Endlich ist er da! Knapp zwei Monate vor Beginn der Anwendung der DSGVO1 ist ein Gesetzesentwurf zur Konkretisierung der DSGVO (der „Gesetzesentwurf“), die dem Gesetzgeber der Mitgliedstaaten überlassen wurde, auf der Seite des Senats veröffentlicht worden. Der Gesetzesentwurf wurde vom Senat zurückgezogen und bei der Abgeordnetenkammer eingereicht.

Der Gesetzesentwurf sollte ursprünglich bis zum 8. Mai Gegenstand der öffentlichen Anhörung sein. Am 13. April wurde diese Frist ohne offizielle Bekanntgabe gekürzt, und die öffentliche Anhörung wurde am selben Tag geschlossen. Somit wurden keine Vorschläge/Anregungen zum Gesetzesentwurf registriert; am 19. April hat der Wirtschafts- und Sozialrat („WSR“) den Gesetzesentwurf mit Änderungsvorschläge genehmigt. Dieser Artikel behandelt nicht abschließend die Änderungsvorschläge, sondern gibt den Inhalt des Gesetzesentwurfs unter Berücksichtigung wichtiger Änderungsvorschläge wieder.

Allgemeines

Obwohl die DSGVO als europäische Verordnung ohne Umsetzung in nationales Recht direkte Anwendung findet, erfordern einige ihrer Artikel auf das nationale Recht maßgeschneiderte Regelungen. Dies gilt auch dort, wo der europäische Gesetzgeber eine Pflicht des nationalen Gesetzgebers vorgesehen hat, bestimmte offen gelassene Aspekte zu regeln. 

In diesem Artikel gehen wir auf die wichtigen Aspekte des Gesetzesentwurfes mit Auswirkung auf die Geschäftstätigkeit von Gesellschaften ein, ohne die Regelungen über die Sanktionen zu erläutern.

Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten

Der Gesetzesentwurf definiert die „nationale Kennziffer“ als die Nummer, wodurch eine natürliche Person in bestimmten Aufzeichnungssystemen mit allgemeiner Anwendbarkeit registriert ist, wie etwa die persönliche Kennziffer (cod numeric personal), Serie und Nummer des Personalausweises, Pass-, Führerschein- oder Krankenversicherungsnummer.

a. Biometrische, genetische und Gesundheitsdaten

Im Gegensatz zum Wortlaut der DSGVO hat der rumänische Gesetzgeber die Verarbeitung dieser Daten zum Zweck eines automatisierten Entscheidungsverfahrens oder Profiling verboten. Dieses Verbot kann nicht durch die Einwilligung der betroffenen Person aufgehoben werden. Der WSR hat vorgeschlagen, das Verbot bei Einwilligung der betroffenen Person aufzuheben. Eine Ausnahme besteht nur im Fall einer Verarbeitung, die von oder unter der Kontrolle einer Behörde vorgenommen wird, wobei die Erfüllung geeigneter Garantien zur Gewährleistung des Datenschutzes für die betroffene Person erforderlich ist.

b. Persnliche Kennziffer

Die Verarbeitung der persönlichen Kennziffer, einschließlich durch das Erheben oder die Offenlegung der Dokumente, in denen diese enthalten ist, unterliegt den allgemeinen Rechtmäßigkeitsbedingungen. Als kurze beispielhafte Zusammenfassung, ist eine Verarbeitung z.B. in folgenden Fällen möglich: 

  • Einwilligung der betroffenen Person,
  • Erfüllung eines Vertrages,
  • rechtliche Verpflichtung des Verantwortlichen,
  • berechtigtes Interesse des Verantwortlichen. 

Einerseits handelt es sich hierbei um eine Lockerung des derzeit geltenden Rechts, das die persönliche Kennziffer als besondere Kategorie von personenbezogenen Daten eingestuft hat. Damit werden persönliche Kennziffern dadurch, dass nicht auf Art. 9 der DSGVO verwiesen wird, u.E. nunmehr zu „einfachen“ personenbezogenen Daten.

Der Gesetzgeber fordert im Falle der Verarbeitung der nationalen Kennziffer aus berechtigtem Interesse „geeignete Mindestgarantien“. Diese sind insbesondere:

  • geeignete technische und organisatorische Maßnahmen,
  • die Bestellung eines Datenschutzbeauftragten („DSB“; englisch „DPO“) gemäß Art. 8 des Gesetzesentwurfs,
  • Anwendung eines genehmigten Verhaltensregelungen gemäß Art. 40 DSGVO und deren Einhaltung (Der WSR hat vorgeschlagen, diese Garantie zu löschen und stattdessen einen Test über die Erforderlichkeit von Garantien und deren Umsetzung zu ersetzen.),
  • Festlegung der Dauer der Aufbewahrung der personenbezogenen Daten aufgrund der Art der personenbezogenen Daten und dem Zweck der Verarbeitung (Der WSR schlägt vor, die Festlegung aufgrund der Art der personenbezogenen Daten zu löschen.),
  • Teilnahme an regelmäßigen Schulungen des Personals, das personenbezogene Daten im Namen des Verantwortlichen oder des Auftragsverarbeiters verarbeitet. 

Der Gesetzesentwurf scheint im Falle der Verarbeitung der persönlichen Kennziffer generell einen DSB zu fordern, was weit über den Wortlaut der DSGVO hinausgeht. Die „geeigneten Mindestgarantien“ verweisen auf Art. 8 des Gesetzesentwurfs, dieser verweist jedoch wiederum auf die Regelungen der DSGVO über den DSB. Man könnte dies dahingehend verstehen, dass dadurch die allgemeinen Bedingungen zur Bestellung eines DSB Anwendung finden; dies aber die oben genannte Bestimmung ohne Inhalt lassen. Da es in Rumänien durchaus üblich (und z.T. zwingend) ist, dass juristische Personen persönliche Kennziffern verarbeiten, würde dieser Gesetzesentwurf hiernach durch die Hintertür, die Pflicht für (fast) alle juristischen Personen einführen, einen DSB zu bestellen. Hierzu werden weitere Klarstellungen des Gesetzgebers erforderlich sein.

Datenverarbeitung im Beschäftigungskontext

Setzt der Arbeitgeber aus berechtigtem Interesse am Arbeitsplatz Überwachungssysteme durch elektronische Kommunikationsmittel oder Videoüberwachung ein, muss: 

  • sein berechtigtes Interesse besonders wichtige Tätigkeiten betreffen, auf guten Gründen beruhen und den Interessen der betroffenen Person vorgehen,
  • er die Arbeitnehmer im Voraus umfänglich und ausdrücklich informieren, 
  • er die Gewerkschaft oder die Arbeitnehmervertreter vorab befragen muss (Der WSR schlägt lediglich eine Informationspflicht des Arbeitgebers vor.),
  • eine andere mildere Maßnahme sich vorher als nicht effizient erwiesen haben (Der WSR schlägt die Löschung dieser Klausel vor.), 
  • die Dauer der Aufbewahrung verhältnismäßig im Vergleich zum Zweck der Verarbeitung sein. Mit Ausnahme ausdrücklich durch Gesetz vorgesehener oder gut begründeter Fälle beträgt diese maximal 30 Tage (Der WSR schlägt die Löschung der 30-tägigen Frist vor.).

Auch in diesem Zusammenhang spielt die Dokumentierung im Verzeichnis der Verarbeitungstätigkeiten eine ausschlaggebende Rolle. Sie dient als Nachweis des Vorrangs des berechtigten Interesses des Arbeitgebers gegenüber den Rechten und Freiheiten des Arbeitnehmers sowie der Begründung der Aufbewahrungsfrist. 

Ebenfalls wichtig ist der (schriftliche) Beweis, dass der Arbeitnehmer vor der Verarbeitung eine Informierung erhalten und verstanden hat.

Problematisch ist für den Arbeitgeber, dass er vor Einführung von Überwachungssystemen durch elektronische Kommunikationsmittel oder Video alle geeigneten, milderen Mittel ausgeschöpft haben muss und diese sich als ineffizient (und nicht nur weniger effizient) erwiesen haben müssen. Demnach wird nicht etwa die Verhältnismäßigkeit zwischen unterschiedlichen Mitteln geprüft: sollte der Arbeitgeber andere Mittel zur Verfügung haben, muss er diese einsetzen, auch wenn das Ergebnis nicht an dasjenige der elektronischen Kommunikationsmittel oder der Videoüberwachung heranreicht. Dies kann durchaus zu unverhältnismäßigen Ergebnissen – auch hinsichtlich der Kosten – führen.

Ausnahmen

Der Gesetzgeber sieht einige Ausnahmen von der Anwendung bestimmter Artikel der DSGVO vor, u.a.:

  • Die Verarbeitung zu journalistischen Zwecken oder zum Zweck der wissenschaftlichen, künstlerischen und literarischen Meinungsäußerung

Um ein Gleichgewicht zwischen Datenschutz, Meinungs- und Informationsfreiheit zu gewährleisten, darf eine solche Verarbeitung erfolgen, wenn sie sich auf personenbezogene Daten bezieht, die von der betroffenen Person öffentlich gemacht wurde oder im engen Zusammenhang mit der Stellung als Person des öffentlichen Lebens oder dem öffentlichen Charakter der Tätigkeit, in der diese Person involviert ist, zusammenhängt. Hierfür wird mit einigen Ausnahmen (Allgemeine Bestimmungen, Rechtsbehelfe, Haftung und Sanktionen) von der Anwendung aller wesentlichen Kapitel der DSGVO abgesehen.

  • Die Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken, zu statistischen oder Archivzwecken im öffentlichen Interesse 

In diesem Fall sind die Rechte der betroffenen Personen auf:

  • Auskunft,
  • Berichtigung,
  • Einschränkung der Verarbeitung und
  • Widerspruch

unanwendbar, wenn diese Rechte zur Unmöglichkeit oder der wesentlichen Erschwerung der Erreichung der erwähnten Zwecke führen würden. 

Trotz der gesetzlichen Ausnahme wird erneut eine Begründung durch den Verantwortlichen erforderlich sein, um tatsächlich von diesen Rechten absehen zu können.

Dasselbe gilt für die Verarbeitung zu Archivzwecken im öffentlichen Interesse, obwohl hierbei zusätzlich von der Anwendung des Mitteilungsrechts und dem Recht auf Datenübertragbarkeit abgesehen wird. 

Für alle o.g. Ausnahmen müssen geeignete Garantien vorliegen. 

Datenschutzbeauftragter (DSB/ DPO)

Die Regelung zum DSB enthält einen Verweis auf die DSGVO. Zusätzlich regelt der Gesetzesentwurf die Möglichkeit, dass mehrere Behörden einen DSB teilen. 

Akkreditierung von Zertifizierungsstellen

Die Akkreditierung der Zertifizierungsstellen, d.h. die Stellen, die Zertifizierungen erteilen oder verlängern und über geeignetes Fachwissen verfügen, wird von dem Akkreditierungsverein in Rumänien (ro. Asociatia de Acreditare din Romania - RENAR) als nationales Akkreditierungsorgan übernommen. Die Akkreditierung der Zertifizierungsstellen wird gemäß EN-ISO/IEC 17065 mit zusätzlichen Anforderungen, die von der Aufsichtsbehörde festgelegt werden, erfolgen. Der WSR führt aus, die Zertifizierungen akkreditierter Organe anderer EUMitgliedsstaaten sollten ebenfalls anerkannt werden.

Fazit

Der Gesetzesentwurf sorgt mit Sicherheit für etwas Verwirrung. Es ist insbesondere unklar, wieso der Gesetzgeber im Falle von Gesundheitsdaten z.B. das Profiling absolut verboten hat. Es sind durchaus Fälle denkbar, in denen die Regelung nicht erforderlich ist, weil die DSGVO bereits hinreichenden Schutz bietet. 

Sollte der Gesetzgeber ferner einen DSB für alle juristischen Personen vorschreiben wollen, so ist schon aus praktischer Sicht fraglich, wo so viele Datenschutzexperten auffindbar sein sollen.

Die Nutzung von Überwachungssystemen am Arbeitsplatz durch elektronische Kommunikationsmittel oder durch Videoüberwachung aus berechtigtem Interesse wird geregelt, obwohl es zu einer u.E. unverhältnismäßigen Rechtsvorschrift gekommen ist, die weiterer Änderungen bedarf. 

Im Übrigen sind die oben genannten Regelungen (mehr oder weniger gelungene) Übersetzungen der DSGVO. 

Trotz der Beschleunigung durch die Abgeordnetenkammer ist das Gesetzgebungsverfahren noch lang; es ist fraglich, ob das Gesetz bis zum 25. Mai 2018 in Kraft tritt.