Datenschutz - Gesetzesänderungen in Ungarn

22.10.2015

BCR (Verbindliche Unternehmensrichtlinien)

Die Gesetzesänderung führt Verbindliche Unternehmensrichtlinien (Binding Corporate Rules – „BCR”) als neues Rechtsinstitut ein, welches im ungarischen Rechtssystem seit langem gefehlt hat und den Datentransfer innerhalb einer Unternehmensgruppe erleichtert. Die BCR ermöglicht für die im Europäischen Wirtschaftsraum („EWR“) angesiedelten Mitglieder eines multinationalen Unternehmens, personenbezogene Daten an solche Organisationseinheiten innerhalb der Unternehmensgruppe zu transferieren, die hauptsächlich außerhalb des EWR in Drittstaaten mit nicht angemessenem Datenschutzniveau niedergelassen sind. Im InfoG werden die für die BCR vorgesehenen Angaben nicht bestimmt. Die BCR müssen jedoch – nach der unternehmensinternen Annahme – durch die nationale Datenschutzbehörde (Nemzeti Adatvédelmi és Információszabadság Hatóság; „NAIH”) genehmigt werden. Das Genehmigungsverfahren bezüglich der BCR kann je nachdem, ob die BCR bereits von einer anderen europäischen Datenschutzbehörde genehmigt wurden, unterschiedlich ausfallen. Der Datenverwalter kann bei der NAIH die Genehmigung der BCR beantragen, die über das Ersuchen innerhalb von 60 Tagen entscheidet. Der Antrag muss beinhalten (i) die detaillierten Angaben des Datenverwalters, der Datenverwaltung oder die Datenregisternummer, (ii) den Entwurf der BCR (iii) Nachweise bezüglich der Verbindlichkeit der BCR und (iv) wenn die BCR bereits von einer anderen Datenschutzbehörde eines anderen EWR-Staats genehmigt worden ist, deren Nachweis. Nach der Prüfung des Antrags kann die NAIH die BCR genehmigen, deren Abänderung vorschlagen oder die Genehmigung verweigern. Bei der Einreichung des Antrags auf Genehmigung der BCR muss eine Verwaltungsgebühr in Höhe von HUF 266.000 bezahlt werden.

Register über datenschutzrechtliche Zwischenfälle

Das InfoG führt ferner den Begriff „datenschutzrechtlicher Zwischenfall“ ein, welcher die Verletzung personenbezogener Daten aus jeglichem Grund, insbesondere unbefugter Zugriff, Veränderung, Übermittlung, Veröffentlichung, Löschung oder Vernichtung sowie eine zufällige Vernichtung und Beschädigung von Daten beinhaltet. Die Datenverwalter sind seit der Einführung dieser Gesetzänderung verpflichtet, ein Register über datenschutzrechtliche Zwischenfällen zu führen, wozu zuvor nur die Kommunikationsanbieter verpflichtet waren.

Inhalt des Registers

Das Register muss Folgendes beinhalten: (i) den Kreis der betroffenen personenbezogenen Daten, (ii) den Kreis und die Anzahl der von dem datenschutzrechtlichen Zwischenfall betroffenen Personen, (iii) den Zeitpunkt, die Umstände und Auswirkungen des datenschutzrechtlichen Zwischenfalls sowie die vorgenommenen Abwehrmaßnahmen. Wichtig ist anzumerken, dass nicht nur die bei dem Datenverwalter sondern auch bei dem Datenverarbeiter eingetretenen datenschutzrechtlichen Zwischenfälle registriert werden müssen. Soweit der Datenverwalter über einen internen Datenschutzverantwortlichen verfügt, hat der interne Datenschutzverantwortliche das Register zu führen, ansonsten kann der Registerführer frei bestimmt werden.

Informationspflicht

Zweck des Registers über datenschutzrechtliche Zwischenfälle ist die Information der Betroffenen und die Kontrolle der bezüglich der Zwischenfälle getroffenen Maßnahmen. Auf Antrag des Betroffenen hat der Datenverwalter unverzüglich, spätestens aber innerhalb von 30 Tagen Informationen über die Umstände, Auswirkungen des Zwischenfalls und über die vorgenommenen Abwehrmaßnahmen zu erteilen.

Dauer der Datenaufbewahrung

Die registrierten Daten müssen bei personenbezogenen Daten mindestens fünf Jahre und bei sensiblen Daten mindestens zwanzig Jahre aufbewahrt werden.

Betroffenheit der Datenverarbeitungsverträge

Trotz der Tatsache, dass zur Führung des Registers unmittelbar der Datenverwalter verpflichtet ist, müssen aufgrund der obigen Ausführungen auch die beim Datenverarbeiter eingetretenen datenschutzrechtlichen Zwischenfälle registriert werden. Demnach sind von dieser neuen Verpflichtung auch die Datenverarbeiter betroffen. Daher ist zu empfehlen, die Datenverarbeitungsverträge zu prüfen und in diesen detaillierte Regelungen bezüglich des Registers über datenschutzrechtliche Zwischenfälle zu treffen.

Höheres Bußgeld

Mit Änderung des InfoG wurde der Umfang der durch die NAIH aufzuerlegenden Bußgelds verdoppelt. Danach ist die NAIH berechtigt, statt des bisherigen Höchstbetrages von HUF 10 Millionen sogar eine Geldbuße von HUF 20 Millionen (umgerechnet ca. EUR 65.000) zu verhängen.