Rumänische Richtlinien zur DSGVO – ein erster Schritt?

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung der EU (DSGVO) in Kraft. Nachfolgend fassen wir die wesentlichen Aktionen, die Rumänien bzw. die rumänische Datenschutzbehörde (RDB) bislang unternahm, zusammen.

Gesetzesentwurf

Am 5. September wurde ein Gesetzesentwurf (der Entwurf) veröffentlicht. Dieser konzentriert sich wesentlich auf Organisation und Betrieb der RDB und ist von den detaillierten Richtlinien bzw. nationalen Regelungen, die andere Mitgliedstaaten bislang erlassen haben, noch weit entfernt. Die wichtigsten Änderungen, die der Entwurf einführt, betreffen Folgendes:

  1. Unabhängigkeit der RDB: Beamte der RDB erhalten einen privilegierteren Status. Die RDB und ihr Vorsitzender sind unabhängig.
  2. Befugnisse des Vorsitzenden: Dem Vorsitzenden der RDB obliegt die Überwachung der Anwendbarkeit der EU- Datenschutzregelungen (Die DSGVO und die Verordnung (EU) 2016/680); er nimmt ferner an dem Europäischen Datenschutzausschuss teil.
  3. Prüfbefugnisse der RDB: Die RDB erhält Zugang zu allen persönlichen Daten und Informationen sowie zu jedweden Räumlichkeiten von Datenverantwortlichen oder -auftragsverarbeitern, sowie das Recht, jedwede für eine Prüfung relevanten Informationen anzufordern. Die RDB kann auch Sachverständige befragen und Anhörungen durchführen. Hierzu wird die Belegschaft der RDB von 50 auf 85 erhöht.
  4. Sanktionsbefugnisse der RDB: Dies ist für Verantwortliche und Auftragsverarbeiter von gleichermaßen hohem Interesse. Da hohe Geldbußen auferlegt werden können, wird der Datenschutz zweifellos eine Priorität für Unternehmen werden; die Entwicklung dürfte derjenigen des rumänischen Wettbewerbsrechts/des Wettbewerbsrats (der Kartellbehörde) folgen. Die Hauptsank-tionen, zu deren Auferlegung die RDB berechtigt ist, sind Rügen und Geldbußen. Ferner kann sie Verwarnungen erteilen. 
  5. Ermittlung von Verstößen: Die RDB stellt Rechtsverstöße mittels Protokollen fest. Übersteigt die Geldbuße 300.000 Euro, ist der Rechtsverstoß durch Beschluss des Vorsitzenden festzustellen. Verantwortliche und/oder Auftragsverarbeiter, gegen die ermittelt wird, können gegen das Protokoll bzw. den Beschluss innerhalb von 15 Tagen ab Bekanntgabe Beschwerde einlegen. Anderenfalls wird das Protokoll bzw. der Beschluss zu einem vollstreckbaren Titel. Die Geldbuße wird innerhalb von 15 Tagen ab Zustellung des Protokolls bzw. Beschlusses fällig.
  6. Verjährung: Sanktionen können innerhalb von drei Jahren ab dem Rechtsverstoß verhängt werden. Die Einleitung von Ermittlungsverfahren unterbricht die Frist; die Verjährung tritt jedoch nach maximal vier Jahren ab Begehung des Verstoßes ein.
  7. Geldbuße bei unterlassener Auskunftserteilung: Die RDB kann Geldbußen in Höhe von bis zu 3000 Lei pro Verspätungstag auferlegen, sollten Maßnahmen nicht unternommen oder angeforderte Informationen nicht an die RDB herausgegeben werden. 
  8. Beschwerde: Jeder betroffenen Person steht ein Recht zur Beschwerde zu; das Verfahren ist vom Vorsitzenden der RDB noch zu erlassen. Die betroffene Person ist innerhalb von 30 Tagen über die Zulässigkeit der Beschwerde zu informieren.
  9. Klagerecht der RDB: Geht die RDB davon aus, dass ein garantiertes Recht verletzt wurde, hat sie die Befugnis, Klage zu erheben. In diesem Fall wird der Betroffene zum Kläger. Schließt er sich der Klage aber nicht an, annulliert das Gericht den Klageantrag.

Richtlinien

Viele EU- Mitgliedstaaten haben bereits vor geraumer Zeit Ressourcen und Informationen gesammelt und Richtlinien zu den wichtigen künftigen Änderungen des Datenschutzrechts erlassen. Damit sind sie einen Schritt weiter: Rumänien hat erst am 21. September 2017 „indikative Richtlinien zur Anwendung der DSGVO für Datenverantwortliche“ (die Richtlinien), erlassen.

Diese Richtlinien sind eine Zusammenfassung der DSGVO und ihrer Auswirkungen, bringen jedoch leider kaum Mehrwert im Hinblick auf deren Anwendung in Rumänien. Lediglich drei Empfehlungen sind erwähnenswert. Sie betreffen:


• Die Benennung eines Datenschutzbeauftragten (auch falls nicht gesetzlich erforderlich);
• Die Durchführung einer Folgeabschätzung, die (i) die Garantie der Rechte der Betroffenen, (ii) eine Einschätzung der Folgen für den Schutz des Privatlebens und (iii) Nachweise der Beachtung der Grundprinzipien der DSGVO enthält.
• Die Verpflichtung des Verantwortlichen, interne Verfahren zur Beachtung der Datenschutzvorschriften aufzustellen (privacy by design und by default).

Fazit

Obwohl der Gesetzesentwurf und die Richtlinien sehr willkommen sind, bleibt weiterhin zu hoffen, dass die RDB eine aktivere Rolle in Verbindung mit der Anwendung der DSGVO einnehmen wird, und dass sie rechtzeitig vor dem 25. Mai 2018 Stakeholder und Datenschutzexperten in die weitere Schaffung detaillierter Richtlinien einbinden wird.

 

--------------------------------------------------------------------

 

Kontakt und weitere
Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrita
Büro Bukarest:
Tel.: +40 – 21 – 301 03 53
Fax. +40 – 21 – 315 78 36
E-Mail: bukarest@stalfort.ro