Kurz vor den Sommerferien sorgte die rumänische Datenschutzbehörde für große Aufruhr und verhängte die ersten drei Datenschutzsanktionen gegen rumänische Gesellschaften aufgrund der DSGVO. Betroffen waren eine Bank (UniCredit, 130.000 EUR), ein Hotel (World Trade Center Bucharest, 15.000 EUR) und ein Beratungsunternehmen (Legal Company & Tax Hub SRL, 3000 EUR), welches unter anderem Beratung in datenschutzrechtlichen Angelegenheiten anbot. Hintergrund war erneut das Thema der sicheren Datenverarbeitung, welches in einem früheren Artikel zur Anleitung der Datenschutzbehörde analysiert wurde.
Nachfolgend einige Überlegungen, die von jedem Datenverarbeiter (Verantwortlicher) nun bestimmt näher unter die Lupe genommen werden müssen.
Meldung und Anzeige von Verletzungen der Datenschutzrechte an die Behörde
Datenschutzverletzungen müssen einerseits von Verantwortlichen gemeldet werden, um der Datenschutzbehörde die Einschätzung der Auswirkungen zu ermöglichen. Andererseits haben betroffene natürliche Personen ebenfalls die Möglichkeit, solche Verletzungen anzuzeigen.
Verletzungen des Schutzes personenbezogener Daten müssen Verantwortliche binnen höchstens 72 Stunden an die zuständige Behörde melden. Die Anleitung sieht eine Meldung mittels eines Online-Formblattes vor. Solche Meldungen sind digital zu unterzeichnen, sodass Verantwortliche, welche über keine elektronische Signatur verfügen, praktisch verhindert werden, Meldungen zu übersenden.
Natürliche Personen können Verletzungen ihrer personenbezogenen Daten Rumänisch oder Englisch anzeigen. Vorerst muss der Verantwortliche über die Verletzung informiert werden und die Verletzung muss trotzdem nicht beseitigt worden sein. Die Anzeige wird entweder online oder auf Papier, persönlich oder durch einen Bevollmächtigten, eingereicht.
Praktische Beispiele für Veröffentlichungen personenbezogener Daten
Als Grundsatz für die Datenverarbeitung gilt die Verantwortlichkeit, d.h. jeder Verantwortliche muss in der Lage sein, eine gesetzeskonforme Verarbeitung nachzuweisen. Anders als bei Steuerprüfungen weisen die Behörden keine bestehenden Gesetzesverstöße nach, sondern handeln vorbeugend und sanktionieren den Verantwortlichen, sofern er keine Nachweise über die gesetzesmäßige Verarbeitung erbringt.
In der Anleitung werden einige praktische Beispiele aufgezählt, die sowohl für das Privat- als auch für das Geschäftsleben relevant sind. Privat dürfen Wohnungs-Eigentümer-Vereine (rum. asocia]ii de proprietari) nur dann personenbezogene Daten wie beispielsweise Restzahlungen für die Versorgungsleistungen veröffentlichen bzw. Videoaufnahmen verarbeiten, wenn bestimmte strenge Vorgaben der sicheren Verarbeitung und Datenminimierung erfüllt sind.
Ähnlich dürfen öffentliche Behörden nur dann Informationen über Kandidaten für öffentliche Stellen veröffentlichen, wenn eine ausdrückliche Einwilligung vorliegt oder eine gesetzliche Bestimmung dies vorschreibt. Öffentliche Behörden werden gemäß der von der DSGVO abweichenden rumänischen Gesetzgebung gegenüber privaten Unternehmen positiv diskriminiert, da sie (i) vor Verhängung einer Geldbuße über die Möglichkeit einer Behebung der Verletzung binnen maximal 3 Monaten verfügen und (ii) ihnen deutlich geminderte Sanktionen (maximal 200.000 RON, d.h. 43.000 EUR) im Vergleich mit der DSGVO (maximal 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs) drohen.
Spezielle personenbezogene Daten
Die nach älterer Gesetzgebung sogenannten sensiblen Daten (wie beispielsweise Personenkennzahl, Ausweisserie und –Nummer, Passnummer) dürfen lediglich in bestimmten Situationen und unter Einhaltung zusätzlicher Vorkehrungen verarbeitet werden. Natürliche Personen geben aufgrund älterer Praxis die Personenkennzahl (rum. cod numeric personal) in den unterschiedlichsten Situationen problemlos preis und Verantwortliche verlangen diese Daten oft, ohne viel darüber nachzudenken. Die gegenüber der UniCredit verhängte Sanktion wird vermutlich dazu beitragen, dass sämtliche Verantwortliche die Prüfung der Erforderlichkeit solcher Daten erneut vornehmen.
Fazit und Ausblick
Die in den letzten Wochen verhängten Sanktionen haben einige Alarmglocken läuten lassen. Wir gehen davon aus, dass sämtliche Unternehmen aus den unterschiedlichen Privatbereichen ihre Datenschutzpolitik neu unter die Lupe nehmen und dabei die Anleitung der Datenschutzbehörde im Lichte der DSGVO studieren werden. Es bleibt offen, inwiefern dieser Abschreckungseffekt tatsächlich zur EU-konformen Datenverarbeitung beiträgt oder aber sich die Aufregung kurzfristig legt.