Serbien: Neue Datenschutzvorschriften finden Anwendung

Hinweis: Die Rechtsmeldung wurde erstmals am 29. Oktober 2019 veröffentlicht und zuletzt inhaltlich überprüft und - soweit dies erforderlich war - aktualisiert im November 2022.

Seit dem 21. August 2019 finden in Serbien neue Datenschutzvorschriften Anwendung. Bereits am 9. November 2018 war das neue serbische Datenschutzgesetz ergangen (siehe Amtsblatt „Službeni Glasnik RS“ Nr. 87/2018), das sich in weiten Teilen an den Bestimmungen der europäischen Datenschutz-Grundverordnung (DSGVO) orientiert. Danach wurde Unternehmen und anderen Akteuren eine Übergangszeit eingeräumt, um ihre Datenschutzsysteme in Einklang mit den neuen Anforderungen zu bringen.

Das neue serbische Datenschutzgesetz (serbisch: „Закон о заштити података о личности“ / „Zakon o zaštiti podataka o ličnosti“) ersetzt die alte Fassung des Gesetzes aus dem Jahre 2009, dessen Vorschriften schon länger als nicht mehr zeitgemäß galten. Mit der teilweise wortgleichen Übernahme von DSGVO-Vorschriften in das neue Datenschutzgesetz findet nunmehr eine Angleichung des nationalen Rechts des EU-Beitrittskandidaten Serbien mit europäischen Normen statt.

Der Anwendungsbereich des neuen Datenschutzgesetzes umfasst nicht nur die Datenerhebung in Serbien, sondern auch außerhalb des Landes, sofern die Daten im Rahmen von Warenverkäufen oder von Dienstleistungserbringung nach Serbien erfasst werden.

Das insgesamt 102 Artikel umfassende neue Datenschutzgesetz beinhaltet unter anderem Regelungen zur Zustimmung und zum Auskunftsrecht hinsichtlich der erhobenen Daten. Die früher bestehende Verpflichtung zur Registrierung aller Datenbanken bei der Datenschutzbehörde ist weggefallen. Ferner sind neue Vorschriften zur Datenübermittlung ins Ausland zu beachten. Die Videoüberwachung fällt nicht in den Anwendungsbereich des neuen Gesetzes. 

Der Verantwortliche und der Auftragsverarbeiter müssen eine(n) Datenschutzbeauftragte(n) benennen, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Allen anderen Akteuren steht es frei, freiwillig eine(n) Datenschutzbeauftragte(n) zu ernennen. Der/die Datenschutzbeauftragte kann Beschäftigte(r) des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

Die zuständige Datenschutzbehörde bleibt der Commissioner for Information of Public Importance and Personal Data Protection (serbisch: „Повереник за информације од јавног значаја и заштиту података о личности“ / „Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti“). Der aktuelle EU-Bericht (2019) zu Serbien stellt fest, dass die Behörde zusätzliches Personal und Finanzierung benötigt.

Trotz der weitreichenden Harmonisierung mit DSGVO-Normen gibt es auch einige Unterschiede. So wurden die 173 Erwägungsgründe der DSGVO nicht in das serbische Datenschutzgesetz übernommen. Nach Meinung von Experten könnte dies die Auslegung einzelner Vorschriften erschweren.

Ferner sieht das serbische Datenschutzgesetz im Vergleich zur DSGVO geringere Geldbußen vor. Während gemäß Art. 83 DSGVO Geldbußen in Höhe von bis 20 Millionen Euro oder bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich sind, droht bei Verstoß gegen Datenschutzbestimmungen in Serbien eine Geldbuße in Höhe von 55.000 bis 2.150.000 Serbische Dinar (RSD). Dies entspricht etwa 460 bis 18.000 Euro. Daneben kann die serbische Datenschutzbehörde Verwarnungen aussprechen, die Korrektur und Löschung von Daten anordnen und Geldstrafen in Höhe von bis zu 850 Euro verhängen. Sofern solche Anordnungen nicht befolgt werden, wären Geldbußen in Höhe von bis zu 10 Prozent des in Serbien erzielten Jahresertrages möglich.