Das Anwendungsbereich des Gesetzes wurde auf die natürlichen Personen beschränkt
Daten in Bezug auf juristische Personen (Gesellschaften, Vereinigungen, Stiftungen, öffentliche Einrichtungen, usw.) fallen zukünftig nicht mehr unter den Schutz des Datenschutzgesetzes ; dieser beschränkt sich auf Informationen in Bezug auf natürliche Personen.
Definition der Zustimmung der betroffenen Person
Der Text wurde an die in der EU-Richtlinie enthaltenen Definition angepasst. Die Adjektive "ausdrücklich" und "eindeutig" wurden herausgenommen. Die Zustimmung muss jedoch auch dann weiterhin ausdrücklich erfolgen, falls sie im Rahmen der Legitimierung von Verarbeitungen "empfindlicher Daten" (Artikel 6 (2) (a)) oder genetischer Daten (Artikel 6 (3) (d)) gegeben wird.
Bei diesen beiden Fällen handelt es sich im Übrigen um zwei der gesetzliche vorgesehenen Ausnahmefälle vom Verbot der Verarbeitung der in Artikel 6 (1) vorgesehenen Daten (Meinungen, Überzeugungen, Rasse, Gesundheit und genetische Daten).
Vereinfachende Neustrukturierung der Artikel 6 (3) (Verarbeitung genetischer Daten) und Artikel 7 (Gesundheitsdienste)
Anmerkung: Die Verarbeitung genetischer Daten ist für Versicherungen, Verwaltungen, Sozialversicherungseinrichtungen, die Caisse Médico-Chirurgicale Mutualiste und zugelassene Einrichtungen aus dem medizinisch-sozialen oder therapeutischen Bereich ("ASFT") nicht mehr möglich. Ausgenommen hiervon sind jedoch Verarbeitungen im öffentlichen Interesse oder für einen historischen, statistischen oder wissenschaftlichen Zweck.
Die Weitergabe von Gesundheitsdaten des Patienten an den behandelnden Arzt, Sozialversicherungseinrichtungen und die Caisse médico-chirurgicale mutualiste sowie durch Pflegedienste ist durch das Gesetz erlaubt, doch die Weitergabe an andere Dritte sowie die Nutzung zu Forschungszwecken unterliegen weiterhin bestimmten Bedingungen, die durch eine großherzogliche Verordnung festgelegt werden.
Verarbeitung zu Überwachungszwecken
Neue Definition der Überwachung, die aus einem Bericht von Fachleuten des Europarats übernommen wurde.
Artikel 10 : Verarbeitungen zu Überwachungszwecken in der unmittelbaren Umgebung oder an jedem Ort mit besonderem Risiko werden zukünftig nicht nur dann als rechtmäßig angesehen, wenn sie für die Sicherheit der Nutzer und die Unfallverhütung notwendig sind, sondern auch dann, wenn sie für den Schutz der Güter erforderlich sind.
In diesem Fall muss jedoch ein ausgewiesenes Diebstahl- oder Vandalismusrisiko vorliegen (das höher ist als ein gewöhnliches Risiko), und das Notwendigkeits-/Angemessenheitskriterium wird von der nationalen Kommission von Fall zu Fall eingeschätzt.
Als neue mögliche Rechtmäßigkeitsbedingung wurde außerdem die Wahrung lebensnotwendiger Interessen hinzugefügt.
Falls die Daten (Bilder usw.) nicht gespeichert werden, ist statt einer Genehmigung eine Vorabmeldung erforderlich.
Die Bedingungen für eine Überwachung am Arbeitsort durch den Arbeitgeber werden nun von Artikel L.261-1 des Arbeitsgesetzbuchs festgelegt (dessen Inhalt vom ehemaligen Artikel 11 des Datenschutzgesetzes übernommen wurde).
Formalitäten vor der Durchführung einer Datenverarbeitung
- Vorabmeldung
Die vereinfachte Meldung existiert nicht mehr.
Artikel 12 (3) sieht nun insgesamt vierzehn Ausnahmefälle vor, in denen keine Vorabmeldung mehr erforderlich ist. Diese Fälle ergänzen die in Artikel 12 (2) vorgesehenen allgemeineren Ausnahmefälle (Datenverarbeitungen im Rahmen eines öffentlichen Registers, im Rahmen der Berufsausübung als Anwalt, Notar, Gerichtsvollzieher, Journalist, Schriftsteller, Künstler oder im Rahmen einer notwendigen Wahrung lebenswichtiger Interessen einer Person).
Anmerkung: Die Verarbeitung genetischer Daten durch medizinische Einrichtungen (Ärzte und Krankenhäuser) zum Zweck der vorbeugenden Medizin, von ärztlichen Diagnosen oder der Verabreichung von Pflege- und Behandlungsdienstleistungen ist künftig meldepflichtig.
- Datenschutzbeauftragter (Artikel 40 des Gesetzes)
Dieser kann ab sofort auch Angestellter der für die Verarbeitung verantwortlichen Stelle sein.
- Vorherige Genehmigung von Verarbeitungen, die besondere Risiken mit sich bringen
Die Verarbeitung"empfindlicher Daten (hauptsächlich Daten in Bezug auf die Gesundheit und das Sexualleben, die nicht genetischer Natur sind) sind nicht mehr genehmigungs-, sondern meldepflichtig.
Dies ist auch bei der Verarbeitung genetischer Daten der Fall, falls diese Verarbeitung für die Wahrung lebenswichtiger Interessen oder zum Zweck der vorbeugenden Medizin, der ärztlichen Diagnose oder der Verabreichung von Pflege- und Behandlungsdienstleistungen notwendig ist (Artikel 6 (3), Buchstaben (b) und (e)).
Genehmigungspflichtig bleibt die Verarbeitung genetischer Daten, falls sie für ein öffentliches Interesse notwendig ist (Artikel 6 (3) (c))oder im Rahmen einer (wissenschaftlichen oder gesundheitlichen) Forschungsarbeit betrieben wird (Artikel 6 (3) (d).
Ein Vertreter der Datenschutzkommission wird an den Sitzungen des nationalen Ethikrates teilnehmen, um die Beachtung der gesetzlichen Datenschutzbestimmungen bei wissenschaftlichen Forschungsprojekten (die keine genetischen Daten betreffen) sicherzustellen.
- Überwachung
Falls die Daten nicht gespeichert werden (und die Überwachung nicht durch den Arbeitgeber am Arbeitsort durchgeführt wird), muss die Verarbeitung nicht mehr genehmigt werden, sondern ist meldepflichtig.
- Biometrische Daten
Die Verarbeitung dieser Daten ist zukünftig genehmigungspflichtig (Artikel 14 (1) (f)).
- Kreditwürdigkeit und Zahlungsfähigkeit von Personen
Die Verarbeitung diesbezüglicher Daten muss nicht mehr genehmigt werden, sondern ist nur noch meldepflichtig, falls sie durch Banken, Versicherungen oder andere im Finanzsektor Berufstätige in Bezug auf ihre eigenen Kunden durchgeführt wird.
- Nutzung von Daten zu anderen Zwecken als denjenigen, für die sie ursprünglich erhoben wurden
Diese Nutzung bleibt auch weiterhin genehmigungspflichtig. Außerdem benötigt sie die vorherige Zustimmung der betroffenen Personen, außer im Fall der Wahrung von deren lebensnotwendigen Interessen.
- Überwachung