Als Verantwortlicher kann jede Art von Organisation fungieren:

• unabhängig davon, ob sie privat oder öffentlich ist;
• unabhängig von ihrer Größe und Tätigkeit;
• unabhängig davon, ob sie personenbezogene Daten einer betroffenen Person für sich selbst verarbeitet, oder nicht, sofern:
  • sie in der EU niedergelassen ist oder;
  • ihre Tätigkeit unmittelbar auf Personen abzielt, die sich in der EU befinden, auch wenn die Organisation außerhalb der EU niedergelassen ist.

Der DSGVO unterliegen beispielsweise: eine in Luxemburg niedergelassene Firma, die die Gesamtheit ihrer Produkte in Länder außerhalb der EU exportiert, oder eine Firma außerhalb der EU, die eine E-Commerce-Website in französischer, deutscher oder luxemburgischer Sprache betreibt und Produkte nach Luxemburg liefert.

Betroffene Personen sind die verschiedenen Individuen, deren personenbezogenen Daten verarbeitet werden.

Verarbeitung der betreffenden Daten

Der Verantwortliche bzw. der Auftragsverarbeiter ist verpflichtet:

• die personenbezogenen Daten auf für die betroffene Person zulässige, faire und transparente Weise zu verarbeiten;
• die Menge an persönlichen Daten auf das für den Zweck der Verarbeitung unbedingt notwendige Maß zu beschränken und Daten nicht in einer Form weiterzuverarbeiten, die mit dem Zweck der Erhebung unvereinbar ist;
• sich zu vergewissern, dass die verarbeiteten personenbezogenen Daten korrekt sind und gegebenenfalls aktualisiert werden. Es sind alle vertretbaren Schritte zu unternehmen, damit inkorrekte Daten entsprechend den Verarbeitungszwecken unverzüglich gelöscht oder berichtigt werden;
• die personenbezogenen Daten in einer Form aufzubewahren, die die Identifikation der betroffenen Personen ermöglicht, und das nur so lange, wie dies zur Erreichung der Verarbeitungszwecke notwendig ist;
• die personenbezogenen Daten so zu verarbeiten, dass deren Sicherheit, Integrität und Vertraulichkeit gewährleistet ist. Ferner muss er durch angemessene organisatorische Maßnahmen den Schutz der personenbezogenen Daten garantieren, und zwar vor:
  • unbefugter oder unzulässiger Verarbeitung und;
  • Verlust, Zerstörung und zufällig verursachter Beschädigung.

Der Verantwortliche bzw. der Auftragsverarbeiter hat sich zu vergewissern, dass die Verarbeitung zulässig ist. Die Verarbeitung ist zulässig:

• wenn sie für die Erfüllung eines Vertrags, bei dem die betroffene Person Vertragspartei ist (Arbeitsvertrag, Kaufvertrag usw.), oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person erfolgen, oder;
• wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Verarbeitung Verantwortliche unterliegt (Verpflichtung des Arbeitgebers, die Einkommensteuer des Arbeitnehmers einzubehalten usw.), oder;
• aufgrund einer freiwilligen, spezifischen, informierten und unmissverständlichen Einwilligung der betroffenen Person (personenbezogene Daten, die durch einen Kunden freiwillig einem Händler zur Verfügung gestellt wurden usw.);
• wenn sie zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist;
• wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt, oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
• wenn sie für die Zwecke berechtigter Interessen erforderlich ist, die der Verantwortliche oder ein Dritter verfolgt, sofern nicht die Interessen oder Grundfreiheiten der betroffenen Person überwiegen, die geschützt werden müssen, insbesondere wenn die betroffene Person noch ein Kind ist.

Anmerkung: Die personenbezogenen Daten dürfen in dem Maße über längere Zeiträume aufbewahrt werden, wie sie ausschließlich für folgende Zwecke verarbeitet werden:

• Archivierung im öffentlichen Interesse;
• wissenschaftliche oder historische Forschung;
• Statistik.

In diesem Fall muss der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, um die Rechte und Freiheiten der betroffenen Person zu gewährleisten.

Einwilligung der betroffenen Personen

Der Verantwortliche bzw. der Auftragsverarbeiter muss zum Zeitpunkt der Erhebung personenbezogener Daten die Einwilligung der durch die Verarbeitung betroffenen Person einholen, wenn die Einwilligung die Rechtsgrundlage gemäß obiger Erläuterung bildet. Stützt sich die Verarbeitung beispielsweise auf die Erfüllung des Vertrags oder die Erfüllung einer rechtlichen Verpflichtung, so ist die Einholung der Einwilligung nicht erforderlich.

Die Einwilligung muss ausdrücklich gegeben werden. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit stellen keine Einwilligung dar.

Information der betroffenen Personen

Desgleichen muss der Verantwortliche bzw. der Auftragsverarbeiter zum Zeitpunkt der Erhebung von Daten die betroffene Person über die Rahmenbedingungen für die Verarbeitung informieren, die er mit diesen Daten vorzunehmen plant, und zwar unabhängig von der jeweiligen Rechtsgrundlage gemäß obiger Erläuterung. Er hat insbesondere Folgendes anzugeben:

• den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls des Datenschutzbeauftragten;
• die Kategorien der betroffenen Daten;
• die Empfänger oder Kategorien von Empfängern, an die die Daten weitergeleitet werden können;
• das Ziel der Verarbeitung;
• die Rechtsgrundlage;
• die Dauer der Datenspeicherung;
• gegebenenfalls die Übermittlung der Daten in Länder außerhalb der EU;
• die Rechte, die die betroffene Person hat (Recht auf Auskunft, Berichtigung, Einschränkung, Widerspruchsrecht, Recht auf Vergessenwerden und Recht auf Datenübertragbarkeit, sowie das Recht, bei der CNPD eine Beschwerde einzubringen).

Bei jeder Verarbeitung von personenbezogenen Daten muss das Unternehmen folgende Personen bzw. Vertretungen bzw. Behörden informieren:

• die betroffenen Arbeitnehmer;
• die betroffenen unternehmensfremden Personen (Kunden, Lieferanten, Besucher);
• im Falle einer Überwachung am Arbeitsplatz: die Personalvertretung (den gemischten Betriebsausschuss oder, in Ermangelung eines solchen, den Betriebsrat, oder in Ermangelung eines solchen, das Gewerbe- und Grubenaufsichtsamt (ITM)).

In der Praxis geschieht dies meistens anhand eines von dieser Person bzw. Vertretung bzw. Behörde gegengezeichneten Dokuments (Hausmitteilung, Arbeitsvertrag, Nachtrag, Dokument zur Datenerfassung usw.).

Bei einer Videoüberwachung kann die Information anhand eines gut sichtbar angebrachten Piktogramms erteilt werden, das die betroffene Person beim Betreten des überwachten Raums sofort sehen kann. Die oben angegebenen Informationen sind ihr auf Antrag mitzuteilen.

Sichern der Datenverarbeitung

Der Verantwortliche bzw. der Auftragsverarbeiter hat während des gesamten Datenverarbeitungszyklus (von der Erhebung bis zur Vernichtung) die für die Gewährleistung der Datensicherheit erforderlichen Vorkehrungen zu treffen.

Insbesondere hat er geeignete technische und organisatorische Vorkehrungen zu treffen, um ein Schutzniveau zu gewährleisten, das angesichts des bestehenden Risikos angemessen ist:

• Pseudonymisierung und Verschlüsselung der personenbezogenen Daten;
• Mittel, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen;
• Mittel, die erlauben, bei physischen oder technischen Störungen die Verfügbarkeit der personenbezogenen Daten und den Zugriff darauf so rasch wie möglich wiederherzustellen;
• ein Verfahren für das regelmäßige Testen, Analysieren und Bewerten der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Bei der Beurteilung des angemessenen Schutzniveaus sind vor allem die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, und zwar – ob unbeabsichtigt oder unrechtmäßig – insbesondere durch:

• Vernichtung;
• Verlust;
• Veränderung personenbezogener Daten;
• unbefugte Offenlegung übertragener, aufbewahrter oder auf andere Weise verarbeiteter Daten;
• unbefugten Zugang zu solchen Daten.

Das Unternehmen hat auch Maßnahmen zu ergreifen, damit seine Arbeitnehmer und andere natürliche Personen, die ihm unterstellt sind und Zugang zu personenbezogenen Daten haben, diese nur auf entsprechende Anweisung verarbeiten.

Führen eines Verarbeitungsverzeichnisses

Jeder Verantwortliche hat ein Verzeichnis der unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten zu führen.

Das Führen eines Verzeichnisses ist nicht erforderlich, wenn das betroffene Unternehmen oder die betroffene Organisation weniger als 250 Arbeitnehmer hat, es sei denn, die vorgenommene Verarbeitung:

• kann ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen;
• erfolgt nicht nur gelegentlich, oder;
• betrifft insbesondere sogenannte „sensible“ Daten oder personenbezogene Daten zu strafrechtlichen Verurteilungen und Straftaten.

Es ist zu empfehlen, im Zweifelsfall ein solches Verzeichnis anzulegen.

Ebenso muss jeder Auftragsverarbeiter ein Verzeichnis über alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führen.

Das Verzeichnis muss Folgendes umfassen:

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen DSB;
• die Verantwortlichen der operationellen Dienste, die im Unternehmen die Daten verarbeiten;
• die Liste der Auftragsverarbeiter;
• die Kategorien der verarbeiteten Daten;
• die Daten, die aufgrund ihrer besonderen Sensibilität mit Risiken verbunden sein können (Beispiel: die Daten mit Bezug auf die Gesundheit oder Straftaten);
• die Zwecke, für die sie erhoben oder verarbeitet wurden (Beispiel: Verwaltung der Geschäftsbeziehung, Personalmanagement);
• den Ort, an dem die Daten aufbewahrt werden;
• die Empfänger oder Länder, an bzw. in die die Daten weitergeleitet werden;
• für jede Datenkategorie die Dauer der Aufbewahrung der Daten;
• die getroffenen Sicherheitsvorkehrungen zur Minimierung des Risikos unbefugten Zugangs zu personenbezogenen Daten und von Auswirkungen auf die Privatsphäre der betroffenen Personen.

Das Verzeichnis ist auf Anforderung der CNPD zur Verfügung zu stellen.

• Der Verantwortliche bzw. der Auftragsverarbeiter kann das Verarbeitungsverzeichnis auch im durch die CNPD entwickelten DSGVO Compliance Support Tool erstellen.

Datenschutz-Folgenabschätzung

Der Verantwortliche bzw. der Auftragsverarbeiter muss eine Datenschutz-Folgenabschätzung (DSFA) durchführen:

• bevor er mit der Verarbeitung dieser Daten beginnt;
• für jede Verarbeitung, die, insbesondere bei Verwendung neuer Technologien, unter Berücksichtigung der folgenden Aspekte voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen darstellt:
  • Art;
  • Umfang;
  • Umstände;
  • Zwecke der Verarbeitung.

Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige DSFA vorgenommen werden.

 Die DSFA ermöglicht Folgendes:

• die Ausarbeitung einer Verarbeitung personenbezogener Daten oder eines Produkts, die bzw. das die Privatsphäre respektiert;
• eine Beurteilung der Auswirkungen auf die Privatsphäre der betroffenen Personen;
• den Nachweis der Einhaltung der Grundprinzipien der DSGVO.

Stellt die Verarbeitung ein erhöhtes Risiko dar, so ist der Verantwortliche bzw. der Auftragsverarbeiter in folgenden Fällen verpflichtet, eine DSFA zu erstellen:

• wenn er eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage einer automatisierten Verarbeitung (einschließlich Profiling) vornimmt;
• wenn er eine umfangreiche Verarbeitung von Kategorien besonderer (gesundheitsbezogener, strafrechtlich relevanter) Daten durchführt, oder;
• wenn er eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche vornimmt (Verarbeitung zum Zweck der Beobachtung, Überwachung oder Kontrolle der betroffenen Personen, einschließlich Daten einer systematischen Überwachung öffentlich zugänglicher Orte).

Nimmt der Verantwortliche bzw. der Auftragsverarbeiter eine DSFA vor, hat er den Rat des Datenschutzbeauftragten (DSB) einzuholen (sofern ein solcher benannt wurde).

Die DSFA muss Folgendes umfassen:

• eine Beschreibung der Verarbeitung und deren Zwecke, gegebenenfalls einschließlich der vom Unternehmen verfolgten berechtigen Interessen;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Hinblick auf den Zweck;
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
• die geplanten Abhilfemaßnahmen, mit denen diesen Risiken begegnet werden soll (Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt werden soll);
• den Nachweis, dass die DSGVO eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger durch die Verarbeitung Betroffener Rechnung zu tragen ist.

Beispiel: Eine Firma muss eine DSFA durchführen, wenn sie die Nutzung eines EDV-Produkts (Internet, E-Mails, Computer, Software usw.) überwacht.

Konsultation der CNPD vor der Verarbeitung

Verbleiben bei der Analyse der Risiken für die Rechte und Freiheiten betroffener Personen nicht behandelte hohe Restrisiken, so hat der Verantwortliche bzw. der Auftragsverarbeiter die CNPD zu konsultieren.

Diese Konsultation hat nach der DSFA und vor der Umsetzung der geplanten Verarbeitung zu erfolgen.

Die CNPD gibt eine Stellungnahme zur geplanten Verarbeitung und zum diesbezüglichen Risikomanagement ab. Die Verarbeitung darf erst erfolgen, wenn Folgendes bereits geschehen ist:

• Eingang der Stellungnahme der CNPD und;
• Umsetzung der eventuellen Empfehlungen der CNPD.

Der Antrag auf vorhergehende Konsultation ist der CNPD mittels des DSFA-Antragsformulars (Französisch, Word, 46 KB) zu übermitteln. Das ordnungsgemäß ausgefüllte und unterzeichnete Formular ist per E-Mail an die Adresse aipd@cnpd.lu zu schicken.

Anmerkung: Es handelt sich nicht um eine „allgemeine“ vorhergehende Konsultation, sondern ausschließlich um eine Konsultation:

• im Kontext der DSFA und;
• für den Fall, dass die Verarbeitung ein hohes Risiko darstellt, bei dem der Verantwortliche keine Maßnahmen zur Minderung des Risikos ergriffen hat.

Das Unternehmen kann auch den durch die CNPD bereitgestellten Verschlüsselungsschlüssel verwenden, um die Vertraulichkeit der Dokumente bei der Übertragung sicherzustellen.

Die Bearbeitung unvollständiger Anträge wird bis zum Erhalt der für die Konsultation erforderlichen Informationen durch die CNPD ausgesetzt.

Die CNPD kann vom Unternehmen für die Stellungnahme zur DSFA Informationen anfordern.

Die CNPD stellt innerhalb von höchstens 8 Wochen ab Erhalt des Konsultationsantrags dem Verantwortlichen bzw. dem Auftragsverarbeiter eine Stellungnahme zur Verfügung. Bei hoher Komplexität der geplanten Verarbeitung kann diese Frist um 6 Wochen verlängert werden.

Die CNPD setzt den Verantwortlichen bzw. den Auftragsverarbeiter innerhalb eines Monats ab Erhalt des Konsultationsantrags von der Verlängerung und den Gründen für die Verspätung in Kenntnis. Die Fristen können ausgesetzt werden, bis die CNPD die angeforderten Informationen erhalten hat.

Verletzung des Schutzes personenbezogener Daten

Fälle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche in einem internen Verzeichnis dokumentieren. Darin ist Folgendes anzugeben:

• die im Zusammenhang mit der Verletzung stehenden Fakten;
• deren Auswirkungen;
• die ergriffenen Abhilfemaßnahmen, auch wenn sie nicht der CNPD gemeldet werden müssen.

Die CNPD kann Zugang zu diesem Verzeichnis verlangen, um die Einhaltung der Verpflichtungen in Zusammenhang mit der Verwaltung von Datenschutzverletzungen durch den Verantwortlichen oder Auftragsverarbeiter zu überprüfen.

Stellt die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten von Personen dar, so muss das Unternehmen binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, die CNPD davon unterrichten.

Besteht die Möglichkeit, dass die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person nach sich zieht, so muss der Verantwortliche bzw. der Auftragsverarbeiter die betroffenen Personen so rasch wie möglich von dieser Datenschutzverletzung in Kenntnis setzen.

Der Auftragsverarbeiter hat den Verantwortlichen, nachdem ihm die Verletzung bekannt wurde, so rasch wie möglich von allen Verletzungen des Schutzes personenbezogener Daten zu benachrichtigen.

Die Meldung hat auf Basis eines von der CNPD vorgeschlagenen Formulars (Französisch, Word, 67 KB) zu erfolgen.

Die Meldung kann per E-Mail an die Adresse databreach@cnpd.lu geschickt werden. Das Unternehmen kann zur Absicherung der Übertragung die Informationen mittels des öffentlichen GPG-Schlüssels verschlüsseln, der von der Website der CNPD heruntergeladen werden kann.

Die Meldung muss Folgendes umfassen:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit folgenden Angaben:
  • Kategorien und ungefähre Zahl der durch die Verletzung betroffenen Personen und;
  • Kategorien und ungefähre Zahl der betroffenen personenbezogenen Datensätze;
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
• eine Beschreibung der ergriffenen oder vom Verantwortlichen vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. 

Nach Erhalt der Meldung geht die CNPD wie folgt vor:

• sie sendet dem Verantwortlichen eine elektronische Empfangsbestätigung;
• sie überprüft die Benachrichtigung und kontaktiert eventuell den Verantwortlichen, um die Authentizität der Benachrichtigung zu überprüfen;
• abhängig vom Einzelfall fordert sie zusätzliche Informationen an und beantwortet eventuelle Fragen, insbesondere zur Notwendigkeit, die betroffenen Personen zu kontaktieren.

Die Mitteilung an die betroffene Person muss in einer klaren und einfachen Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und mindestens Folgendes enthalten:

• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
• eine Beschreibung der ergriffenen oder vom Verantwortlichen vorgeschlagenen Maßnahmen zur Behebung der Verletzung, und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die Mitteilung an die betroffene Person kann auf jede Weise erfolgen. Der Verantwortliche hat sich zu vergewissern, dass die betroffene Person die mitgeteilten Informationen mit hoher Wahrscheinlichkeit erhält. Es kann eine öffentliche Bekanntmachung erforderlich sein.

Dokumentationen

Jede Person verfügt in Bezug auf ihre personenbezogenen Daten über das Recht auf Information, Auskunft, Berichtigung, Vergessenwerden, Einschränkung, Übertragbarkeit und Widerspruch.

Der Verantwortliche bzw. der Auftragsverarbeiter muss jederzeit in der Lage sein, die Einhaltung seiner Verpflichtungen beim Schutz personenbezogener Daten und insbesondere der Rechte der betroffenen Personen gegenüber der CNPD zu rechtfertigen.

Hierzu muss er ein Dossier anlegen, in dem er die erforderliche Dokumentation zusammenfasst und aktualisiert.

Das Dossier muss insbesondere Folgendes umfassen:

• die Dokumentation der Verarbeitung personenbezogener Daten, das heißt:
  • das Verarbeitungsverzeichnis für die Auftragsverarbeiter oder die Kategorien von Tätigkeiten der Verarbeitung für die Auftragsverarbeiter;
  • die DSFA für die Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen;
  • den Rahmen der Übermittlung der Daten in Länder außerhalb der EU (Standardvertragsklauseln, Zertifizierungen usw.);
  • das Verzeichnis der Verletzungen des Schutzes personenbezogener Daten;
• Unterlagen zur Unterrichtung der Personen, das heißt:
  • die Informationsvermerke;
  • die Vorlagen für die Einholung der Einwilligung der betroffenen Personen;
  • die für die Ausübung der Rechte der betroffenen Personen eingeführten Verfahren;
• die Verträge, in denen die Rollen und Verantwortlichkeiten der Akteure festgelegt sind, das heißt:
  • die Verträge mit den Auftragsverarbeitern;
  • die internen Verfahren für den Fall einer Datenschutzverletzung;
  • wenn die Einwilligung der betroffenen Personen die Rechtsgrundlage der Datenverarbeitung darstellt, den Nachweis, dass diese Einwilligung gegeben wurde.

Strafen

Verantwortlichen, die ihren Verpflichtungen beim Schutz personenbezogener Daten nicht nachkommen, drohen Korrekturmaßnahmen wie das Verbot einer Verarbeitung oder eine Geldbuße bis zu einer Höhe von 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Diese Geldbußen müssen wirksam, verhältnismäßig, abschreckend und den konkreten Umständen angemessen sein.

Vorgänge

Links