Endlich ist er da! Knapp zwei Monate vor Beginn der Anwendung der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 ist ein Gesetzesentwurf zur Konkretisierung der DSGVO (der „Gesetzesentwurf“), die dem Gesetzgeber der Mitgliedstaaten überlassen wurde, auf der Seite des Senats veröffentlicht worden. Folgendes ist zu berichten:
Allgemeines
Obwohl die DSGVO als europäische Verordnung ohne Umsetzung in nationales Recht direkte Anwendung findet, erfordern einige Artikel der DSGVO auf das nationale Recht maßgeschneiderte Regelungen. Dies gilt auch dort, wo der europäische Gesetzgeber eine Pflicht des nationalen Gesetzgebers vorgesehen hat, bestimmte offen gelassene Aspekte zu regeln.
In diesem Artikel gehen wir auf die wichtigen Aspekte des Gesetzesentwurfes mit Auswirkung auf die Geschäftstätigkeit von Gesellschaften ein, wobei wir zu einem späteren Zeitpunkt Details zum Rest der Regelungen abhandeln werden.
Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten
Unter „nationale Kennziffer“ ist gemäß dem Gesetzesentwurf die Nummer zu verstehen, wodurch eine natürliche Person in bestimmten Aufzeichnungssystemen mit allgemeiner Anwendbarkeit registriert ist, wie etwa die persönliche Kennziffer (cod numeric personal), Serie und Nummer des Personalausweises, Pass-, Führerschein- oder Krankenversicherungsnummer.
a. Biometrische, genetische und Gesundheitsdaten
Im Gegensatz zum Wortlaut der DSGVO hat der rumänische Gesetzgeber die Verarbeitung dieser Daten zum Zweck eines automatisierten Entscheidungsverfahrens oder Profiling verboten. Dieses Verbot kann nicht durch die Einwilligung der betroffenen Person aufgehoben werden. Eine Ausnahme besteht nur im Fall einer Verarbeitung, die von oder unter der Kontrolle einer Behörde vorgenommen wird, wobei die Erfüllung geeigneter Garantien zur Gewährleistung des Datenschutzes für die betroffene Person erforderlich ist.
b. Persönliche Kennziffer
Die Verarbeitung der persönlichen Kennziffer, einschließlich durch das Erheben oder die Offenlegung der Dokumente, in denen diese enthalten ist, unterliegt den allgemeinen Rechtmäßigkeitsbedingungen. Als kurze beispielhafte Zusammenfassung, ist eine Verarbeitung z. B. in folgenden Fällen möglich:
• Einwilligung der betroffenen Person,
• Erfüllung eines Vertrages,
• rechtliche Verpflichtung des Verantwortlichen,
• berechtigtes Interesse des Verantwortlichen.
Einerseits handelt es sich hierbei um eine Lockerung des derzeit geltenden Rechts, das die persönliche Kennziffer als besondere Kategorie von personenbezogenen Daten eingestuft hat. Damit werden persönliche Kennziffern dadurch, dass nicht auf Art. 9 der DSGVO verwiesen wird, u. E. nunmehr zu „einfachen“ personenbezogenen Daten.
Der Gesetzgeber fordert im Falle der Verarbeitung der nationalen Kennziffer aus berechtigtem Interesse „geeignete Mindestgarantien“. Diese sind:
• geeignete technische und organisatorische Maßnahmen,
• die Bestellung eines Datenschutzbeauftragten („DSB“; englisch „DPO“) gemäß Art. 8 des Gesetzesentwurfs,
• Verhaltensregelungen gemäß Art. 40 DSGVO und deren Einhaltung,
• Festlegung der Dauer der Aufbewahrung der personenbezogenen Daten,
• Teilnahme an Schulungen des Personals, das personenbezogene Daten im Namen des Verantwortlichen oder des Auftragsverarbeiters handhabt.
Der Gesetzesentwurf scheint im Falle der Verarbeitung der persönlichen Kennziffer generell einen DSB zu fordern, was weit über den Wortlaut der DSGVO hinausgeht. Die „geeigneten Mindestgarantien“ verweisen auf Art. 8 des Gesetzesentwurfs, dieser verweist jedoch wiederum auf die Regelungen der DSGVO über den DSB. Man könnte dies dahingehend verstehen, dass dadurch die allgemeinen Bedingungen zur Bestellung eines DSB Anwendung finden; dies aber die oben genannte Bestimmung ohne Inhalt lassen. Da es in Rumänien durchaus üblich (und z. T. zwingend) ist, dass juristische Personen persönliche Kennziffern verarbeiten, würde dieser Gesetzesentwurf hiernach durch die Hintertür, die Pflicht für (fast) alle juristischen Personen einführen, einen DSB zu bestellen. Hierzu werden weitere Klarstellungen des Gesetzgebers erforderlich sein.
Fazit
Der Gesetzesentwurf sorgt mit Sicherheit für etwas Verwirrung. Es ist ins-
besondere unklar, wieso der Gesetzgeber im Falle von Gesundheitsdaten z. B. das Profiling absolut verboten hat. Es sind durchaus Fälle denkbar, in denen die Regelung nicht erforderlich ist, weil die DSGVO bereits hinreichenden Schutz bietet. Sollte der Gesetzgeber ferner einen DSB für alle juristischen Personen vorschreiben wollen, so ist schon aus praktischer Sicht fraglich, wo so viele Datenschutzexperten auffindbar sein sollen. Das Gesetzgebungsverfahren ist noch lang; es ist nicht davon auszugehen, dass das Gesetz bis zum 25. Mai 2018 in Kraft tritt.
----------
Kontakt und weitere Informationen:
STALFORT Legal. Tax. Audit.
Bukarest – Sibiu – Bistri]a
Büro Bukarest:
Tel.: +40 – 21 – 301 03 53
Fax. +40 – 21 – 315 78 36
E-Mail: bukarest@stalfort.ro