3. Juli 2017
Regina Mühlich

Datenschutz im Vergleich: Deutschland vs. Rumänien

In Rumänien regelt das Gesetz Nr. 677/2001 den Schutz der Personen hinsichtlich der Verarbeitung von personenbezogenen Daten und des freien Verkehrs dieser Daten. Es ist am 12. Dezember 2001 in Kraft getreten. Aufgrund der Gründung der Datenschutzbehörde (Kontaktdaten unter Pkt. 8) gab es Änderungen durch das Gesetz Nr. 102/2005.

Das Gesetz Nr. 677/2001 ist, wie auch das Bundesdatenschutzgesetz (BDSG), ein Verbotsgesetz. Ausnahmen für die Verarbeitung von personenbezogenen Daten (BDSG spricht von sogenannten Erlaubnistatbeständen):

  • Vertragserfüllung
  • Statistik
  • Daten mit Publikumszugang

1.  Definitionen

Gemäß Gesetz Nr. 677/2001 können Verarbeiter natürliche oder juristische Personen des privaten oder des öffentlichen Rechts (einschließlich Behörden) sein.

Besondere Arten von Daten sind Daten mit Identifizierungsfunktion, Daten die Auskunft über den Gesundheitszustand geben (Gesundheitsdaten) sowie Daten zu Straftaten und Ordnungswidrigkeiten.

Die Verarbeitung der Daten bezogen auf rassisches und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben ist grundsätzlich verboten. Sofern keine Ausnahme (Erlaubnistatbestand) vorliegt.
Rechte der Betroffenen
Im Hinblick auf die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten hat der Betroffene Recht auf

  • Information
  • Zugang
  • Eingriff
  • Einwand
  • Klage
  • Beschwerderecht an die Datenschutzbehörde

2. Auftragsdatenverarbeitung (ADV)

Typischerweise werden ADVs mit Rechenzentren, Druckereien, Schreibbüros, Inkassounternehmen, Back-up Dienstleister, Call-Center, Wartungstechniker, externe Administratoren, um hier nur einige Beispiele zu nennen, abgeschlossen.

Was zeichnet eine Auftragsdatenverarbeitung aus?

  • Fehlende Entscheidungsbefugnis des Auftragnehmers (Auftragsdatenverarbeiter)
  • Weisungsgebunde Unterstützung
  • Fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen
  • Umgang nur mit Daten, die der Auftraggeber im Rahmen der ADV dem Auftragnehmer zur Verarbeitung im Auftrag zur Verfügung stellt

Mit einem Auftragsdatenverarbeiter, sprich Auftragnehmer, ist eine Vereinbarung zur Verarbeitung von personenbezogenen Daten im Auftrag gemäß § 11 BDSG abzuschließen.

3. Auftragsverarbeitung in Rumänien

„Eine Auftragsdatenverarbeitung durch einen Auftragnehmer, der sich außerhalb des Geltungsbereichs des Bundesdatenschutzgesetzes (BDSG) befindet, ist ebenfalls nach § 11 BDSG zu beurteilen. Allerdings sind dann nicht die jeweils für den Auftraggeber geltenden Übermittlungsvorschriften zu beachten, da der ausländische Auftragnehmer in EU und EWR nicht Dritter im Sinne des § 3 Abs. 8 Satz 3 BDSG ist, […]“ (Bergmann/Möhrle/Herb, Datenschutzrecht, § 11 Rdnr. 14).

Mit einem Auftragsdatenverarbeiter, sprich Auftragnehmer, ist eine Vereinbarung zur Verarbeitung von personenbezogenen Daten im Auftrag gemäß § 11 BDSG abzuschließen.

3.1 Anforderungen an die Vereinbarung zur Verarbeitung von personenbezogenen Daten im Auftrag (ADV) – EU-RL und rumänisches Datenschutzrecht:

  • Verantwortlich: Auftraggeber (controller)
  • Schriftformerfordernis
  • Weisungsgebundenheit des Auftragnehmers (processor)
  • Technisch-organisatorische Maßnahmen: Verfügbarkeit, Integrität, Vertraulichkeit

Im Vertrag zur ADV sind insbesondere die Vorgaben des § 11 Abs. 2 BDSG festzulegen und zu vereinbaren, diese sind:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
  • In diesem Zusammenhang sind dann auch die technischen und organisatorischen Maßnahmen des § 9 BDSG nebst Anlage zu vereinbaren.

3.2 Technische und organisatorische Maßnahmen

Sicherheitszeile (EU-RL und Law No. 677/2001):

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

TOM (§ 9 BDSG):

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Datentrennungskontrolle

Die Anforderungen seitens Bundesdatenschutzgesetz an die technischen und organisatorischen Maßnahmen sind umfassender als dies das rumänische Datenschutzgesetz vorsieht.

Die zu ergreifenden Maßnahmen sind nicht wie im BDSG in einem Artikel zusammengefasst. Hinweise zu den Sicherheitszielen finden sich in nahezu allen 35 Artikeln des rumänischen Datenschutzgesetzes. Dabei ist vielfach „auch nur“ von „appropriate measures shall be taken“ die Rede.

4. Praxisprobleme

  • Sprachprobleme:
    Umweg über englische Übersetzungen
  • Regelmäßig unzureichende Sensibilität für das Datenschutzrecht.
    (gilt für Deutschland wie auch für andere EU-Länder)
  • Das deutsche Datenschutzrecht ist weitergehend als das rumänische Datenschutzrecht, wie z. B. § 9 BDSG.
  • Ein Datenschutzbeauftragter ist auf rumänischer Seite nicht bekannt. Lediglich ein „Ansprechpartner“ für die Vereinbarung zur ADV.
  • § 11 Abs. 2 BDSG „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“
    Vielfach wird man um eine Vor-Ort-Prüfung nicht umhinkommen.
    Wichtig dabei ist, den Prüfungsumfang und den Gegenstand der Prüfung vorab abzustimmen und einen entsprechenden Auditplan zur Verfügung zu stellen.
  • Die Umsetzung und Kontrolle der technisch-organisatorischen Maßnahmen gestaltet sich problematisch. Die Anforderungen des BDSG an die technischen und organisatorischen Maßnahmen sind umfassender als die Anforderungen an die Sicherheitsziele auf der rumänischen Seite.
    Umso wichtiger ist es, diese in der Vereinbarung zur ADV genau zu definieren und ggf. auch zu beschreiben.

5. Fazit

Der Datenschutz macht keinen Halt vor Ländergrenzen. Es existieren teilweise erhebliche Unterschiede in der Ausgestaltung der Datenschutzgesetze und den rechtlichen Anforderungen in den einzelnen Ländern.

International tätige Unternehmen müssen sich mit den Anforderungen der verschiedenen Mitgliedsstaaten der EU-Länder auseinandersetzen. Solange die Datenschutz-Grundverordnung (DSGVO) nicht gültig ist, sind Unternehmen verpflichtet, die einzelnen länderspezifischen Anforderungen einzuhalten.

Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DS-GVO) gültig.
Bis dahin gilt auf jeden Fall noch:
Augen auf beim Datenschutz – nicht nur, sondern auch im Ausland.

6. Links

Rumänisches Datenschutzrecht (englisch): Law No. 677/2001
BDSG: Bundesdatenschutzgesetz
AHK: Deutsch-rumänische Industrie- und Handelskammer
BayLDA: Auftragsdatenverarbeitung nach § 11 BDSG

President of the National Supervisory Authority for Personal Data Processing
Ms. Georgeta Basarabescu
28-30 G-ral Gheorghe Magheru Bld.,
District 1, post code 010336
Bucharest
Romania

E-Mail: anspdcp@dataprotection.ro
Webseite: http://www.dataprotection.ro/
(Seite in Englisch und Französisch verfügbar über Sprachauswahl oben rechts)

 

(Autorin: Regina Mühlich)