlich geschütztes Interesse wahrt oder Tatsachen mitteilt, die die Geltendmachung der rechtlichen Haftung der betroffenen Person begründen, oder wenn die personenbezogenen Daten auf Grundlage eines Sondergesetzes nach konkreten Bestimmungen der GDPR verarbeitet werden. Der Verantwortliche, der in solcher Weise die personenbezogenen Daten verarbeitet, muss der Datenschutzbehörde jederzeit auf deren Aufforderung nachweisen können, dass er die Daten in Übereinstimmung mit diesem Gesetz erlangt hat.

Datenverarbeitung für Archivzwecke, für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke

Da es sich um privilegierte Zwecke handelt, auf die sich die Ausnahme vom Grundsatz der Beschränkung des Zwecks bezieht, können bei der Verarbeitung personenbezogener Daten für solche Zwecke auch die Rechte der betroffenen Person beschränkt werden, und zwar das Recht auf Zugriff, Berichtigung, Einschränkung und Einspruch, und für Archivzwecke im öffentlichen Interesse auch das Recht auf Auskunft an einen anderen Empfänger und das Recht auf Datenübertragbarkeit gemäß der GDPR.

Sollten Sie jegliche weiteren Fragen zu diesem Thema haben oder jegliche Hilfe im Zusammenhang mit dem Datenschutz benötigen, so sind wir gerne für Sie da, um Sie durch die Dschungel der GDPR zu begleiten.