Die Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) in Rumänien überwacht eine Compliance-Transformation in einem der am schnellsten wachsenden Tech- und Outsourcing-Sektoren der EU. Bukarest, Cluj-Napoca und Iași verarbeiten EU-Bürgerdaten aus Deutschland, Frankreich, dem Vereinigten Königreich und den Niederlanden in großem Maßstab — und die Durchsetzung durch die ANSPDCP steigt stark an.
Die ANSPDCP verhängte zwischen 2022 und 2024 Bußgelder in Höhe von 1,8 Millionen Euro im Rahmen der GDPR, wobei der BPO-/Outsourcing-Sektor die höchste Konzentration an Durchsetzungsfällen aufweist.
Das GDPR-Expositionsprofil des rumänischen BPO
Hohe Verarbeitung persönlicher Daten: Callcenter, die Rechnungsstreitigkeiten bearbeiten, verarbeiten Namen, Adressen, Kontonummern, Zahlungshistorien und Nutzungsdaten von Dienstleistungen. IT-Supportdienste greifen auf Kunden-Systemkonfigurationen zu, die persönliche Daten enthalten.
EU-Bürgerdaten in rumänischen Händen: Die betroffenen Personen sind hauptsächlich deutsche, französische, niederländische oder britische Staatsbürger. Wenn etwas schiefgeht, eskalieren die betroffenen Personen zu ihrer Heimat-DPA — was eine grenzüberschreitende Durchsetzungsrisiko von BfDI, CNIL, ICO oder AP NL zusätzlich zur ANSPDCP-Jurisdiktion schafft.
Komplexität der Subunternehmerkette: Die ANSPDCP stellte fest, dass 45 % der rumänischen Unternehmen keine angemessenen Datenverarbeitungsvereinbarungen mit ihren Subunternehmern haben. Die DPAs müssen die technischen Maßnahmen spezifizieren, die der Subunternehmer umsetzen wird.
Fehler bei der Zugriffswiderrufung: BPO-Sektoren haben eine hohe Mitarbeiterfluktuation. Die ANSPDCP stellt wiederholt fest, dass ehemalige Mitarbeiter Wochen nach ihrem Ausscheiden aktive Anmeldeinformationen behalten — ein wiederkehrender Verstoß in rumänischen Durchsetzungsfällen.
Die CNP: Rumäniens primärer PII-Identifikator
Die Cod Numeric Personal (CNP) ist eine 13-stellige nationale Identifikationsnummer, die kodiert:
- Ziffer 1: Geschlecht und Jahrhundert (1=männlich 1900-1999, 2=weiblich 1900-1999, 5=männlich 2000+, 6=weiblich 2000+, 7=männlicher ausländischer Wohnsitz, 8=weiblicher ausländischer Wohnsitz)
- Ziffern 2-7: Geburtsdatum (YYMMDD)
- Ziffern 8-9: Geburtsland-Code
- Ziffern 10-12: fortlaufende Nummer
- Ziffer 13: Prüfziffer (gewichteter Modulus 11)
Die CNP kodiert Geschlecht, Geburtsdatum, Geburtsregion und Staatsangehörigkeitsstatus — was sie reichhaltiger an persönlichen Informationen macht als die meisten westeuropäischen Identifikatoren. Die ANSPDCP hat die CNP als schutzbedürftig eingestuft, was einem besonderen Kategorienstatus nahekommt.
Das Erkennungsproblem: Die Durchsetzungsüberprüfung der ANSPDCP für 2024 ergab, dass 78 % der in rumänischen Outsourcing eingesetzten PII-Tools die CNP nicht mit ordnungsgemäßer Prüfziffernvalidierung erkennen. Die Konsequenzen:
- CNP-Nummern in Kundenakten, Mitarbeiterdateien und ID-Scan-Kopien bleiben unentdeckt
- Daten, die mit westeuropäischen Muttergesellschaften für Analysen oder KI-Training geteilt werden, enthalten identifizierbare rumänische Staatsbürger
- Nach einer Datenpanne zeigt die Analyse, dass CNP-Exposition in als "anonymisiert" zertifizierten Daten vorhanden ist
ANSPDCPs Durchsetzungsprioritäten 2024-2025
Audioaufzeichnung von Callcentern: Die ANSPDCP hat Aufzeichnungspraktiken ins Visier genommen, die keine angemessenen Aufbewahrungsfristen oder Zugangskontrollen haben. Aufzeichnungen, die "unbefristet zur Einhaltung" ohne dokumentierten Zweck und Löschfristen aufbewahrt werden, verstoßen gegen die GDPR.
Outsourcing von Gesundheitsdaten: Rumänische Unternehmen, die medizinische Akten, Versicherungsansprüche oder Rezeptdaten für westeuropäische Kunden verarbeiten, sind dem höchsten Bußgeldrisiko ausgesetzt. Gesundheitsdaten (Artikel 9 besondere Kategorie) erfordern eine ausdrückliche rechtliche Grundlage, DPIA und erhöhte technische Maßnahmen.
Zugriffskontrolle und Protokollierung: ANSPDCP-Prüfungen identifizieren konsequent unzureichende Protokollierung — Organisationen können nicht nachweisen, welche Daten wann und von wem abgerufen wurden. Für rumänische BPO-Unternehmen, die EU-Kundendaten verarbeiten, müssen die Zugriffsprotokolle umfassend genug sein, um den Umfang von Verstößen im Falle eines Vorfalls zu bestimmen.
Rumänische Sprache: Die fehlende Schicht
Über die CNP hinaus enthalten rumänische Dokumente Identifikatoren, die generische Tools übersehen:
Cartea de identitate (CI): Rumänische nationale ID-Karte mit einzigartigem Nummernformat. Scans in Kunden-Onboarding-Dateien erfordern eine Erkennung.
Rumänischsprachige NER: Kundenkorrespondenz, Support-Tickets und interne Dokumente in rumänischer Sprache erfordern eine rumänischsprachige Verarbeitung natürlicher Sprache. Tools, die sich auf englische NLP stützen, die auf rumänischen Text angewendet werden, schneiden erheblich schlechter ab.
Adressformate: Rumänische Adresskonventionen ("Strada," "Bulevardul," "Numărul") unterscheiden sich von westeuropäischen Formaten und werden oft von NLP-Modellen, die auf Englisch oder Deutsch trainiert sind, falsch behandelt.
Für rumänische Outsourcing-Organisationen: CNP-Erkennung mit Prüfziffernvalidierung, Erkennung der rumänischen nationalen ID und Reisepass, rumänischsprachige NER und dokumentiertes Subunternehmermanagement sind die vier Fähigkeiten, die den technischen Angemessenheitsstandard der ANSPDCP erfüllen.
Quellen: