DURY Compliance & Consulting GmbH auf Fortbildung bei der CNPD zum Thema "Data Protection Basics"

CNPD 2018Text von Sarah Strichertz

In Luxemburg wurde am 1. August 2018 ein neues Datenschutzgesetz ("Loi portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données") verabschiedet und ist sodann am 20. August 2018 in Kraft getreten. Ziel dieses Gesetzes ist die Anpassung der luxemburgischen Datenschutzvorschriften an die seit dem 25. Mai 2018 unmittelbar anwendbare Datenschutz-Grundverordnung ("DSGVO"). Gleichzeitig ersetzt es das zuvor geltende luxemburgische Datenschutzgesetz vom 2. August 2002.

Die CNPD hat den Erlass des neuen luxemburgischen Datenschutzgesetzes zum Anlass genommen, um eine Einführung zu den wichtigsten Themen der DSGVO zu geben. Diese Veranstaltung richtete sich vor allem an Unternehmen, öffentliche Verwaltungen, Verbände und andere Fachkräfte. Themen waren u. a. die Erklärung wichtiger Begrifflichkeiten, die Rechte betroffener Personen, die Pflichten der Verantwortlichen sowie die Rolle der CNPD.

Wie auch letztes Jahr waren wir, von der DURY-Gruppe auch dieses Jahr bei der Fortbildung der CNPD mit dabei.

Unternehmen sind verpflichtet nur dann die Datenschutzgesetze zu beachten, wenn personenbezogene Daten verarbeitet werden. 

Der wichtigste Begriff in der DSGVO ist die Definition von personenbezogenen Daten. Wenn schon dieser Begriff nicht erfüllt ist, sind die Datenschutzgesetze nicht anwendbar. Personenbezogene Daten sind nach der Datenschutzgrundverordnung

"alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen...".

Beispiele für personenbezogenen Daten sind: Name, Adresse, Fotos, Videos, Gesundheitsdaten, IP- Adresse, Cookies, Kfz-Kennzeichen u. ä.

Sobald man personenbezogene Daten verarbeitet, findet die DSGVO Anwendung. Das luxemburgische Datenschutzgesetz greift nur in solchen Fällen, in denen die DSGVO Öffnungsklauseln zur Umsetzung durch die nationalen Gesetzgeber erlassen hat. So ergänzt der luxemburgische Gesetzgeber bspw. Art. 6 I lit. a-f DSGVO durch seinen Art. L.261-1 des Arbeitsgesetzes, indem er Maßnahmen des Art. 6 I DSGVO näher präzisiert.

Die DSGVO hat darüber hinaus das System der Vorabgenehmigungen in Luxemburg durch die sog. Rechenschaftspflicht des Art. 5 II DSGVO reformiert. Zuvor mussten alle Datenverarbeitungen generell vorher gegenüber der CNPD und gegen Gebühr gemeldet werden.  Nach der neuen gesetzlichen Regelung sind Akteure, die personenbezogene Daten verarbeiten, zum Nachweis der rechtmäßigen Verarbeitung, aber nicht mehr zur vorherigen Genehmigung verpflichtet. Daraus ergibt sich ein deutlich geringerer bürokratischer Aufwand aufseiten der CNPD, aber auch höhere Anforderungen an die Unternehmen.

Des Weiteren wird die Benennung eines Datenschutzbeauftragten gem. Art. 37 I DSGVO verpflichtend,

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (...), oder
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Umfassen solche Tätigkeiten die umfangreiche Verarbeitung besonderer personenbezogener Daten oder Datenverarbeitungen, die besonders einschneidend für den Betroffenen sind, muss ein Datenschutzbeauftragter bestellt werden. Entfällt die Bestellpflicht eines Unternehmens, da keine der vorangenannten Gründen einschlägig ist, so hat es die Wahl, ob es einen Datenschutzbeauftragten ernennt oder nicht. Wird ein Datenschutzbeauftragter bestellt, so sind dessen Kontaktdaten an die CNPD weiterzuleiten und auf der Unternehmer-Webseite zu veröffentlichen. Zur Meldung eines Datenschutzbeauftragten ist das Formular der folgenden Seite auszufüllen https://cnpd.public.lu/de/professionnels/dpo.html und an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! zu senden.

Insbesondere gewährt die DSGVO den Bürgern Rechte, die es ermöglichen, den Gebrauch persönlicher Daten zu kontrollieren. Diese beinhalten das Recht auf Information, das Auskunftsrecht, das Recht auf Berichtigung ungenauer oder unvollständiger Daten, das Recht auf Vergessenwerden durch die Löschung der Daten und das Recht auf "Delisting". Außerdem ist es möglich, personenbezogene Daten von Unternehmen auf elektronische Weise übertragen zu lassen (Recht auf Datenübertragbarkeit).

Auch nach dem neuen luxemburgischen Datenschutzgesetz (Art. 3 und 4 des Gesetzes vom 01.08.2018) bleibt die luxemburgische Datenschutzbehörde (CNPD) als Behörde für die Umsetzung und Kontrolle der DSGVO zuständig. Die ihr zugeteilten Befugnisse sind darin enthalten. Neben weitreichenden Kontrollbefugnissen besitzt die CNPD ebenso Ermittlungsbefugnisse bei Verstößen gegen die DSGVO sowie Befugnisse, Verarbeiter von Daten zur Löschung oder Berichtigung von personenbezogenen Daten anzuweisen (Art. 14 des Gesetzes vom 01.08.2018), als auch Geldbußen zu verhängen (Art. 48 des Gesetzes vom 01.08.2018).

Martin Kerz
Autor: Martin Kerz
Consultant bei DURY Compliance & Consulting GmbH