Wie bereits in unserem ersten Teil dargestellt, ist in Rumänien mit einer geringen Verspätung zum 31. Juli 2018 eine Umsetzung der DSGVO1 in Kraft getreten. Im Vergleich zu anderen EU-Ländern, ist das rumänische Gesetz Nr. 190 kurz und knapp und bereits vor Verabschiedung in gewissen Teilen umstritten. Der rumänische Gesetzgeber hat die europäischen Öffnungsklauseln kaum genutzt, um Klarstellungen hinsichtlich der Datenverarbeitung vorzunehmen, sondern um Ausnahmen für öffentliche Behörden, politische Parteien u. a. festzulegen.
Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB)
Die erste Frage, die sich rumänische Unternehmen stellen, ist, inwiefern sie einen DSB bestellen müssen. Diese Frage bleibt durch das Gesetz Nr. 190 unbeantwortet, zumal das Gesetz kurz auf die DSGVO verweist. Grundsätzlich schreibt Art. 37 der DSGVO vor, dass ein DSB zwingend zu benennen ist, wenn die Kerntätigkeit des betroffenen Unternehmens:
1. In der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen;
2. in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Es ist davon auszugehen, dass die meisten Unternehmen keine besonderen Kategorien von Daten oder strafrechtliche Verurteilungen (Pkt. 2) als Kerntätigkeit haben, sodass die erste Voraussetzung zu prüfen ist.
Die DSGVO und das Gesetz Nr. 190 enthalten keine klaren Auslegungen zum Thema „umfangreiche Überwachung“, insofern bleibt offen, wann die Datenverarbeitung einen „umfangreichen“ Charakter hat. U. a. wird vertreten, dass der umfangreiche Charakter gegeben sei, wenn große Mengen personenbezogener Daten auf regionaler, nationaler und supranationaler Ebene verarbeitet werden und beispielsweise eine große Anzahl von betroffenen Personen vorliegen2. Dies ist bei einer üblichen Verarbeitung der Daten der eigenen Arbeitnehmer (unabhängig von der Anzahl) u. E. nicht gegeben.
Ist die Pflicht zur Bestellung eines DSB dennoch gegeben, so muss dieser aufgrund eines Formulars3 der Datenschutzbehörde angezeigt werden. Für Unternehmensgruppen besteht die Möglichkeit der Bestellung eines gemeinsamen Gruppenbeauftragten. Die Praxis der vergangenen Monate hat allerdings gezeigt, dass die rumänische Datenschutzbehörde die Bestellung eines ausländischen DSB nicht begrüßt, da die effiziente Kommunikation im Falle einer Datenschutzverletzung mangels einer Person vor Ort, welche die Amtssprache beherrscht, erschwert wird.
Selbst wenn die Voraussetzungen zur Bestellung eines DSB in den meisten Fällen nicht erfüllt werden, ist es u. E. empfehlenswert, eine für den Datenschutz im Unternehmen zuständige Person zu bestellen, ohne diese gegenüber der Datenschutzbehörde offiziell anzumelden.
Unterschiedliche Sanktionen für öffentliche Behörden
Gemäß dem Gesetz Nr. 190 werden datenschutzrechtliche Verletzungen durch private Personen schärfer geahndet als solche, die durch öffentliche Behörden begangen werden. Einerseits sieht das rumänische Gesetz deutlich geminderte Sanktionen für öffentliche Behörden vor (maximal 200.000 Lei, etwa 43.000 Euro) im Vergleich mit der DSGVO (maximal 20 Mio. Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs). Andererseits wird ausschließlich für solch öffentliche Behörden die Möglichkeit geschaffen, binnen einer gemeinsam vereinbarten Nachfrist von maximal 3 Monaten, die datenschutzrechtlichen Verletzungen auf Basis eines vorgegebenen Behebungsplans (rum. plan de remediere) zu beseitigen. Diese Ungleichbehandlung setzt ein klares Zeichen, dass die öffentlichen Behörden noch weit von dem Compliance mit der DSGVO sind. Es bleibt offen, inwiefern diese Regelungen einer EU-rechtlichen Prüfung standhalten werden.
Fazit
Das Gesetz Nr. 190 weicht gering von dem bereits durch uns in früheren Artikeln analysierten Gesetzesentwurf ab. Begrüßenswert sind die Klarstellungen zur Verarbeitung von biometrischen Daten sowie zur persönlichen Kennziffer. Umstritten sind Regelungen wie die positive Diskriminierung von politischen Parteien, Bürgerorganisationen der nationalen Minderheiten oder Nichtregierungsorganisationen. Auch ist die Begünstigung von öffentlichen Behörden durch Reduzierung der Sanktionen und Einführung einer Nachfrist zur Umsetzung eines Behebungsplans nicht gerechtfertigt.
----------
1 Die Datenschutz-Grundverordnung trat am 25. Mai 2018 in Kraft.
2 WP 243 der Artikel 29-Arbeitsgruppe
3 Das Formular kann auf der Webseite der Datenschutzbehörde heruntergeladen und ausgefüllt werden.
----------
Kontakt und weitere Informationen:
STALFORT Legal. Tax. Audit.
Bukarest – Sibiu – Bistrița
Büro Sibiu:
Tel.: +40 – 269 – 244 996
Fax. +40 – 269 – 244 997
E-Mail: sibiu@stalfort.ro
www.stalfort.ro