Rumänisches Datenschutzrecht endlich an die DSGVO angepasst – Teil 1

Über zwei Monate seit Inkrafttreten der Datenschutz- Grundverordnung (DSGVO)1 hat der rumänische Gesetzgeber ein Gesetz hierzu („Gesetz 190“)2 verabschiedet. Es trat am 31.07.2018 in Kraft.

Allgemeines

Das Gesetz hat gegenüber dem ursprünglichen Entwurf Änderungen erfahren. Inwieweit diese hinreichend sind, um einen praxisorientierten Rechtsrahmen zu schaffen, ist allerdings zweifelhaft. Nachstehend wird ein erster Teil der praxisrelevanten Aspekte beschrieben.

Verarbeitung besonderer personenbezogener Daten

a. Biometrische, genetische und Gesundheitsdaten

Die Verarbeitung solcher Daten zum Zweck eines automatisierten Entscheidungsverfahrens oder Profiling erfordert die Einwilligung der betroffenen Person, es sei denn, die Verarbeitung erfolgt aufgrund einer ausdrücklichen Rechtsvorschrift. Geeignete Maßnahmen zur Sicherung der Rechte, Freiheiten und berechtigten Inte-ressen der betroffenen Personen sind erforderlich.

b. Persönliche Kennziffer (z. B. CNP)

Der Gesetzgeber fordert im Falle der Verarbeitung der nationalen Kennziffer aus berechtigtem Interesse3 des Verantwortlichen oder eines Dritten folgende Garantien:

  • geeignete technische und organisatorische Maßnahmen wie Datenminimierung (d. h. Beschränkung der Verarbeitung auf ein notwendiges Maß) und Gewährleistung der Sicherheit und Vertraulichkeit der Daten;
  • Bestellung eines Datenschutzbeauftragten („DSB“);
  • Festlegung der Dauer der Aufbewahrung der personenbezogenen Daten, abhängig von den Daten und dem Zweck der Verarbeitung;
  • Regelmäßige Teilnahme an Schulungen des Personals, das personenbezogene Daten im Namen des Verantwortlichen oder Auftragsverarbeiters verarbeitet.


Im Falle der Verarbeitung der persönlichen Kennziffer aus berechtigtem Interesse muss daher ein DSB bestellt werden. Da in Rumänien die Verarbeitung der persönlichen Kennziffer (CNP) durchaus üblich ist, kann diese Maßnahme dazu führen, die ungerechtfertigte Anforderung der persönlichen Kennziffer zu beschränken. Obwohl dies eigentlich auch durch die DSGVO direkt gewährleistet sein sollte, ist diese ausdrückliche Regelung angesichts der rumänischen Praxis durchaus willkommen.

Datenverarbeitung im Beschäftigungskontext

Setzt der Arbeitgeber aus berechtigtem Interesse am Arbeitsplatz Überwachungssysteme durch elektronische Kommunikationsmittel oder Videoüberwachung ein, muss:

  • sein berechtigtes Interesse auf berechtigten Gründen beruhen und den Interessen, Rechten und Freiheiten der betroffenen Person vorgehen;
  • er die Arbeitnehmer im Voraus umfänglich und ausdrücklich informieren;
  • er die Gewerkschaft oder die Arbeitnehmervertreter vorab unterrichten;
  • sich keine andere mildere Maßnahme für die Erfüllung des durch den Arbeitgeber verfolgten Zwecks zuvor als effizient erwiesen haben;
  • die Dauer der Aufbewahrung zum Zweck der Verarbeitung verhältnismäßig sein. Vorbehaltlich ausdrücklich durch Gesetz vorgesehener oder gut begründeter Fälle beträgt diese maximal 30 Tage.


In diesem Zusammenhang spielt die Dokumentierung im Verzeichnis der Verarbeitungstätigkeiten eine ausschlaggebende Rolle. Ebenfalls wichtig ist der (schriftliche) Beweis, dass der Arbeitnehmer vor der Verarbeitung eine Informierung erhalten und verstanden hat.

Problematisch bleibt für den Arbeitgeber, dass er vor der Einführung von Überwachungssystemen durch elektronische Kommunikationsmittel oder Video alle geeigneten, milderen Mittel ausgeschöpft haben muss und diese sich als ineffizient (und nicht nur weniger effizient) erwiesen haben müssen.

Ausnahmen

Zur Gewährleistung der Verhältnismäßigkeit und des Gleichgewichts zwischen dem Datenschutz und der Verarbeitung von personenbezogenen (einschließlich besonderer Kategorien von) Daten durch politische Parteien und Bürgerorganisationen der nationalen Minderheiten, Nichtregierungsorganisationen, etc. müssen folgende Rechte berücksichtigt werden:

  • Informationsrecht der betroffenen Person über die Verarbeitung der Daten;
  • Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person;
  • Recht auf Berichtigung und Löschung.


Diese Organisationen dürfen zum Zweck der Erfüllung ihres Tätigkeitsgegenstandes personenbezogene Daten ohne ausdrückliche Einwilligung der betroffenen Person verarbeiten, wenn die vorstehenden Garantien/Rechte gewährleistet sind.

Die Ausnahme dieser Organisationen von den Regelungen und somit vom Schutz der DSGVO für die betroffenen Personen verstößt u. E. gegen die DSGVO.

Fazit

Das Gesetz versucht einerseits, den Verpflichtungen der DSGVO nachzukommen. Andererseits überschreitet es ihre Grenzen, was mit Sicherheit Folgen haben wird. Wir erwarten weitere Änderungen.

 

-----

1 am 25. Mai 2018
2 Gesetz 190/2018 bezüglich Maßnahmen zur Umsetzung der DSGVO
3 Wenn kein anderer Rechtfertigungsgrund, wie z. B. eine gesetzliche Verpflichtung, eingreift

 

----------

Kontakt und weitere Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrița
Büro Bukarest:
Tel.: +40 – 21 – 301 03 53
Fax. +40 – 21 – 315 78 36
E-Mail: bukarest@stalfort.ro