Rumänien: Umsetzung der DSGVO – Gesetz Nr. 190/2018

In Rumänien ist zum 31.07.2018 das Gesetz 190/2018 und damit die nationale Umsetzung der DSGVO in Kraft getreten. Im Vergleich zu den anderen EU-Ländern, ist das Gesetz 190/2018 inhaltlich eher kurz ausgefallen.

Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB)
Die Frage ob und inwiefern ein DSB zu bestellen ist, lässt das Gesetz unbeantwortet und verweist in diesem Zusammenhang lediglich auf die DSGVO.

Gemäß Art. 37 der DSGVO ist ein DSB dann zu bestellen, wenn die Kerntätigkeit des betroffenen Unternehmens:

  • in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen;
  • in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Da die überwiegende Anzahl der Unternehmen nicht die Verbreitung von besonderen Kategorien von Daten oder strafrechtlicher Verurteilungen als Kerntätigkeit haben, ist in der Regel die Prüfung des Vorliegen der unter Nr. 1 genannten Voraussetzungen relevant.

Da das Gesetz 190/2018 keine weiteren Klarstellungen enthält, ist das allgemeine Verständnis heranzuziehen, wonach die Voraussetzungen dann vorliegen, wenn in großem Umfang personenbezogene Daten verarbeitet werden oder eine große Anzahl betroffener Personen vorliegt.

Liegen die Voraussetzungen für die Bestellung eines DSB vor, muss dieser über ein Standardformular der rumänischen Datenschutzbehörde gemeldet werden. Auch wenn für Unternehmensgruppen die Möglichkeit der Bestellung eines gemeinsamen Gruppenbeauftragten besteht, hat die bisherige (kurze) Praxis gezeigt, dass die rumänische Datenschutzbehörde der Bestellung eines ausländischen DSB nicht wohlwollend gegenübersteht und es vorzieht, dass eine Person vor Ort ist, welche die rumänische Sprache beherrscht. Eine entsprechende Vorgabe ist der DSGVO fremd. Des Weiteren hat die rumänische Behörde in der Praxis in einigen Fällen, in denen die Voraussetzungen für die Pflicht zur Bestellung eines DSB nicht vorgelegen haben, dennoch die Ernennung eines DSB gefordert hat.

Ausnahmeregelungen für Behörden
Das Gesetz 190/2018 sieht deutlich geringere Strafen bzw. Sanktionen für Behörden als für Unternehmen vor. Die Höchststrafe bei Verfehlungen von Behörden liegt bei 200.000,00 Lei, (ca EUR 43.200,00).

Des Weiteren wird lediglich für Behörden die Möglichkeit vorgesehen, innerhalb einer Nachfrist von bis zu drei Monaten die datenschutzrechtlichen Verletzungen auf der Grundlage eines vorgegebenen Behebungsplans zu beseitigen.

Fazit
Der rumänische Gesetzgeber hat von den europäischen Öffnungsklauseln geringfügig Gebrauch gemacht. Dagegen wurden in den nationalen Regelungen wenig sinnvolle Ausnahmen für öffentliche Behörden aufgenommen. Inwieweit diese Regelungen auch unter Berücksichtigung von EU-Recht Bestand haben werden, bleibt abzuwarten.

Autoren: Helge Schirkonyer & Mihai Turcu