FAQs

Inwiefern sind Datenverarbeitungen in Bezug auf die Verwaltung von Bewerbungen sowie die Personalverwaltung von der Meldepflicht befreit (Artikel 12 (3) (b) des abgeänderten Gesetzes vom 2. August 2002)?

Die Zweckbestimmungen, die von dieser Ausnahmebestimmung vorgesehen sind, beziehen sich einerseits auf die Suche nach Personen, die einem festgelegten Profil für eine zu besetzende Stelle entsprechen, auf die Kontaktaufnahme, die Auswertung der Kompetenzen und die Überprüfung der Eignung für den Posten.

Die gesammelten und verarbeiteten Daten dürfen sich demnach nur auf Informationen beschränken, die zur Vorbereitung von Einstellungsgesprächen und zur Auswahl der Kandidaten notwendig sind. Eine Weitergabe dieser Daten an Dritte, die in das Einstellungsverfahren eingebunden sind, ist zulässig (z.B. ein sog. „assessment center“, das mit der Vorauswahl der Kandidaten beauftragt sind, welche sich am besten für den zu besetzenden Posten eignen).

Von der Ausnahmebestimmung vorgesehen ist andererseits die Verwaltung des Personals (« human resources »), das die Verwaltung der Belegschaft, die Finanzplanung, die Zuteilung und Organisation der verschiedenen Abteilungen und Posten, die Sicherheit und Gesundheit am Arbeitsplatz, die Entwicklung und Ausbau von Kompetenzen, die Konfliktbewältigung, den Sozialdialog und arbeitsrechtliche Belange beinhaltet.

Welche Bestimmungen sind zu beachten, wenn eine Datei von einer anderen verantwortlichen Stelle übernommen wird?

Beispiel: Eine verantwortliche Stelle "B", die eine gültige Meldung bei der nationalen Kommission eingereicht oder von letzterer eine Vorabgenehmigung erhalten hat, übernimmt von einer anderen verantwortlichen Stelle "A" eine bestehende Datei mit denselben Zweckbestimmungen und Daten wie die, welche die verantwortliche Stelle "B" bereits gemeldet hat (Zusammenlegung von Dateien).

Die verantwortliche Stelle "A" muss die Beendigung ihrer Datenverarbeitung in Anwendung des hierfür vorgesehenen Verfahrens melden.

Die verantwortliche Stelle "B" muss der nationalen Kommission u.U. eine Änderung unter Ziffer Rubrik 11 der Meldung mitteilen.

Wird eine Datei von einer verantwortlichen Stelle "B" übernommen, die bereits eine Meldung oder einen Antrag auf Vorabgenehmigung bei der nationalen Kommission eingereicht hat, und ist die Zweckbestimmung der beiden Datenverarbeitungen identisch (jedoch nicht der Inhalt der Daten), dann hat die verantwortliche Stelle "B" mindestens einen Änderungsantrag in Bezug auf ihre Meldung / Vorabgenehmigung bei der nationalen Kommission einzureichen.

Diese Bestimmungen gelten nur für den Fall, dass keine weitere Änderung am Inhalt der (des) ursprünglichen Vorabmeldung/Antrags auf Vorabgenehmigung (Dateinname, neue Zweckbestimmung usw.) vorgenommen wird.

Die Vorabmeldung

Was kennzeichnet die Einwilligung des Betroffenen in die Verarbeitung seiner Daten?

Es handelt sich um einen grundlegenden Begriff des Gesetzes. Der Begriff "Einwilligung des Betroffenen" ist in Artikel 2 Buchstabe (c) des abgeänderten Gesetzes vom 2. August 2002 festgelegt (siehe unten).

Die Zustimmung darf nicht unter Zwang erfolgen. Die Beurteilung der Freiwilligkeit der Zustimmung erfolgt von Fall zu Fall auf der Grundlage der Artikel 11 und 12ff des Code Civil (Bürgerliches Gesetzbuch) so wie sie in der Praxis angewandt werden. Es entspricht dem allgemeinen Rechtsverständnis, dass eine freiwillig erteilte Einwilligung jederzeit von der betroffenen Person widerrufen werden kann. Der Widerruf hat jedoch keine rückwirkende Kraft auf die Verarbeitung personenbezogenen Daten haben, die während des Zeitraums vor dem Widerruf der Einwilligung zulässig war.

Die Zustimmung darf nicht allgemein sein, d.h. sie muss sich auf genau definierte Datenverarbeitungen beziehen, insbesondere was die von den gemeldeten verantwortlichen Stellen verfolgten Zweckbestimmungen betrifft. Die Einwilligung muss dahingehend spezifisch sein, dass sie sich nur auf genau festgelegte Verarbeitungen beziehen kann. Unter diesem Gesichtspunkt muss die für die Verarbeitung verantwortliche Stelle den Betroffenen über die festgelegte(n) Zweckbestimmung(en) der jeweiligen Datenverarbeitung informieren. Beinhaltet eine Datenverarbeitung mehrere Zweckbestimmungen, muss die verantwortliche Stelle den Betroffenen hierüber in Kenntnis setzen.

Die Zustimmung muss in Kenntnis der Sachlage erfolgen, d.h. der Betroffene muss informiert sein, bevor er einwilligt. Dies erklärt erneut die Verbindung zwischen der Einwilligung der betroffenen Person mit dem Grundsatz der Datenqualität (Artikel 4 Absatz (1) Buchstabe (a) des abgeänderten Gesetzes vom 2. August 2002) und mit dem Informationsrecht (Artikel 26 des abgeänderten Gesetzes vom 2. August 2002) erklärt.

Dieses Informationsrecht gilt in folgenden Fällen:

  • entweder bei Erhebung der Daten bei dem Betroffenen,
  • oder, falls die Daten nicht bei dem Betroffenen erhoben wurden, bei der Speicherung oder bei der erstmaligen Übermittlung an einen Dritten.
  • Ihre Rechte
Welche Rolle spielt die nationale Kommission bei Vorabmeldungen und -genehmigungsanträgen?

Die nationale Kommission überprüft die Ordnungsmäßigkeit der Unterlagen.

Falls Unterlagen

  • unvollständig sind oder
  • nicht dem in Artikel 12 Absatz (1) und Artikel 13, Absatz (3) des abgeänderten Gesetzes vom 2. August 2002 vorgesehenen Meldeschema entsprechen (Vorabmeldung), bzw.
  • nicht den in Artikel 14 Absatz (2) bzw. Artikel 19 Absatz (3) des abgeänderten Gesetzes vom 2. August 2002 genannten Anforderungen entsprechen (Genehmigungsantrag),

erhält der Meldepflichtige ein Schreiben der nationalen Kommission, in dem die Dokumente oder Punkte aufgeführt sind, die für die Vollständigkeit der Unterlagen erforderlich sind; sobald die noch fehlenden Unterlagen bei der nationalen Kommission eingegangen sind, erhält der Meldepflichtige eine entsprechende Empfangsbestätigung.

Diese Empfangsbestätigung dient als Beleg für die ordnungsgemäße Vollständigkeit der Akte.

Welches Recht gilt, wenn eine verantwortliche Stelle über Niederlassungen in mehreren EU-Mitgliedstaaten verfügt?

Eine ständige Niederlassung setzt die effektive und tatsächliche Ausübung von Aktivitäten voraus und dies unabhängig vom Rechtsstatus dieser Niederlassung (Erwägungsgrund 19 der Richtlinie 95/46/EG vom 24. Oktober 1995).

Übt die verantwortliche Stelle ihre Aktivitäten in mehreren EU-Mitgliedstaaten aus, so hat sie sicher zu stellen, dass jede Niederlassung, für die sie verantwortlich zeichnet, die Verpflichtungen einhält, die im jeweiligen nationalen Recht vorgesehen sind.

Beispiel: Unterhält ein Unternehmen innerhalb der Europäischen Union ständige Niederlassungen in fünf verschiedenen Mitgliedstaaten, in denen eine Aktivität ausgeübt wird, muss die verantwortliche Stelle für jede dort durchgeführte Verarbeitung eine Meldung bzw. einen Genehmigungsantrag bei der Kontrollbehörde des jeweiligen Mitgliedstaates einreichen, außer wenn im nationalen Recht des jeweiligen Mitgliedstaates eine Freistellung gewährt wird.

Mit welchen strafrechtlichen Folgen muss eine Person rechnen, die eine der in Artikel 14 des abgeänderten Gesetzes vom 2. August 2002 vorgesehenen Verarbeitungen vornimmt, ohne über eine Vorabgenehmigung der nationalen Kommission zu verfügen?

Gemäß Artikel 14 Absatz (4) des abgeänderten Gesetzes vom 2. August 2002 wird derjenige, der eine Verarbeitung unter Verletzung der Bestimmungen von Artikel 14 des abgeänderten Gesetzes vom 2. August 2002 vornimmt, mit einer Gefängnisstrafe von acht Tagen bis zu einem Jahr und einer Geldstrafe von 251 bis 125.000 Euro oder mit nur einer dieser beiden Strafen belegt.

Das zuständige Gericht kann die Einstellung der den Bestimmungen dieses Artikels widersprechenden Verarbeitung unter Androhung eines Zwangsgeldes, dessen Höchstmaß gerichtlich festgelegt wird, anordnen.

Wo und bei wem kann die betroffene Person ihre Rechte geltend machen?

Der Betroffene kann seine Rechte bei folgenden Personen geltend machen:

  • bei der für die Verarbeitung verantwortlichen Stelle,

  • falls die verantwortliche Stelle nicht im Großherzogtum Luxemburg niedergelassen ist: bei deren Stellvertreter in Luxemburg.

Welche Personen fallen unter das abgeänderte Gesetz vom 2. August 2002?

Folgende Datenverarbeitungen unterliegen dem abgeänderten Gesetz vom 2. August 2002:

  • Verarbeitungen, die von einer verantwortlichen Stelle vorgenommen werden, die dem Luxemburger Recht unterliegt;
  • Verarbeitungen, die von einer verantwortlichen Stelle vorgenommen werden, die nicht über eine Niederlassung in Luxemburg oder einem anderen EU-Mitgliedssstaat verfügt, jedoch Einrichtungen nutzt, die sich auf Luxemburger Staatsgebiet befinden. Hiervon ausgenommen sind Einrichtungen, die lediglich zu Transitzwecken auf diesem Staatsgebiet oder dem Gebiet eines anderen EU-Mitgliedstaates genutzt werden.

In einem solchen Fall benennt die verantwortliche Stelle mittels einer schriftlichen Erklärung an die nationale Kommission einen in Luxemburg niedergelassenen Vertreter, der die verantwortliche Stelle in der Erfüllung ihrer im abgeänderten Gesetz vom 2. August 2002 vorgesehenen Pflichten vertritt, ohne dass letztere von ihrer eigenen Verantwortung entbunden wäre.

Welche strafrechtlichen Bestimmungen sind vorgesehen, falls die Meldepflicht nicht befolgt wird oder unvollständige oder ungenaue Angaben gemacht werden?

Gemäß Artikel 12 Absatz (4) des abgeänderten Gesetzes vom 2. August 2002 wird derjenige, der die Meldepflicht mißachtet oder unvollständige oder ungenaue Angaben macht, mit einer Geldstrafe von 251 bis 125.000 Euro belegt.

Das zuständige Gericht kann die Einstellung der den Bestimmungen von Artikel 12 des abgeänderten Gesetzes vom 2. August 2002 widersprechenden Verarbeitung unter Androhung eines Zwangsgeldes, dessen Höchstmaß gerichtlich festgelegt wird, anordnen.

Welche Zulässigkeitsbedingungen müssen erfüllt sein, um eine Verarbeitung personenbezogener Daten vornehmen zu können?

Laut Artikel 5 des abgeänderten Gesetzes vom 2. August 2002 kann die Datenverarbeitung nur dann ausgeführt werden, wenn sie eine oder mehrere der dort aufgeführten Bedingungen erfüllt.

Für einzelne Verarbeitungen (Verarbeitung besonderer Daten, Überwachung,...) weicht das Gesetz jedoch von den allgemeinen Bedingungen ab.

Was versteht der Gesetzgeber unter "Änderung einer Datenverarbeitung"?

Unter « Änderung einer Datenverarbeitung » versteht das Gesetz jede Veränderung von Daten, die einer Verarbeitung unterliegen und der nationalen Kommission gemäß Artikel 13, Absatz (1) des abgeänderten Gesetzes vom 2. August 2002 zu melden sind.

Jede Änderung ist vor dem Beginn der Datenverarbeitung an die nationale Kommission zu melden (Artikel 13 Absatz (2) des abgeänderten Gesetzes vom 2. August 2002).

Hierfür steht ein Formular zur Verfügung.

Was geschieht mit den Datenbanken, die nach dem alten Gesetz von 1979 genehmigt wurden, bzw. mit den Datenbanken, für die keine Genehmigung erteilt wurde?

Datenbanken, die nach dem alten Gesetz von 1979 genehmigt wurden.

Die in automatisierten oder nicht automatisierten Dateien existierenden Verarbeitungen, die vor dem Inkrafttreten des abgeänderten Gesetzes vom 2. August 2002 genehmigt wurden, müssen innerhalb folgender Fristen mit den Bestimmungen von Kapitel II (Zulässigkeitsbedingungen, Artikel 4-11) und Kapitel VI (Rechte der betroffenen Person, Artikel 26-31) in Übereinstimmung gebracht werden:

  • Innerhalb einer Frist von zwei Jahren nach Inkrafttreten des Gesetzes, d.h. bis 1. Dezember 2004 (Artikel 42 Absatz (1) des abgeänderten Gesetzes vom 2. August 2002)

  • Bei Ablauf der Gültigkeit der erteilten Genehmigung müssen die für die Verarbeitung verantwortlichen Stellen die für die Meldung einer Verarbeitung vorgeschriebenen Formalitäten erfüllen, d.h. eine Vorabmeldung bzw. einen vorherigen Genehmigungsantrag einreichen (Artikel 43 Absatz (3) des abgeänderten Gesetzes vom 2. August 2002).

     

Was ist unter dem Begriff "laufende Verwaltung des Unternehmens" zu verstehen (von der Vorabmeldung ausgenommene Verarbeitung "Kunden- und Lieferantenverwaltung", Artikel 12 (3) (e) des abgeänderten Gesetzes vom 2. August 2002) ?

Der Begriff der "laufenden Verwaltung des Unternehmens" umfasst alle Tätigkeiten, die im Allgemeinen von jedem Unternehmen durchgeführt werden, z.B. die administrative Personalverwaltung oder die Buchführung. Sehr oft werden diese Datenverarbeitungen an Auftragsverarbeiter weitergegeben (z.B. die Übermittlung von Rechnungen an eine Buchhaltungsfirma, Druck von Adressen, Briefumschlägen oder Einladungen durch eine Druckerei). In diesem Fall finden die besonderen Bestimmungen aus den Artikeln 21, 22 und 23 des Gesetzes Anwendung, d.h. es muss ein Vertrag oder eine schriftlich niedergelegte Rechtsurkunde mit dem Auftragsverarbeiter abgeschlossen werden, die festhält, dass dieser nur im Auftrag und auf ausdrückliche Anweisung des Verantwortlichen handelt (Einhaltung der Zweckbestimmungen) und dass der Auftragsverarbeiter technische sowie organisatorische Sicherheitsvorkehrungen einhält, um die personenbezogenen Daten vor zufälliger oder unrechtmäßiger Vernichtung, zufälligem Verlust, unbefugter Abänderung, unberechtigter Weitergabe oder unbefugtem Zugang zu schützen.

Jegliche besondere Tätigkeit, die über den Rahmen dieser allgemeinen Tätigkeiten hinausgeht (z.B. Marketing), fällt nicht mehr unter die Bestimmungen dieser Ausnahmeregelung. Eine Verarbeitung solcher Daten ist somit meldepflichtig (Vorabmeldung bei der nationalen Kommission).

Kann der Datenschutzbeauftragte mit dem Verantwortlichen in einem Angestelltenverhältnis stehen?

Der Datenschutzbeauftragte kann Angestellter der für die Verarbeitung verantwortlichen Stelle oder unabhängiger Dienstleister sein.

Der Datenschutzbeauftragte muss ebenso wie die nationale Kommission die Anwendung der gesetzlichen Bestimmungen gewährleisten und ein Verzeichnis der Verarbeitungen führen, die vom Verantwortlichen ausgeführt werden.

Zum Datenschutzbeauftragten können (natürliche oder juristische) Personen ernannt werden, die von der nationalen Kommission anerkannt worden sind. Diese überprüft die Eignung jedes Datenschutzbeauftragten und kann sich jederzeit der Ernennung oder der Beibehaltung eines Datenschutzbeauftragten widersetzen, falls dieser bereits im Rahmen anderer Tätigkeiten mit dem Verantwortlichen zusammenarbeitet und diese Zusammenarbeit einen Interessenkonflikt darstellt, der die Unabhängigkeit des Datenschutzbeauftragten beeinträchtigen könnte.

Wer ist berechtigt, eine Meldung oder einen Genehmigungsantrag einzureichen?

Zuständigkeit der für die Verarbeitung verantwortlichen Stelle oder deren Stellvertreter

Vorabmeldungen oder –genehmigungsanträge können ausschließlich von der verantwortlichen Stelle oder deren Stellvertreter in Luxemburg eingereicht werden.

Verfügt die verantwortliche Stelle nicht über eine ständige Niederlassung auf EU-Gebiet und greift trotzdem auf Einrichtungen für (nicht) automatisierte Datenverarbeitungen auf Luxemburger Staatsgebiet zurück, muss sie einen in Luxemburg niedergelassenen Stellvertreter benennen (Artikel 3, Absatz (2), Buchstabe (b) des abgeänderten Gesetzes vom 2. August 2002).

Sonderfall: De-facto-Vereinigungen

De-facto-Vereinigungen sind Vereinigungen ohne eigene Rechtspersönlichkeit (Vereinigung aller Mitglieder).

Es kann ein Mitglied benannt werden, um im Namen der De-facto-Vereinigung oder für deren Rechnung zu handeln. Dieses Mitglied gilt als Verantwortliche.

Benennt die Vereinigung keinen Verantwortlichen, der in ihrem Namen handelt, können bestimmte Mitglieder (natürliche Personen) mit Zustimmung der nationalen Kommission eine Vorabmeldung oder einen Vorabgehmigungsantrag einreichen.

Welche Datenverarbeitungen fallen unter das abgeänderte Gesetz vom 2. August 2002?

Das abgeänderte Gesetz vom 2. August 2002 gilt für:

  • ganz oder teilweise automatisierte Verarbeitungen und
  • nicht automatisierte Verarbeitungen von Daten, die in einer Datei angeordnet sind bzw. dort gespeichert werden sollen.

Das Gesetz gilt für die Verarbeitung von Daten in Bezug auf die öffentlichen Sicherheit, die Landesverteidigung, die Ermittlung und Verfolgung von Straftaten oder die Staatssicherheit, auch in Verbindung mit bedeutenden wirtschaftlichen oder finanziellen Interessen des Staates, unbeschadet der spezifischen nationalen oder internationalen Bestimmungen in diesen Bereichen.

Das Gesetz gilt für jede Form der Aufnahme, Verarbeitung oder Verbreitung von Tönen und Bildern, die eine Identifizierung natürlicher oder juristischer Personen ermöglicht.

Das Gesetz gilt nicht für Verarbeitungen, die von einer natürlichen Person ausschließlich im Rahmen ihrer persönlichen oder häuslichen Aktivitäten durchgeführt werden.

Welchem Zweck dienen die der nationalen Kommission mitgeteilten Informationen?

Eine doppelte Kontrolle, um festzustellen, ob eine Datenverarbeitung den gesetzlichen Bestimmungen bzw. deren Ausführungsverordnungen entspricht.

  • In Form einer Eingangskontrolle, d.h. vor dem Beginn einer Datenverarbeitung

    Die nationale Kommission überprüft die ihr mitgeteilten Angaben (Meldungen oder Genehmigungsanträge). Sie überprüft zunächst die Form (sind die gemachten Angaben vollständig?), um ihre Prüfung auf einer angemessenen Grundlage durchführen zu können. Anschließend überprüft sie den Inhalt, um festzustellen, ob die gemeldete Datenverarbeitung den gesetzlichen Vorschriften entspricht. Ist dies der Fall, so stellt sie eine Empfangsbestätigung aus (Meldungen) bzw. erteilt eine Genehmigung für die betreffende Datenverarbeitung.

  • In Form einer Ausgangskontrolle, d.h. nach Beginn einer Datenverarbeitung

    Die nationale Kommission kann vor Ort überprüfen, ob eine Datenverarbeitung ordnungsgemäß ist, den geltenden gesetzlichen Bestimmungen entspricht und mit den angegebenen Informationen (Meldung/Genehmigungsantrag) übereinstimmt.

Führen eines öffentlichen Melderegisters für Datenverarbeitungen

Um der Öffentlichkeit Zugang zu den gemeldeten Datenverarbeitungen zu ermöglichen und so das Recht des Betroffenen auf Information zu gewährleisten, schreibt Artikel 15 des abgeänderten Gesetzes vom 2. August 2002 aus Transparenzgründen das Führen eines öffentlichen Melderegisters vor, das folgende Datenverarbeitungen beinhaltet:

  • Verarbeitungen, die der nationalen Kommission gemäß Artikel 12 Absatz (1) des abgeänderten Gesetzes vom 2. August 2002 gemeldet wurden (Informationspflicht gemäß Artikel 13 des Gesetzes),

  • Verarbeitungen, die von der nationalen Kommission gemäß Artikel 14 Absatz (1) des abgeänderten Gesetzes vom 2. August 2002 genehmigt wurden (Informationspflicht gemäß Artikel 14 Absatz (2) des Gesetzes und Auskunft über die von der nationalen Kommission erteilte Genehmigung),

  • Verarbeitungen, die gemäß Artikel 12 Absatz (3) Buchstabe (a) des abgeänderten Gesetzes vom 2. August 2002 vom Datenschutzbeauftragten überwacht und der nationalen Kommission zu melden sind.

  • Die im Melderegister enthaltenen Informationen sind kostenfrei und öffentlich zugänglich; von der öffentlichen Zugänglichkeit ausgenommen sind Informationen, die in Artikel 13 Absatz (1) Buchstabe (g) bzw. Artikel 14 Absatz (2) Buchstabe (i) des abgeänderten Gesetzes vom 2. August 2002 (angewendete Sicherheitsmaßnahmen) aufgeführt sind, sowie die Informationen über Auftragsverarbeiter.

Zum letzten Mal aktualisiert am