Datenschutzbehörde erlässt Anleitung zur Datenschutzgrundverordnung

Ein Jahr nachdem die Datenschutzgrundverordnung (DSGVO) verbindlich geworden ist, hat die rumänische Datenschutzbehörde eine Anleitung1, die 85 Fragen und Antworten bezüglich der Anwendung der DSGVO enthält, erlassen. Nachfolgend werden einige wichtige Aspekte erläutert; weitere relevante Punkte werden Gegenstand eines weiteren Beitrages sein.

Allgemeines

Die Anleitung ist eine Zusammenfassung von Fragen, die die Datenschutzbehörde beantwortet. Teilweise werden hierfür einfach Passagen aus der DSGVO und den Leitlinien der Arbeitsgruppe 29 bzw. des Europäischen Datenschutzausschusses übernommen2; stellenweise, wenngleich in eher geringen Maßen, gibt es auch eigene Anweisungen und Ratschläge, die z. T. aus eigenen Verordnungen bzw. Leitlinien der Datenschutzbehörde stammen oder auf der einjährigen Erfahrung beruhen. Diese sind für diesen Artikel von Interesse.

Verweis auf altes Datenschutzgesetz

Zunächst fällt eine ausdrückliche Aussage auf, wonach alle Verweise in der rumänischen Gesetzgebung, die auf das alte, nicht mehr geltende rumänische Datenschutzgesetz3 verweisen, als Verweise auf die DSGVO und die Gesetzgebung für deren Umsetzung auszulegen sind. Inwieweit eine solche Auslegung immer möglich ist, wird sich erst im Laufe der Zeit zeigen.

Klarstellung bzgl. der Registrierung als Verantwortlicher

Die Datenschutzbehörde hielt es für erforderlich, noch einmal zu verdeutlichen, dass die frühere Registrierung als Verantwortlicher nicht mehr möglich (und somit auch nicht erforderlich) ist.

Behördenbegriff im Zusammenhang mit der Bestellung des Datenschutzbeauftragten

Kultstätten, gemeinnützige Vereine und Stiftungen werden den Behörden gleichgestellt4, womit diese Einrichtungen ebenfalls einen Datenschutzbeauftragten benötigen. Sie dürfen jedoch einen einzigen Datenschutzbeauftragten für mehrere Behörden bestellen.

Gemeinsamer Datenschutzbeauftragter

Der Datenschutzbeauftragte müsse für die betroffenen Personen, die Datenschutzbehörde und die eigenen Kollegen leicht erreichbar sein. Die rumänische Datenschutzbehörde erspart sich hier eine wünschenswerte eindeutigere Antwort und verweist lediglich auf die Leitlinie des Europäischen Datenschutzausschusses in Bezug auf den Datenschutzbeauftragten, wo z. B. ausdrücklich vorgesehen ist, dass der Datenschutzbeauftragte mit der Aufsichtsbehörde und den betroffenen Personen in der jeweiligen Landessprache kommunizieren können muss.

Bekanntgabe des Datenschutzbeauftragten an die Datenschutzbehörde

Generell rät die rumänische Datenschutzbehörde grundsätzlich zur Bestellung eines Datenschutzbeauftragten, auch wenn dies gesetzlich nicht verpflichtend ist. Die Bekanntgabe des Datenschutzbeauftragten erfolgt über ein Online-Formular auf der Webseite der Behörde; im Falle gemeinsamer Datenschutzbeauftragter reicht jede Gesellschaft jeweils ein Formular ein. Änderungen betreffend den Datenschutzbeauftragten erfordern neue Formulare.

Freie Einwilligung

Für die Beurteilung, ob die Einwilligung zur Datenverarbeitung frei erteilt wurde, wird berücksichtigt, ob die Erfüllung eines Vertrages, einschließlich der Erbringung von Dienstleistungen, von der Erteilung der Einwilligung hinsichtlich der für die Vertragserfüllung benötigten Daten bedingt ist. Obwohl es eigentlich schon zuvor eindeutig war, dass in Fällen, in denen die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erfolgt, keine Einwilligung nötig ist, wird dies ausdrücklich vorgesehen. Als Beispiel wird die Datenverarbeitung der Arbeitnehmer im Hinblick auf deren Meldung im Revisal-System genannt.

Alter für wirksame Einwilligung von Kindern

Die Datenschutzbehörde hat das Alter gemäß Art. 8 DSGVO für die wirksame Erteilung der Einwilligung eines Kindes übernommen. Somit kann ein Kind ab dem Alter von 16 Jahren wirksam in die Verarbeitung seiner Daten einwilligen.

Form des Verzeichnisses der Verarbeitungstätigkeiten

Obwohl die DSGVO5 vorsieht, dass das Verzeichnis in schriftlicher Form geführt werden muss, was auch in elektronischem Format möglich ist, sieht die Anleitung vor, das Verzeichnis sei sowohl schriftlich als auch in elektronischer Form zu führen. Es ist schwierig, zu sagen, ob es sich um einen redaktionellen Fehler oder um eine absichtliche Änderung handelt.

Datenschutz-Folgenabschätzung

Die rumänische Datenschutzbehörde hat den Beschluss Nr. 174/2018 erlassen, der festlegt, wann eine Datenschutz-Folgenabschätzung erforderlich ist.

Fazit

Die Anleitung ist zwar willkommen und kann natürlichen Personen und sogar Unternehmen zumindest einen allgemeinen Überblick über die einzuhaltenden Regelungen verschaffen, allerdings enthält sie nur unzureichende Antworten auf viele praktische Fragen.

----------------------------------
1 HIER zu finden

2 worauf hier nicht näher eingegangen wird

3 Gesetz Nr. 677/2001

4 Art. 2 Abs. 1a des Gesetzes Nr. 190/2018

5 Art. 30 Abs. 3

--------------------------------
Kontakt und weitere Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrița
Büro  Bukarest:
Tel.:       +40 – 21 – 301 03 53
Fax.        +40 – 21 – 315 78 36
E-Mail:  bukarest@stalfort.ro
www.stalfort.ro