Wie bereits in dem ersten Teil dieses Berichts dargestellt, ist in Rumänien zum 31.07.2018 und damit leicht verspätet eine Konkretisierung der DSGVO[1] in Kraft getreten. Im Vergleich zu den Regelungen anderer EU-Mitgliedstaaten ist das rumänische Gesetz Nr. 190 knapp und war bereits vor Verabschiedung in gewissen Teilen umstritten. Der rumänische Gesetzgeber hat die europäischen Öffnungsklauseln kaum genutzt, um Klarstellungen hinsichtlich der Datenverarbeitung zu bringen; vielmehr war er um Ausnahmen für öffentliche Behörden politische Parteien u.a. bemüht.

Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB)

Zuallererst fragen sich rumänische Unternehmen stets, inwiefern sie einen DSB bestellen müssen. Diese Frage bleibt durch das Gesetz Nr. 190 unbeantwortet, zumal dieses nur kurz auf die DSGVO verweist. Grundsätzlich schreibt Art. 37 der DSGVO vor, dass ein DSB zwingend zu benennen ist, wenn die Kerntätigkeit des betroffenen Unternehmens:

  1. in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  2. in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Es ist davon auszugehen, dass die meisten Unternehmen keine besonderen Kategorien von Daten oder strafrechtliche Verurteilungen (Pkt. 2) als Kerntätigkeit haben, sodass in der Regel die erste Voraussetzung zu prüfen ist.

Die DSGVO und das Gesetz Nr. 190 enthalten keine klaren Auslegungen zum Thema „umfangreiche Überwachung“; insofern bleibt offen, wann die Datenverarbeitung einen „umfangreichen“ Charakter hat. U.a. wird vertreten, der umfangreiche Charakter sei gegeben, wenn große Mengen personenbezogener Daten auf regionaler, nationaler und supranationaler Ebene verarbeitet werden und beispielsweise eine große Anzahl von betroffenen Personen vorliegen[2]. Dies ist bei einer üblichen Verarbeitung der Daten der eigenen Arbeitnehmer (unabhängig von der Anzahl) u.E. nicht der Fall .

Liegt die Pflicht zur Bestellung eines DSB dennoch vor, so muss dieser aufgrund eines Formulars[3] der Datenschutzbehörde angezeigt werden. Für Unternehmensgruppen besteht die Möglichkeit der Bestellung eines gemeinsamen Gruppenbeauftragten. Die Praxis der letzten Monate hat allerdings gezeigt, dass die rumänische Datenschutzbehörde die Bestellung eines ausländischen DSB nicht begrüßt. Hintergrund ist derjenige, dass die effiziente Kommunikation im Fall einer Datenschutzverletzung mangels einer Person vor Ort, die die Amtssprache beherrscht, erschwert wird.

Selbst wenn ein DSB in den meisten Fällen nicht zwingend ist, ist es u.E. empfehlenswert, eine für den Datenschutz im Unternehmen zuständige Person zu bestellen, ohne diese gegenüber der Datenschutzbehörde offiziell anzumelden.

Unterschiedliche Sanktionen für öffentliche Behörden

Gemäß dem Gesetz Nr. 190 werden datenschutzrechtliche Verletzungen durch private Personen schärfer geahndet als solche, die durch öffentliche Behörden begangen werden.

Einerseits sieht das rumänische Gesetz für öffentliche Behörden deutlich geminderte Sanktionen (maximal 200.000,- RON, d.h. 43.000,- EUR) im Vergleich zu der DSGVO (maximal 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs) vor. Andererseits wird ausschließlich für öffentliche Behörden die Möglichkeit geschaffen, die datenschutzrechtlichen Verletzungen auf Grundlage eines vorgegebenen Behebungsplans (rum. plan de remediere) binnen einer gemeinsam vereinbarten Nachfrist von maximal 3 Monaten zu korrigieren. Diese Regelungen dürfen als Anzeichen dafür gelten, dass die öffentlichen Behörden noch weit von der Compliance mit der DSGVO sind. Es bleibt offen, inwiefern diese Bestimmungen einer EU-rechtlichen Prüfung standhalten werden.

Fazit

Das Gesetz Nr. 190 weicht geringfügig von dem bereits in unseren früheren Artikeln analysierten Gesetzesentwurf ab. Begrüßenswert sind die Klarstellungen zur Verarbeitung von biometrischen Daten sowie zur persönlichen Kennziffer. Umstritten sind hingegen Regelungen wie die potentielle positive Diskriminierung von politischen Parteien, Bürgerorganisationen der nationalen Minderheiten oder Nichtregierungsorganisationen. Auch ist es fraglich, inwieweit die Sonderregelung für öffentliche Behörden durch Reduzierung der Sanktionen und Einführung einer Nachfrist zur Umsetzung eines Behebungsplans gerechtfertigt ist.