§
Zurück zu den Artikeln
Allgemein

Datenschutz und DSGVO-Compliance für Unternehmen in Ungarn

DSGVO-Pflichten für ungarische Unternehmen: Datenschutzbeauftragter, Datenschutzverletzungen, Bußgelder und praktische Compliance-Tipps.

D

Dr. Ildikó Nagy

Die Datenschutz-Grundverordnung (DSGVO, ungarisch: GDPR oder Általános Adatvédelmi Rendelet) gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten – und damit auch in Ungarn. Ergänzt wird sie durch das ungarische Datenschutzgesetz (az információs önrendelkezési jogról szóló 2011. évi CXII. törvény, kurz: Infotv.). Dieser Beitrag gibt einen praxisorientierten Überblick über die Pflichten und Herausforderungen für Unternehmen.

Grundprinzipien der DSGVO

Die DSGVO basiert auf sieben zentralen Grundsätzen, die auch in Ungarn uneingeschränkt gelten:

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz – Daten dürfen nur auf rechtmäßiger Grundlage und transparent verarbeitet werden
  2. Zweckbindung – Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden
  3. Datenminimierung – Es dürfen nur die für den Zweck erforderlichen Daten erhoben werden
  4. Richtigkeit – Personenbezogene Daten müssen sachlich richtig und aktuell sein
  5. Speicherbegrenzung – Daten dürfen nur so lange gespeichert werden, wie es der Zweck erfordert
  6. Integrität und Vertraulichkeit – Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten
  7. Rechenschaftspflicht – Der Verantwortliche muss die Einhaltung nachweisen können

Rechtsgrundlagen der Datenverarbeitung

Jede Verarbeitung personenbezogener Daten muss auf einer der folgenden Rechtsgrundlagen beruhen:

  • Einwilligung (hozzájárulás) – freiwillig, informiert, unmissverständlich
  • Vertragserfüllung – Verarbeitung ist zur Erfüllung eines Vertrags erforderlich
  • Rechtliche Verpflichtung – gesetzlich vorgeschriebene Verarbeitung
  • Lebenswichtige Interessen – Schutz lebenswichtiger Interessen einer Person
  • Öffentliches Interesse – Aufgaben im öffentlichen Interesse
  • Berechtigtes Interesse (jogos érdek) – nach sorgfältiger Interessenabwägung

Praxishinweis: In Ungarn ist die Einwilligung die am häufigsten gewählte, aber nicht immer die beste Rechtsgrundlage. Das berechtigte Interesse bietet oft mehr Rechtssicherheit, erfordert jedoch eine dokumentierte Interessenabwägung.

Der Datenschutzbeauftragte (adatvédelmi tisztviselő / DPO)

Bestellungspflicht

Ein Datenschutzbeauftragter muss bestellt werden, wenn:

  • Die Kerntätigkeit in der umfangreichen regelmäßigen und systematischen Überwachung von Personen besteht
  • Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht
  • Es sich um eine Behörde oder öffentliche Stelle handelt

Aufgaben des DSB

  • Beratung des Verantwortlichen und der Beschäftigten
  • Überwachung der Einhaltung der DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für betroffene Personen

Der DSB kann ein interner Mitarbeiter oder ein externer Dienstleister sein. Er genießt Kündigungsschutz und darf wegen seiner Tätigkeit nicht benachteiligt werden.

Datenschutz-Folgenabschätzung (adatvédelmi hatásvizsgálat / DPIA)

Eine DPIA ist vor der Einführung neuer Verarbeitungstätigkeiten durchzuführen, wenn diese voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bergen. Beispiele:

  • Profiling und automatisierte Entscheidungsfindung
  • Umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung)
  • Verarbeitung besonderer Datenkategorien in großem Umfang (Gesundheitsdaten, biometrische Daten)

Die ungarische Aufsichtsbehörde NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) hat eine Liste von Verarbeitungstätigkeiten veröffentlicht, für die eine DPIA zwingend erforderlich ist.

Rechte der Betroffenen

Die DSGVO gewährt betroffenen Personen umfangreiche Rechte, die Unternehmen gewährleisten müssen:

Auskunftsrecht (Art. 15 DSGVO)

Betroffene können verlangen, ob und welche personenbezogenen Daten über sie verarbeitet werden. Die Auskunft muss innerhalb eines Monats erteilt werden.

Recht auf Berichtigung (Art. 16 DSGVO)

Unrichtige Daten müssen unverzüglich berichtigt werden.

Recht auf Löschung – „Recht auf Vergessenwerden” (Art. 17 DSGVO)

Daten müssen gelöscht werden, wenn:

  • Der Verarbeitungszweck entfallen ist
  • Die Einwilligung widerrufen wurde
  • Die Verarbeitung unrechtmäßig war

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Betroffene können ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Gegen Verarbeitung auf Grundlage berechtigter Interessen kann jederzeit Widerspruch eingelegt werden.

Datenschutzverletzungen (adatvédelmi incidens)

Meldepflicht

Bei einer Datenschutzverletzung, die ein Risiko für die Rechte der Betroffenen darstellt, muss der Verantwortliche:

  • Die NAIH innerhalb von 72 Stunden nach Bekanntwerden benachrichtigen
  • Bei hohem Risiko auch die betroffenen Personen unverzüglich informieren
  • Ein internes Verzeichnis aller Datenschutzverletzungen führen

Typische Verletzungen

  • Verlust oder Diebstahl von Laptops/Mobilgeräten mit personenbezogenen Daten
  • Versehentlicher E-Mail-Versand an falsche Empfänger
  • Hackerangriffe und Ransomware-Attacken
  • Unbefugter Zugriff durch Mitarbeiter

Bußgelder und Sanktionen

DSGVO-Bußgelder

Die DSGVO sieht Bußgelder in zwei Stufen vor:

  • Bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes (z. B. bei Verstößen gegen technische Maßnahmen)
  • Bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes (z. B. bei Verstößen gegen Grundprinzipien oder Betroffenenrechte)

Praxis der NAIH

Die ungarische Aufsichtsbehörde hat in den letzten Jahren zunehmend Bußgelder verhängt. Besonders häufig geahndet werden:

  • Fehlende oder mangelhafte Datenschutzerklärungen
  • Unrechtmäßige Videoüberwachung am Arbeitsplatz
  • Versendung von Werbemails ohne Einwilligung
  • Mangelhafte Einwilligungserklärungen (Koppelungsverbot)

Praktische Compliance-Maßnahmen

Dokumentation

  • Verarbeitungsverzeichnis (nyilvántartás) gemäß Art. 30 DSGVO erstellen und aktuell halten
  • Datenschutzerklärungen für Website, Kunden und Mitarbeiter formulieren
  • Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen

Technische Maßnahmen

  • Verschlüsselung sensibler Daten
  • Zugriffskontrolle und Berechtigungsmanagement
  • Regelmäßige Backups und Notfallpläne
  • Pseudonymisierung wo immer möglich

Organisatorische Maßnahmen

  • Schulung aller Mitarbeiter im Datenschutz
  • Regelmäßige Audits der Verarbeitungstätigkeiten
  • Etablierung eines Prozesses für Betroffenenanfragen
  • Meldeverfahren für Datenschutzverletzungen

Empfehlungen

  • Führen Sie eine Bestandsaufnahme aller Verarbeitungstätigkeiten durch
  • Prüfen Sie, ob Sie einen Datenschutzbeauftragten bestellen müssen
  • Überprüfen Sie Ihre Datenschutzerklärungen auf Vollständigkeit und Verständlichkeit
  • Schulen Sie Ihre Mitarbeiter regelmäßig im Umgang mit personenbezogenen Daten
  • Implementieren Sie ein Incident-Response-Verfahren für Datenschutzverletzungen

Unsere Kanzlei unterstützt Unternehmen bei der umfassenden DSGVO-Compliance – von der Erstanalyse bis zur laufenden Betreuung. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.

#DSGVO #Datenschutz #Compliance #Datensicherheit
Teilen: