Die GDPR wurde in Ungarn implementiert
Mit etwas Verspätung ist nun auch in Ungarn die Änderung des Datenschutzgesetzes in Kraft getreten. Die Änderungen des geltenden Datenschutzgesetzes dienen in erster Linie dem Vollzug und der Ergänzung der GDPR und regeln Datenverarbeitungstatbestände, auf die die GDPR nicht anwendbar ist. In Ungarn ansässige Datenverarbeiter müssen also neben den Bestimmungen der GDPR auch die des Datenschutzgesetzes beachten und beide Vorschriften kumulativ anwenden. Gleiches gilt bei der Verarbeitung von Daten von Personen, die sich in Ungarn aufhalten. Dabei weisen wir insbesondere auf folgendes hin:
- Eine administrative Erleichterung stell dar, dass die Datenverarbeitung nicht mehr bei der Behörde angemeldet werden muss, dieses Register wurde aufgelöst.
- Notiert werden sollte auch der 25. Mai 2021. Sollte nämlich in Fällen der obligatorischen Datenverarbeitung (z.B.: Lohnbuchhaltung, Steuererklärungen) die Datenverarbeitungsdauer vom Gesetz nicht bestimmt werden, ist der Datenverarbeiter verpflichtet, die Erforderlichkeit der Verarbeitung alle 3 Jahre zu überprüfen, es sei denn, die Rechtsvorschrift schreibt die Überprüfung vor. Wichtig ist auch, dass die Durchführung der Überprüfung entsprechend dokumentiert wird, da deren Ergebnis 10 Jahre lang aufbewahrt und auf Aufforderung vorgelegt werden muss.
- Wurde ein Datenschutzbeauftragter bestellt, sollte dieser auf Homepage der Behörde angemeldet und seine Kontaktdaten veröffentlicht werden. Wurde also ein gemeinsamer Datenschutzbeauftragter bestellt und gilt ein Unternehmen der Gruppe in Ungarn als Datenverarbeiter, muss der Datenschutzbeauftragte auch der ungarischen Behörde mitgeteilt werden. Der Datenschutzbeauftragte ist während des Bestehens und nach Beendigung seines Rechtsverhältnisses gehalten, die im Zuge seiner Tätigkeit kennen gelernten personenbezogenen, qualifizierten Daten, Geschäftsgeheimnisse vertraulich zu behandeln. Die Behörde verhält sich proaktiv, jährlich wird eine fachspezifische Konferenz für die Datenschutzbeauftragten veranstaltet.
- Sympathien erweckt die Vorschrift, dass die Behörde kleinere Rechtswidrigkeiten erstmalig nicht mit Bußgeld (höchstens 20 Millionen EUR oder 4% des Jahresumsatzes) sondern durch Hinweise ahndet. Dabei werden auch das rechtmäßige Verhalten und die erforderlichen Maßnahmen dargelegt.
Neben der Schließung zahlreicher Lücken bestehen mangels Überarbeitung der branchenspezifischen Vorschriften gem. GDPR weiterhin große Unsicherheiten, deren Lösung weiter aussteht.
Quelle: Gesetz Nr. CXII aus dem Jahr 2011 über das informationelle Selbstbestimmungsrecht und die Freiheit der Information