Datenschutz in Luxemburg E-Book

ISBN 978-3-8005-1694-3

© 2019 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Mainwww.ruw.deDas Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck und Verarbeitung: WIRmachenDRUCK GmbH, 71522 Backnang

Printed in Germany

Vorwort CNPD

Durch das Inkrafttreten der Europäischen Datenschutz-Grundverordnung (nachfolgend die „DSGVO“) am 25. Mai 2018 wurden die Themen Datenschutz und Privatsphäre europaweit, aber auch auf internationaler Ebene, stark mediatisiert. Dabei passierte es des Öfteren, dass das Hauptaugenmerk der neuen Verordnung in den Hintergrund gedrängt wurde: im Zentrum der DSGVO befindet sich die einzelne Person, deren Rechte gestärkt werden. Die Stärkung dieser Rechte ist umso wichtiger in einer zunehmend vernetzten Gesellschaft, in der durch den Aufschwung neuer Technologien immer mehr persönliche Informationen gesammelt, ausgetauscht und verarbeitet werden. Vernetzte Städte, Internet der Dinge, autonomes Fahren, Wirtschaft des Teilens sind alles Bereiche, in denen zunehmend auch persönliche Daten geteilt werden. Sicherheitsverletzungen, Datenverluste, Cyber-Angriffe und Verletzungen der Privatsphäre sind leider eine Realität geworden. Die DSGVO ermöglicht es jeder natürlichen Person, den Gebrauch ihrer persönlichen Daten zu kontrollieren und ist sie der Ansicht, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt, so kann sie von ihrem Recht auf Beschwerde bei bis zu drei verschiedenen Aufsichtsbehörden Gebrauch machen: entweder bei der Aufsichtsbehörde des Mitgliedstaates ihres Aufenthaltsorts, der ihres Arbeitsplatzes oder der des Ortes des mutmaßlichen Verstoßes.

Die Kernaufgabe der luxemburgischen „Commission nationale pour la protection des données“ (kurz „CNPD“) und ihrer 27 Pendants in der Europäischen Union besteht darin, die Anwendung der DSGVO zu überwachen, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Europäischen Union ermöglicht wird. Durch innovative Verfahren der Zusammenarbeit und Kohärenz können die nationalen Behörden länderübergreifend miteinander kooperieren, um Beschlüsse gegenüber multinationalen Verantwortlichen oder Auftragsverarbeiter wirksam durchzusetzen.

Im Zuge der Mediatisierung wurden auch zahlreiche Unwahrheiten über die tatsächlichen Anforderungen der Verordnung verbreitet. Es gehört zu den Aufgaben der CNPD, die Mythen und Desinformationen zu berichtigen, die in den letzten Monaten und Wochen in Umlauf geraten sind. Unter Vorbehalt der Einhaltung der in der Verordnung vorgesehenen Vorschriften, müssen Namen an Klingelschildern nicht entfernt werden; Kitaportfolios dürfen auch künftig Kinderfotos enthalten; die traditionellen Wunschzettel ans Christkind sind nicht verboten; Zahnärzten ist es weiterhin erlaubt, ihre Patienten telefonisch zu kontaktieren, um sie an ihren Termin zu erinnern; gemeinnützige Organisationen und Kleinbetriebe werden nicht mittels beachtlicher Geldbußen durch die CNPD in den Konkurs getrieben und vor allem, das Einverständnis der betroffenen Person stellt weiterhin eines von sechs verschiedenen Legitimitätskriterien dar, die eine Datenverarbeitung ermöglichen.

Die Ziele der DSGVO, nämlich das Datenschutzrecht innerhalb Europas stärker zu vereinheitlichen und zu modernisieren, sind sicherlich erreicht worden. Allerdings müssen alle betroffenen Akteure durch den für Luxemburg neuen Ansatz der DSGVO, von der a priori Kontrolle hin zur a posteriori Kontrolle, einen Lernprozess durchlaufen, um ihre jeweiligen Rechte und Pflichten in einer globalisierten Welt, in der persönliche Daten als Gold der post-industriellen Gesellschaft gehandelt werden, besser zu verstehen; in einer Welt in der die Grenzen zwischen physikalischbiologischer Realität und digitaler Wirklichkeit zunehmend zu einer virtuellen Welt verschmelzen, die aus einer Kombination aus künstlicher Intelligenz, Robotik, Quantenrechner sowie aus Nano – und Gentechnologien besteht. Es ist sehr wichtig, dass hier kein rechtsfreier Rahmen entsteht, in dem persönliche Daten ungeschützt bleiben.

Diese Entwicklungen erfordern einen soliden, transparenten und klar durchsetzbaren europäischen Datenschutzrechtsrahmen, der es ermöglicht, eine Vertrauensbasis zwischen allen Wirtschaftsteilnehmern, einschließlich kleinen und mittleren Unternehmen, zu schaffen, um den digitalen Binnenmarkt zu fördern. Die digitale Wirtschaft kann sich über die nationalen und europäischen Grenzen hinaus nur mit dem Vertrauen des Verbrauchers entwickeln, welches durch die Neuerungen der DSGVO gestärkt wird. Zeitgleich soll die DSGVO demnach den einzelnen Personen ermöglichen, einerseits neue Technologien zu nutzen, andererseits aber auch vor exzessiven und unfairen Verarbeitungen geschützt zu sein. Durch die allgemeine Pflicht, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („privacy by design“ und „privacy by default“) zu garantieren, wird das Thema Datenschutz zum Basisbestandteil aller innovativen Entwicklungen und Überlegungen.

Die neue Rechenschaftspflicht, das sogenannte „accountability“ Prinzip, fördert die Individualität und Flexibilität der einzelnen Verantwortlichen und Auftragsverarbeiter, legt ihnen gleichzeitig jedoch auch neue Herausforderungen und umfangreichere Dokumentationspflichten auf.

Auch die Arbeit und Organisation der CNPD musste überdacht und neu strukturiert werden, damit sie ihrer doppelten Rolle als Informations- und Beratungsstelle, sowie als Kontrollinstanz gerecht werden kann. Nicht außer Acht zu lassen ist in diesem Zusammenhang, dass alle Aufsichtsbehörden direkte Zeugen der digitalen Evolution sind, die einen erheblichen Wandel der Gesellschaft und des Alltagslebens der Bürger zur Folge hat. Es ist heutzutage nicht mehr ausreichend zu überprüfen, ob Verarbeitungstätigkeiten im Einklang mit der neuen Datenschutz-Grundverordnung stehen, denn es ist ein nicht zu vernachlässigender Aspekt hinzugekommen: die von einem ethischen Standpunkt aus gesehene Prüfung der Auswirkungen von Datenverarbeitungen auf das Privatleben der betroffenen Personen und wie diese dazu beitragen kann, Ungleichheiten und Ungerechtigkeit in der Ära der Digitalisierung zu bekämpfen. Dies sind die zentralen Herausforderungen der Zukunft im Bereich des Datenschutzes.

Abschließend möchte die CNPD sich bei den Autoren für ihr erhebliches Engagement und einschlägiges Fachwissen bedanken, mit denen sie dieses Praxishandbuch verfasst haben. Denn obwohl die DSGVO die Datenschutzvorschriften auf europäischer Ebene harmonisiert, enthält sie dennoch mehr als 70 Öffnungsklauseln, die es den einzelnen Mitgliedsstaaten ermöglichen, präzisere Regeln in verschieden Bereichen vorzusehen. Die Luxemburgische Regierung hat die Gelegenheit genutzt, um einigen Eigenheiten des nationales Datenkosmos Rechnung zu tragen. Diese spezifischen Regeln unterstützen Luxemburgs Bestrebungen sich als ein digitaler Vorreiter in Europa zu positionieren. Die CNPD ist überzeugt, dass dieses Praxishandbuch allen, im Bereich des Datenschutzes tätigen, Interessengruppen in ihrer täglichen Arbeit eine gute Unterstützung sein wird.

Esch/Belval, der 21. Januar 2019

Tine A. Larsen

Vorwort DURY

Luxemburg ist mit seiner Lage im Herzen Europas, seiner Sprachenpolitik, der multikulturellen Bevölkerung und seiner Vielzahl an europäischen Institutionen ein Vorbild für ein modernes und pluralistisches Verständnis einer europäischen Identität.

Gleichzeitig hat Luxemburg als internationaler Wirtschaftsstandort mittlerweile eine weltweit wichtige Rolle eingenommen. Einige multinationale Konzerne haben Luxemburg als Konzernsitz gewählt, viele unterhalten in Luxemburg Zweigstellen, die innerhalb der Konzernstrukturen wesentliche Funktionen ausfüllen.

Betrachtet man die wirtschaftliche Bedeutung Luxemburgs, war es für uns als Berater umso erstaunlicher, dass wir im Bereich des Datenschutzes und der DSGVO keine wesentliche Literatur oder praktische Hilfestellung in Form eines Buches auffinden konnten. Unsere Nachforschungen im Vorfeld der Erstellung dieses Praxishandbuches bestätigten diesen Eindruck und motivierten uns, Praktikern aus dem Bereich des Datenschutzes eine verlässliche Stütze im Bereich des Datenschutzes in Luxemburg in Form eines Praxishandbuches an die Hand zu geben.

Die Autoren vereinen dabei praktische Erfahrungen und spezialisierte Fachkenntnis, die sie hiermit weitervermitteln und zur Teilhabe anbieten, denn ein derart dynamisches, pulsierendes und vitales Beratungsfeld, wie der Bereich des Datenschutzes, ist auf den Diskurs der gestaltenden Praktiker und Spezialisten angelegt.

Aus unserer Beraterpraxis mit einem primär deutsch geprägten juristischen aber auch technischen Hintergrund erleben wir die Datenschutzberatung in Luxemburg aufgrund der multinationalen Mischung der verschiedenen Stakeholder und Geschäftsmodelle als eine europäische Bereicherung.

Das ist insbesondere der Fall, weil hier seitens der Datenschutzaufsichtsbehörde (CNPD) das Augenmerk besonders auf die europäische Entwicklung des Datenschutzes gelegt wird und diese – nach eigenem Bekunden – die Schutzinteressen der Bürger der EU, aber auch die Interessen der Unternehmen, denen die Datenschutz-Grundverordnung Rechts- und Handlungssicherheit geben soll, im Sinne eines einheitlichen Europas pragmatisch interpretiert.

Wir haben in den letzten Jahren durch unsere Beratungspraxis zudem den Eindruck gewonnen, dass das Ziel der DSGVO, das europäische Datenschutzrecht zu vereinheitlichen und weitgehend zu harmonisieren, von der CNPD gelebt wird und nationale Alleingänge in Luxemburg keinen so großen Platz haben, wie es in größeren Mitgliedsstaaten der Europäischen Union der Fall sein mag. Luxemburg hat auch nur einige wenige Öffnungsklauseln genutzt und mit dem Gesetz vom 1. August 2018 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten einen materiell rechtlich nur marginal eingreifenden, flankierenden Rechtsrahmen für die Verarbeitung von personenbezogenen Daten in Luxemburg geschaffen.

Das neue Datenschutzrecht, das Gesetz vom 1. August 2018, sieht konkretisierende Regelungen und Bereichsausnahmen z.B. für den Umgang mit Daten zu wissenschaftlichen und Forschungszwecken vor, regelt den Quellenschutz für Journalisten und den Umgang mit Gesundheitsdaten. Auch der Bereich des Arbeitnehmerdatenschutzes wird in dem Gesetz vom 1. August 2018 adressiert.

Offiziell akkreditierte Übersetzungen des Gesetzes vom 1. August 2018 ins Englische und ins Deutsche finden Sie in der jeweiligen Sprachfassung dieses Buches.

Für die Praktiker wertvoll, dürfte auch die Muster-Datenschutzerklärung sein, die wir als Inspirationsquelle beigefügt haben.

Wir danken den vielen Unterstützern dieses Buches in Luxemburg und anderen Ländern der EU und hoffen mit diesem Buch einen kleinen Teil zur großen Idee Europa beizutragen, die uns alle antreibt: Ein Europa für die Menschen.

Die Autoren sind stets offen für Anregungen, Vorschläge und Kritik und würden sich freuen, wenn Ihnen dieses Praxishandbuch in der täglichen Datenschutzpraxis als Nachschlagewerk dient und mit seinen Praxistipps bei der Umschiffung datenschutzrechtlicher Klippen hilft.

Dank gilt unseren Mitarbeiterinnen und Mitarbeitern, die uns tatkräftig unterstützt haben. Besonderer Dank gilt Karoline Penner für die Lösung so vieler großer und kleiner Probleme und Carolin Buchheit, die uns mehrsprachig zur Seite stand.

Sandra Dury

Martin Kerz

Marcus Dury

Inhaltsverzeichnis

Deckblatt

Titel

Impressum

Vorwort CNPD

Vorwort DURY

Inhaltsverzeichnis

Abkürzungsverzeichnis

1. Überblick Datenschutz

1.1. Wann darf man personenbezogene Daten verarbeiten?

1.2. Was ist zu tun, wenn die Verarbeitung nach der DSGVO gerechtfertigt ist?

1.2.1. Sicherstellung eines angemessenen Schutzniveaus

1.2.2. Was ist ein angemessener Schutz für die Verarbeitung personenbezogener Daten?

1.3. Datenschutz als Wettbewerbsvorteil

2. Begriffe, Rollen und Akteure in der DSGVO

2.1. Personenbezogene Daten und deren Verarbeitung gem. Art. 4 DSGVO

2.1.1. Identifikation

2.1.2. (Fehlender) Bezug zur Person

2.1.3. Ergänzendes

2.2. Verarbeitung

2.3. Rollen und Akteure

2.3.1. Der Betroffene

2.3.2. Der Verantwortliche (Controller)

2.3.3. Der Auftragsverarbeiter (Processor)

2.3.4. CNPD – Die Aufsichtsbehörde

2.3.5. Dritte und Empfänger

2.4. Wie Sie mit diesen Begriffen umgehen

3. Arbeiten mit den Gesetzen

3.1. Allgemeines

3.2. Ziele der DSGVO

3.3. Aufbau der DSGVO

3.4. Öffnungsklauseln

3.5. Auslegung der DSGVO in der Praxis

4. Was ist neu im Luxemburgischen Datenschutzgesetz vom 1. August 2018?

4.1. Neue Aufgaben und Befugnisse für die CNPD

4.2. Geldbußen

4.3. Weitere Ermächtigungen

4.4. Spezielle Regelungen zur Verarbeitung von personenbezogenen Daten in bestimmten Bereichen

4.5. Besonderheiten bei der Verarbeitung zu journalistischen oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken nach Art. 85 Abs. 2 DSGVO

4.6. Besonderheiten bei der Verarbeitung von personenbezogenen Daten im Beschäftigtenkontext

4.7. Besonderheiten bei der Verarbeitung von personenbezogenen Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken

4.8. Tabellarische Übersicht

5. Zusammenarbeit mit der CNPD: Besonderheiten im luxemburgischen Datenschutzrecht

5.1. Aufgaben

5.2. Wichtigste Änderung infolge des luxemburgischen Datenschutzgesetzes vom 1. August 2018

5.3. Die CNPD informiert, sensibilisiert und gibt Anleitung

5.4. Wie die Zusammenarbeit mit der CNPD erfolgen soll

5.5. Meldung des Datenschutzbeauftragten, Art. 37 Abs. 7 DSGVO

5.6. Meldung von Datenschutzverletzungen – Data Breach Notifications – nach Art. 33 DSGVO

5.7. Was ist eine Datenschutzverletzung (data breach)?

5.8. Entstehen einer Meldepflicht, Art. 33 DSGVO

5.9. Inhalt der Meldung von Datenschutzverletzungen

5.10. Konsultationspflicht nach Art. 36 DSGVO

5.11. Was ist eine Datenschutz-Folgenabschätzung?

5.12. EU-Vertreter nach Art. 27 DSGVO

5.13. Welche Art von Unterstützung bietet die CNPD an?

5.14. Data Protection Laboratory (DAPRO LAB)

5.15. Kontrollen durch die CNPD

6. Der Datenschutzbeauftragte

6.1. Wann muss ein Datenschutzbeauftragter benannt werden?

6.2. Wer soll als Datenschutzbeauftragter ausgewählt werden (interne oder externe Bestellung)?

6.3. Ein Datenschutzbeauftragter für mehrere Unternehmen, Art. 37 Abs. 2–4 DSGVO

6.4. Welche fachlichen und persönlichen Kompetenzen sollte der Datenschutzbeauftragte haben?

6.5. Stellung des Datenschutzbeauftragten

6.6. Form und Dauer der Benennung des Datenschutzbeauftragten

6.7. Meldung und Veröffentlichung der Ernennung des Datenschutzbeauftragten, Art. 37 Abs. 7 DSGVO

6.8. Die Aufgaben des Datenschutzbeauftragten, Art. 39 DSGVO

6.8.1. Unterrichtung und Beratung des Verantwortlichen und des Auftragsverarbeiters (Art. 39 Abs. 1 lit. a DSGVO).

6.8.2. Überwachung der Einhaltung des Datenschutzes (Art. 39 Abs. 1 lit. b DSGVO)

6.8.3. Der Datenschutzbeauftragte benötigt Informationen, um seine Aufgabe wahrnehmen zu können

6.8.4. Beratungsfunktion im Zusammenhang mit der Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 lit. c DSGVO)

6.8.5. Zusammenarbeit mit der CNPD, Art. 39 Abs. 1 lit. d und e DSGVO

6.8.6. Weitere Aufgaben des Datenschutzbeauftragten

6.9. Wie der Datenschutzbeauftragte im Unternehmen vorgestellt werden sollte

6.10. Das Management als Vorbild im Datenschutz

7. Verzeichnis der Verarbeitungstätigkeiten

7.1. Wozu wird ein Verzeichnis der Verarbeitungstätigkeiten benötigt?

7.2. Wer muss ein Verzeichnis der Verarbeitungstätigkeiten führen?

7.3. Aktualisierung des Verzeichnisses

7.4. Notwendiger Inhalt und Aufbau

7.5. Angaben, die sich auf das gesamte Verzeichnis beziehen

7.6. Benennung der Verarbeitungstätigkeiten

7.7. Präzise Zweckbeschreibung

7.8. Kategorien betroffener Personen und der verarbeiteten Daten

7.9. Offenlegung (Datenübermittlung)

7.10. Datenübermittlung in Drittländer

7.11. Löschfristen und technische und organisatorische Maßnahmen

7.12. Technische und organisatorische Maßnahmen

7.13. Das Verarbeitungsverzeichnis der Auftragsverarbeiter

7.14. Die Zusammenarbeit mit dem Datenschutzbeauftragten

8. Rechte der Betroffenen – Umgang mit Anfragen

8.1. Das Recht auf transparente Information

8.2. Formvorschriften

8.3. Art. 13 und 14 DSGVO: Pro-Aktivität

8.3.1. Dokumentation der Informationspflicht

8.3.2. Inhalt der Informationspflicht

8.3.3. Ausnahmen von der Informationspflicht

8.3.4. Besondere Herausforderungen in der Informationspflicht

8.3.5. Weitere Informationspflichten

8.4. Das Recht auf Auskunft, Art. 15 DSGVO

8.4.1. Verlängerung der Frist

8.4.2. Verweigerung der Auskunft – Identifikation der betroffenen Person

8.4.3. Unentgeltliche Auskunftserteilung

8.5. Das Recht auf Berichtigung

8.6. Das Recht auf Löschung von Daten (Recht auf Vergessenwerden)

8.7. Das Recht auf Einschränkung der Verarbeitung

8.8. Mitteilungspflichten

8.9. Das Recht auf Datenübertragbarkeit

8.10. Widerspruchsrecht

8.11. Automatisierte Entscheidungen

9. Datenschutzverletzungen und ihre Konsequenzen

9.1. Risikoabwägung bei Datenschutzverletzungen

9.2. Meldepflichten – Die Meldung an die CNPD

9.3. Meldung an den Betroffenen selbst

9.4. Die Dokumentation von Datenschutzverletzungen

9.5. Konsequenzen für Unternehmen bei der Verletzung des Schutzes personenbezogener Daten

10. Auftragsverarbeitung

10.1. Pflichten für Auftragsverarbeiter

10.2. Auswahl von Auftragsverarbeitern durch den Verantwortlichen

10.3. Auswahl eines geeigneten Auftragsverarbeiters

10.4. Die Bindung des Auftragsverarbeiters nach Art. 28 Abs. 3 DSGVO

10.5. Einbindung von Unterauftragsverarbeitern

11. Datenflüsse im Konzern

11.1. Wann ist ein konzerninterner Datentransfer zulässig?

11.2. Auftragsverarbeitung im Konzern, Art. 28 DSGVO

11.3. Berechtigtes Interesse für die Übermittlung von Daten im Konzern, Art. 6 Abs. 1 lit f. DSGVO

12. Datenschutz in Bezug auf Apps, Internetseiten, Online-Shops und andere Internetangebote; Datenexport in Drittländer

12.1. Datenschutz in Bezug auf Apps, Internetseiten, Online-Shops und andere Internetangebote

12.2. Anwendbarkeit der DSGVO bei Internetangeboten

12.3. Überblick: Datenschutzrechtliche Aspekte eines Online-Projektes

12.3.1. Verarbeitung von Daten außerhalb der EU gem. 45 ff. DSGVO und darauf bezogene Informationspflichten

12.3.2. Alternative geeignete Schutzmaßnahmen gem. Art. 46 ff. DSGVO als Rechtsgrundlage der Datenübermittlung

12.3.2.1. Standarddatenschutzklauseln (Standardvertragsklauseln) als Rechtsgrundlage für einen Datentransfer in ein Drittland im Rahmen des Einsatzes von Webservices auf Internetseiten Luxemburgischer Unternehmen

12.3.2.2. Unternehmensinterne Regelungen – Binding Corporate Rules (BCR) – Art. 47 DSGVO

12.3.2.3. DSGVO erlaubt branchenspezifische Kodizes und Datenschutz-Zertifizierungen

12.3.2.4. Das EU-U.S. Privacy Shield als Rechtsgrundlage für einen Datentransfer in ein Drittland im Rahmen des Einsatzes von Webservices auf Internetseiten luxemburgischer Unternehmen

12.3.2.5. Was können Sie tun, wenn Sie einen nicht datenschutzkonformen Webservice nutzen, den Sie weiterhin benutzen möchten/müssen?

12.4. Datenschutz und Webanalyse – Einsatz von Cookies

12.4.1. Webtracking/die Notwendigkeit von Cookie-Bannern/Anforderungen an den Einsatz von Cookies und vergleichbaren Technologien im Online-Kontext

12.4.2. Dynamische IP-Adressen als personenbezogene Informationen

12.4.3. Zulässigkeit des Setzens von Cookies in Luxemburg

12.4.4. Zukünftiger Einfluss der ePrivacy-Verordnung

12.4.5. ePrivacy-Verordnung und externes Webtracking am Beispiel von Google-Analytics

12.4.6. Welche Anforderungen sind an die Einwilligungserklärung bei Webtracking zu stellen?

12.5. Generelle Anforderungen an Einwilligungserklärungen im Online-Kontext

12.5.1. Einwilligung zur Verarbeitung personenbezogenen Daten gem. Art. 6 Abs. 1 lit. a DSGVO

12.5.2. Einwilligung zur Verarbeitung von besonderen Kategorien personenbezogener Daten gem. Art. 9 Abs. 2 DSGVO

12.6. Newsletter-Versand

12.6.1. Einwilligung in den Newsletterversand – Art. 6 Abs. 1 lit. a DSGVO

12.6.2. Newsletter – Grundsatz der Datenminimierung – Art. 5 Abs. 1 lit. c DSGVO

12.6.3. Newsletter – Hinweis auf Möglichkeit einer Abmeldung vom Newsletter – Art. 21 Abs. 4 DSGVO

12.6.4. Newsletter – Information über das Widerspruchsrecht – Art. 21 Abs. 2 DSGVO

12.6.5. Newsletter-Webtracking

12.6.6. Was ist bei der Einwilligungserklärung bzgl. des Newsletterversands und des Newslettertrackings zu beachten?

12.7. Grundsatz der Datenminimierung – Art. 5 Abs. 1 lit. c DSGVO

12.8. Anforderungen an den Inhalt einer Datenschutzerklärung

12.8.1. Nennung des Verantwortlichen – Art. 13 Abs. 1 lit. a DSGVO

12.8.2. Information über besondere Funktionen der Website – Art. 12 Abs. 1 DSGVO

12.8.3. Information über den Einsatz von Webtracking-Techniken

12.8.3.1. Grundsätzliche Unterscheidung: Externe Webtracking-Services oder selbst gehostete Webtracking-Services

12.8.3.2. Besonderheiten bei der Nutzung des GoogleTag-Managers zum Webtracking

12.8.4. Information über den Datenaustausch mit anderen Websites – Einbindung von fremden Webservices – Art. 13 Abs. 1 lit. c DSGVO

12.8.5. Information über die Verarbeitung von Daten außerhalb der EU – Art. 13 Abs. 1 lit. f DSGVO i.V.m. Art. 44 ff. DSGVO

12.8.6. Informationen über Profiling/Bonitätsprüfung mit automatisierter Entscheidungsfindung bei Vertragsabschluss – Art. 13 Abs. 2 lit. f DSGVO i.V.m. Art. 22 Abs. 2 lit. a DSGVO

12.8.7. Nennung der Kontaktdaten des betrieblichen Datenschutzbeauftragten – Art. 37 Abs. 7 DSGVO

12.8.8. Information über Betroffenenrechte:

12.8.8.1. Recht auf Beschwerde bei einer Aufsichtsbehörde – Art. 77 DSGVO

12.8.8.2. Auskunftsrecht/Berichtigungsrecht/Recht auf Löschung/Recht auf Einschränkung von Daten – Artt. 15, 16, 17, 18 DSGVO.

12.8.8.3. Recht auf Widerspruch zur Datenverarbeitung – Art. 21 DSGVO

12.8.8.4. Information über das Recht auf Datenübertragbarkeit – Art. 20 DSGVO (Datenportabilität)

12.8.9. Einzelheiten zum Transparenzgebot:

12.8.9.1. Datenschutzerklärung(en) frei von Widersprüchen

12.8.9.2. Links in der Datenschutzerklärung anklickbar – Art. 12 DSGVO

12.9. Datenschutz-Checkliste für Internetseiten von Unternehmen mit Sitz in Luxemburg

13. Arbeitnehmer Datenschutzrecht

13.1. Einleitung

13.2. Was ist neu?

13.3. Datenschutzrechtliche Voraussetzungen für die Überwachung von Mitarbeiterdaten nach Art. 71 des Gesetzes vom 1. August 2018, L. 261-1 Arbeitsgesetzbuch:

13.3.1. Erfüllung zumindest eines Erlaubnistatbestandes nach Art. 6 Abs. 1 DSGVO (1. Voraussetzung)

13.3.2. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

13.3.3. Datenverarbeitung zur Erfüllung eines Arbeitsvertrages oder zur Anbahnung eines Arbeitsvertrages, Art. 6 Abs. 1 lit. b DSGVO

13.3.4. Die Datenverarbeitung ist zur Erfüllung gesetzlicher Verpflichtungen erforderlich, Art. 6 Abs. 1 lit. c DSGVO

13.3.5. Die Verarbeitung ist aus lebenswichtigen Interessen notwendig, Art. 6 Abs. 1 lit. d DSGVO284

13.3.6. Die Datenverarbeitung ist zur Wahrnehmung des öffentlichen Interesses und Ausübung öffentlicher Gewalt Art. 6 Abs. 1 lit. e erforderlich.

13.3.7. Die Datenverarbeitung von personenbezogenen Daten ist zur Wahrung berechtigter Interessen erforderlich, Art. 6 Abs. 1 lit. f DSGVO

13.4. Informationspflichten des Arbeitgebers (2. Voraussetzung)

13.5. Abstimmungsrecht des Gemischten Betriebsrates/Personalvertretung, Art. L. 261-1 Abs. 4 Arbeitsgesetzbuch (3. Voraussetzung)

13.6. Stellungnahme der CNPD, Art. 261-1 Abs. 4 Arbeitsgesetzbuch (4. Voraussetzung)

13.7. Rechte des Arbeitnehmers nach Art. 261-1 Abs. 4 Arbeitsgesetzbuch

13.8. Verarbeitungsverzeichnis und Datenschutz-Folgeabschätzung

Anhang I – Muster Datenschutzerklärung

Anhang II – Datenschutz-Tools

a. Luxemburg

b. Frankreich

c. Deutschland

d. Niederlande

e. Spanien

f. Belgien

g. Finnland

h. Polen

i. Irland

j. Vereinigtes Königreich

Anhang III – Die wichtigsten Begriffe in drei Sprachen

Anhang IV – Gesetz vom 1. August 2018 (von der CNPD akkreditierte Übersetzung des luxemburgischen Datenschutzgesetzes)

Anhang V – Häufig gestellte Fragen (FAQ) zum Thema Datenschutz

Index – Stichwortverzeichnis

A

B

C

D

E

F

G

H

I

J

K

L

M

N

O

P

R

S

T

U

V

W

Z

Literaturverzeichnis

Abkürzungsverzeichnis

Abl.

Amtsblatt

Abs.

Absatz

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

AEPD

Agencia Española Protección Datos (Datenschutzbehörde Spanien)

AG

Aktiengesellschaft

AGB

Allgemeine Geschäftsbedingungen

al.

Alinéa (franz. Absatz)

Alt.

Alternative

Anm.

Anmerkung

AO

Abgabenordnung

APD

Autorité de protection des données (Datenschutzbehörde Belgien)

Art.

Artikel („Artt.“ entspricht mehreren Artikeln)

AVV

Auftragsverarbeitungsvertrag

BayLDA

Bayerisches Landesamt für Datenschutzaufsicht

Betroffener

Betroffene Person

BCR

Binding Corporate Rule (engl. Verbindliche Unternehmensregeln)

BDSG

Bundesdatenschutzgesetz

BPMN

Business Process Model and Notation (deut. Geschäftsprozessmodell)

bzw.

beziehungsweise

ca.

circa

cc.

Carbon Copy (deut. Weitere Empfänger in Kopie setzen)

CCSS

Centre commun de la sécurité sociale (Zentralstelle der Sozialversicherungen)

CCZ

Corporate Compliance Zeitschrift

CIO

Chief Information Officer bzw. IT-Leiter

CMO

Chief Marketing Officer bzw. Marketing-Leiter

CNPD

Commission Nationale pour la Protection des Données (Datenschutzkommission Luxembourg)

CNIL

Commission Nationale de l’Informatique et des Libertés (Datenschutzbehörde Frankreich)

CoC

Code of Conduct

d.

der/des

DAPRO LAB

Data Protection Laboratory

d.h.

das heißt

DPA

Data processing agreement (deut. Auftragsverarbeitungsvertrag)

DPO

Data protection officer/Délégué à la protection des données (deut. Datenschutzbeauftragter)

DSB

Datenschutzbeauftragter

DSFA

Datenschutz-Folgenabschätzung

DSGVO

Datenschutz-Grundverordnung

DSMS

Datenschutz-Management-System

EDPB

European Data Protection Board

EG

Europäische Gemeinschaft

E-Mail

Electronic Mail (deut. elektronische Post)

Engl.

Englisch

ePrivacy Richtlinie

Richtlinie 2002/58/EG; Datenschutzrichtlinie für elektronische Kommunikation

ErwG

Erwägungsgrund

etc.

et cetera

EU

Europäische Union

EuGH

Europäischer Gerichtshof

EUV

Vertrag über die Europäische Union

FAQ

Frequently Asked Questions (engl. häufig gestellte Fragen)

ff.

folgende

Fn.

Fußnote

GDD

Gesellschaft für Datenschutz und Datensicherheit

GDPR

General Data Protection Regulation

gem.

gemäß

Gesetz vom 2. August 2002

Gesetz vom 2. August 2002 zum Schutz personenbezogener

Daten bei der Datenverarbeitung.

Gesetz vom 1. August 2018

Gesetz vom 1. August 2018 betreffend die Organisation der nationalen Datenschutzkommission des Großherzogtums Luxemburg (CNPD) und die Anwendung der Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), sowie über die Änderung des Arbeitsgesetzbuches und des abgeänderten Gesetzes vom 25. März 2015 über die Gehälterregelung, sowie die Bedingungen und Modalitäten des Aufstiegs der Staatsbeamten

ggf.

gegebenenfalls

GmbH

Gesellschaft mit beschränkter Haftung

GPS

Global Positioning System

GRCh

Grundrechte-Charta

HIV

Humane Immundefizienz-Virus

HR

Human Ressources

HS/Hs.

Halbsatz

IaaS

Infrastructure as a Service

ID

Identifikationsnummer

i.S.d.

Im Sinne des/der

i.V.m.

In Verbindung mit

inkl.

inklusive

insb.

insbesondere

IP

Internet Protokoll

ISMS

Information Security Management System

ISO

Internationale Organisation für Normierung

IT

Informationstechnik

KMU

Kleine und mittlere Unternehmen

LfD

Landesbeauftragte/r für Datenschutz

LIST

Luxembourg Institute of Science and Technology

lit.

Litera (lat. für Buchstabe)

m.w.N.

mit weiteren Nachweisen

No./Nr.

(engl.) Nummer

PaaS

Platform as a Service

Par.

Paragraphe

PC

Personal Computer

Pdf.

Portable Document Format

PIA

Privacy Impact Assessment (engl. Datenschutzfolgenabschätzung)

PRISM

Planning tool for Resource Integration, Synchronization, and Management

Rev.

Revue

RGPD

Règlement général sur la protection des données

RL

Richtlinie

Rn.

Randnummer

Rs.

Rechtssache

S.

Satz

S.A.

société anonyme

SaaS

Software as a Service

S.à.r.l.

Société à responsabilité limitée (deut. Gesellschaft mit beschränkter Haftung)

sog.

sogenannt

TKG

Telekommunikationsgesetz

TMG

Telemediengesetz

u.a.

unter anderem

UAbs.

Unterabsatz

Urt.

Urteil

USA

United States of America

usw.

und so weiter

v.

von/vom

Verf.

Verfasser/s

vgl.

vergleiche

WP

Working Papers

XaaS

Anything as a Service

z.B.

zum Beispiel

1. Überblick Datenschutz

Eine der Hauptintensionen der Datenschutz-Grundverordnung (DSGVO) besteht darin, die Privatsphäre des Einzelnen zu schützen.1 Dies ist umso mehr von Bedeutung, als die Digitalisierung immer weiter voranschreitet. So wird im ErwG 6 festgestellt:

„Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor neue Herausforderungen gestellt“.

Das Ausmaß der Erhebung und der Austausch der Daten haben eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeit in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen.

Wenn wir das Internet nutzen, geben wir automatisch Informationen von uns preis und das nicht nur, wenn wir surfen. Immer mehr Alltagsgeräte sind vernetzt und mit Spracherkennung und Videokameras ausgestattet, teilweise ohne unser Wissen. Die DSGVO ist der Versuch des europäischen Gesetzgebers, dem Missbrauch unserer Daten entgegenzuwirken.

Aus dieser grundsätzlichen Erkenntnis folgen zwei Schwerpunkte der DSGVO: Die Rechtfertigung der Datenverarbeitung in jedem Einzelfall und die Sicherstellung eines angemessenen Schutzes der Daten bei der Verarbeitung selbst.

1

Vgl. insbesondere ErwG 1 bis 4 DSGVO.

1.1. Wann darf man personenbezogene Daten verarbeiten?

Grundsätzlich gilt: Informationen über eine identifizierbare Person („personenbezogene Daten“) dürfen von niemand anderem verarbeitet werden. „Verarbeiten“ wird in der DSGVO sehr weit verstanden und bedeutet, dass man als Unternehmen mit personenbezogenen Daten anderer Menschen eigentlich gar nichts (systematisch) machen darf, es sei denn, man hält sich an die Vorschriften des Datenschutzes. In der DSGVO wird die Verarbeitung in bestimmten Fällen erlaubt und an Bedingungen geknüpft:2

• Es gibt Fälle, in denen die Verarbeitung von Daten nötig ist, z.B. wenn man einen Vertrag mit einer anderen Person geschlossen hat (Art. 6 Abs. 1 lit. b DSGVO).

• Ebenso kann eine Verarbeitung sogar zwingend sein, weil z.B. der Gesetzgeber den Verarbeiter der Daten dazu verpflichtet (Art. 6 Abs. 1 lit. c DSGVO).

• Darüber hinaus gibt es Fälle, in denen die Verarbeitung zum Erreichen wichtiger Interessen und Ziele deshalb erlaubt ist, weil die Verarbeitung der Daten selbst im Vergleich zu den Interessen und Zielen nicht ins Gewicht fällt (z.B. bei allgemeinen gesellschaftlichen Interessen, wie der Volksgesundheit oder Wissenschaft, aber auch bei wichtigen wirtschaftlichen Interessen von Unternehmen) (Art. 6 Abs. 1 lit. d, e und insbesondere lit. f DSGVO).

• Schließlich kann die Person, deren Daten man verarbeitet, die Verarbeitung durch eine Einwilligung erlauben (Art. 6 Abs. 1 lit. a DSGVO).

Es herrscht also ein Regel-Ausnahme-Prinzip, oder technisch gesprochen ein Verbot mit Erlaubnisvorbehalt. Das Verbot ist die Regel, in Ausnahmefällen ist die Verarbeitung personenbezogener Daten erlaubt.

Will man also personenbezogene Daten anderer verarbeiten, braucht man eine der oben genannten Rechtfertigungen: einen Vertrag, eine gesetzliche Verpflichtung, berechtigte Interesse die die Interessen der Personen an dem Verzicht auf Verarbeitung überwiegen oder die explizite Einwilligung der Person, deren Daten man verarbeiten möchte.

2

Diese Bedingungen sind vor allem in Kapitel 2 der DSGVO und dort insbesondere in den Artt. 5 und 6 festgelegt.

1.2. Was ist zu tun, wenn die Verarbeitung nach der DSGVO gerechtfertigt ist?

1.2.1.Sicherstellung eines angemessenen Schutzniveaus

Da man personenbezogene Daten nur in Ausnahmefällen verarbeiten darf, muss man in diesen Ausnahmefällen die Sicherheit der Daten garantieren (Artt. 24, 32 DSGVO). Als europäisches Gesetz liegt die DSGVO in mehreren Sprachen vor. Die deutsche Übersetzung des (datenschutzrechtlich) „Verantwortlichen“, der im Englischen „controller“ genannt wird, drückt die besondere Verantwortung für die betroffenen Personen bei der Datenverarbeitung aus. Er übernimmt die Verantwortung für den angemessenen Schutz der personenbezogenen Daten des Betroffenen.

1.2.2.Was ist ein angemessener Schutz für die Verarbeitung personenbezogener Daten?

Die DSGVO bestimmt, dass der angemessene Schutz der Daten vom Risiko für die Rechte und Freiheiten der Menschen abhängt, deren Daten verarbeitet werden.3 Je höher das Risiko für eine Verletzung oder Einschränkung der Rechte und Freiheiten der Menschen ist, desto größere Sicherheitsvorkehrungen müssen getroffen werden.

Welche Rechte und Freiheiten sind damit gemeint? In Europa sind verschiedene Rechte und Freiheiten gesetzlich (in der europäischen Grundrechtscharta oder dem AEUV) garantiert4, z.B. das Recht auf freie Meinungsäußerung, die Bewegungsfreiheit, Religionsfreiheit, freie Berufswahl oder die Gleichberechtigung und das Diskriminierungsverbot. Zumindest diese gesetzlich garantierten Rechte fallen auf jeden Fall darunter, wenn in der DSGVO von Rechten und Freiheiten gesprochen wird.

Das Risiko ist abhängig von der Bedrohung der Rechte und Freiheiten, z.B. dadurch, dass die Daten in falsche Hände oder in die Öffentlichkeit gelangen, und der Wahrscheinlichkeit, dass diese Bedrohung sich auch realisiert.

Je größer z.B. das Recht auf freie Berufswahl durch eine Veröffentlichung der Daten beeinträchtigt wäre und je wahrscheinlicher die versehentliche Veröffentlichung ist, desto höher ist das Risiko für dieses Recht.

Das hat natürlich zur Folge, dass im Interesse des Betroffenen hohe Sicherheitsvorkehrungen zum Schutz dieser Informationen getroffen werden müssen.

3

Dieses Risikoprinzip ist in der DSGVO z.B. an folgenden Stellen normiert: Artt. 23; 24 Abs. 1; 25 Abs. 1; 27 Abs, 2 lit a; 30 Abs. 5; Art. 32 Abs. 1 u. 2; 33 Abs. 1; 34 Abs. 1, Abs. 3 lit. b, Abs. 4; 35 Abs. 1, Abs. 7 lit. c und d, Abs. 11; 36 Abs. 1 u. 2; 39 Abs. 2; 49 Abs. 1 lit. a; 70 Abs. 1 lit. h sowie in den ErwGG 51, 74 – 77, 80, 81, 83–86, 89–91, 94, 96 und 98.

4

Vgl. nur ErwG 1 DSGVO.

1.3. Datenschutz als Wettbewerbsvorteil

Die DSGVO ist ein Schutzgesetz für die Bürger. Sie erleichtert aber auch die Zusammenarbeit mit anderen Unternehmen innerhalb der EU. Der Aufwand, der für den Datenschutz aufgewendet wird, ist letztlich eine Investition in die Zukunft. Die Absicht der Europäischen Union bei der Sicherung der Privatsphäre durch die DSGVO ist klar: Es geht um die Stärkung der Bürgerrechte in der digitalisierten Welt.

Im internationalen Wettbewerb ist Datenschutz aber auch ein monetarisierbares Unterscheidungsmerkmal gegenüber Unternehmen aus anderen Wirtschaftsräumen. Die DSGVO ist nicht ausschließlich ein Schutzgesetz für die Bürger. Indem sich die Teilnehmer am Wirtschaftsleben datenschutzkonform verhalten, investieren sie in das Vertrauensverhältnis zwischen ihrem Unternehmen und ihren Kunden, Lieferanten und sämtlichen Dienstleistern, mit denen sie zusammenarbeiten.

2. Begriffe, Rollen und Akteure in der DSGVO

Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Art. 1 Abs. 1 S. 1 DSGVO). Dieser erste Satz der Datenschutz-Grundverordnung beschreibt ihren Anwendungsbereich und beinhaltet einige erklärungsbedürftige Rechtsbegriffe. Was genau versteht man unter personenbezogenen Daten und was ist mit Verarbeitung gemeint?

Um Datenschutz in Luxemburg richtig zu verstehen und um die gesetzlichen Vorgaben korrekt umsetzen zu können, ist es wichtig, sich mit den zentralen Begriffen ebenso wie mit den relevanten Akteuren (z.B. der CNPD, dem Verantwortlichen, dem Betroffenen) und den Funktionen, die sie übernehmen können, vertraut zu machen. Der Gesetzestext der DSGVO beinhaltet zahlreiche normative Begriffe, die in den nächsten Jahren noch durch zukünftige Rechtsprechung des EuGH konkretisiert werden. Gleichzeitig können die Leitlinien des gemeinsamen Europäischen Datenschutzausschusses (EDPB)5, die Empfehlungscharakter haben, zum einheitlichen Verständnis beitragen.

Um die Auslegung und Anwendung der Datenschutz-Grundverordnung zu erleichtern, hat der Gesetzgeber die Definitionen der wichtigsten Begriffe in Art. 4 DSGVO zusammengefasst. Auf einige Begriffe aus Art. 4, die in diesem Praxishandbuch häufig verwendet werden, wird im Folgenden näher eingegangen.

5

https://edpb.europa.eu/.

2.1. Personenbezogene Daten und deren Verarbeitung gem. Art. 4 DSGVO

„Personenbezogene Daten“ ist der wichtigste Begriff in der DSGVO und im Gesetz vom 1. August 2018. Mit ihm wird der Anwendungsbereich der DSGVO (Art. 2 Abs. 1) und des Gesetzes vom 1. August 2018 (Art. 1) eröffnet. Die Vorschriften des Datenschutzes finden also nur Anwendung, wenn personenbezogene Daten verarbeitet werden.6

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als „alle Informationen …, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen“. Was eine Information ist, wird in der DSGVO nicht definiert. Um den Datenschutz als europäisches Grundrecht (ErwG 1 S. 1 DSGVO) zu verwirklichen, muss ein weites Verständnis des Begriffs Information angenommen werden.7

Die Information muss einen Bezug (siehe unten b) zu einer identifizierbaren oder identifizierten (siehe unten a) natürlichen Person aufweisen.

2.1.1.Identifikation

Eine Person wird dann als identifizierbar angesehen, wenn sie „direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4 Nr. 1 Hs. 2 DSGVO).

Als Mittel zur Identifikation kommen alle in Betracht, die „dem Verantwortlichen [siehe unten; Anm. d. Verf.] oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“ (ErwG 26 S. 3 DSGVO).

Die Information, die möglicherweise einen Personenbezug aufweist, kann also durchaus auch zur Identifikation der Person herangezogen werden. Sie ist allerdings nicht die einzige Information, die zur Identifikation beiträgt. Die Identifikation selbst ergibt sich aus dem Zusammenspiel, der Verknüpfung aller Informationen,8 auf die mit wahrscheinlichen Mitteln zugegriffen werden kann.

Anhand dieser Beispiele wird deutlich, welchen Stellenwert beliebige Einzelinformationen im Hinblick auf die Identifikation von Personen haben: Sie lassen in ihrer Gesamtschau und Kombination eindeutige Rückschlüsse auf den Menschen zu, der sich hinter den Einzelinformationen verbirgt. Ebenso wichtig ist der Kontext, in dem die Informationen stehen. Eine einzelne Information ist niemals kontextunabhängig. Sie steht in Beziehung zu anderen Informationen, die entweder schon bekannt oder öffentlich zugänglich sind. Von Léa Linster und Andy Schleck sind sehr viele dieser Informationen öffentlich bekannt und auch öffentlich zugänglich. Daher konnte man beide – gerade in Zeiten der Informationsgesellschaft – ohne großen Aufwand – relativ schnell identifizieren.

All diese Einzelinformationen, sei es das Jurastudium vom Frau Linster oder das Sternzeichen von Herrn Schleck, sind für sich genommen bereits personenbezogene Daten. Entscheidend für den Personenbezug und damit auch die Identifizierbarkeit ist der jeweilige Kontext, in dem die Information steht. Denn dieser bestimmt, wie eine Einzelinformation dazu beiträgt, einen Menschen identifizierbar zu machen.

2.1.2.(Fehlender) Bezug zur Person

Ist die Person (aller Wahrscheinlichkeit nach) identifizierbar, dann muss die Information auch einen Bezug zu dieser identifizierbaren Person aufweisen. Die Menge der Information mit Personenbezug ist sehr groß. Daher macht es Sinn auszuschließen, welche Informationen keinen Personenbezug aufweisen. Das können zum Beispiel Aussagen über Tatsachen sein, die sich nur auf Gegenstände beziehen, wie etwa „Luxemburg ist der Namen eines Landes und gleichzeitig der Name einer Stadt.“ Diese (wahre) Aussage hat keinen Bezug zu einer identifizierbaren Person.

Informationen über Gruppen von Personen weisen ebenfalls keinen Personenbezug auf, es sei denn, die Gruppe wäre so klein, dass man auf eine einzelne Person innerhalb der Gruppe schließen könnte. Das ist zum Beispiel dann der Fall, wenn eine Anwaltskanzlei Umsätze aller Anwälte veröffentlicht und man aus dem sozialen Kontext (etwa die Zugehörigkeit zu einem bestimmten Dezernat, das einen besonders hohen oder niedrigen Umsatz erzielt hat) einen bestimmten Umsatz einem einzelnen Anwalt zurechnen kann.

Explizite Luxemburgische Rechtsprechung oder eine Stellungnahme der CNPD sind hierzu nicht bekannt.

2.1.3.Ergänzendes

Der Begriff personenbezogene Daten ist sehr vielfältig. Unternehmen verarbeiten in der Regel eine Vielzahl von personenbezogenen Daten wie z.B. Mitarbeiterdaten, Kundendaten, Lohndaten, Gesundheitsdaten, IP-Adressen, Protokolldaten, Versicherungsdaten, Bonitätsdaten.

Anonyme9 Informationen lassen sich auf keine Person beziehen. Deshalb wird in ErwG 26 DSGVO auch die Anwendung der Grundsätze auf anonyme Daten ausgeschlossen. Ebenso werden anonymisierte personenbezogene Daten ausgeschlossen. Das sind solche Daten, die so behandelt wurden, dass Personen nicht mehr identifiziert werden können. (ErwG 26 S. 5)

6

Zum Begriff der Verarbeitung folgen später mehr Information.

7

So auch Kühling/Buchner-Klar/Kühling Art. 4 Nr. 1, Rn. 8. Der Begriff der Information wird darüber hinaus nicht einheitlich verwendet. (vgl. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht – Karg, Art. 4, Rn. 26 m.w.N.).

8

So auch Kühling/Buchner-Klar/Kühling Art. 4 Nr. 1, Rn. 19.

9

Das Adjektiv „anonym“ kommt vom altgriechischen Wort ἀνώνυμος, was übersetzt „ohne Namen“ bedeutet.

2.2. Verarbeitung

Art. 4 Nr. 2 DSGVO definiert den Begriff der Verarbeitung als

• „… jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Um personenbezogene Daten zu verarbeiten, ist es also unerheblich, ob ein Unternehmen sie erhebt, erfasst, registriert, ordnet, speichert, ausliest, verändert, offenlegt, vermittelt, verbreitet, löscht oder sogar vernichtet. Alles dies fällt unter Verarbeitung, jeder Umgang mit personenbezogenen Daten in ihrem kompletten Lebenszyklus, von der Erhebung bis zur Vernichtung.

Auch wenn ein Unternehmen lediglich personenbezogene Daten empfängt, ohne sie selbst bei Betroffenen oder Dritten erhoben zu haben, ist das ein Verarbeitungsvorgang. Die Daten werden gespeichert. Auch in diesem Fall muss das Unternehmen die Vorschriften der Grundverordnung einhalten.

Ein entscheidender Punkt, ob eine datenschutzrechtliche Verarbeitung stattfindet, ist, ob die Daten zumindest in einem Dateisystem gespeichert werden (Art. 2 Abs. 1, ErwG 15 DSGVO). Ein solches Dateisystem ist nach Art. 4 Nr. 6 DSGVO „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.10

Wichtig ist die Aufnahme der Daten in ein systematisches Ordnungsgefüge. Das kann eine (digitale) Kartei, aber auch eine andere digitale oder analoge Ablagestruktur sein. Im heutigen Zeitalter der fortschreitenden Digitalisierung findet fast immer eine systematische Datenverarbeitung statt. Wird eine E-Mail versendet, so gelangt die Mail-Adresse des Empfängers zwangsläufig in das Ordnungsgefüge der verwendeten Software.

10

Es spielt hierbei keine Rolle, ob es sich um automatisierte oder nicht-automatisierte Verarbeitungen handelt.

2.3. Rollen und Akteure

Die nachfolgenden normativen Begriffe bilden den Rahmen oder die Bühne, auf der sich der Datenschutz abspielt. Die DSGVO gibt dabei die konkrete Ausgestaltung der Rollen vor. Wer welche Rolle übernehmen kann und welche Rechte und Pflichten mit der jeweiligen Rolle verbunden sind, definiert die DSGVO. Im Folgenden werden diejenigen, die diese Rollen einnehmen können, Akteure genannt.

2.3.1.Der Betroffene

Als Betroffener wird jede identifizierte oder identifizierbare natürliche Person bezeichnet (Art. 4 Nr. 1 DSGVO). Wann eine Person identifizierbar ist, wurde oben (2.1 auf Seite 5) bereits erläutert.

2.3.2.Der Verantwortliche (Controller)

Der Verantwortliche ist das Gegenstück der betroffenen Person. Immer wenn personenbezogene Daten verarbeitet werden, muss es einen Verantwortlichen geben, der die Verantwortung trägt und dafür auch in letzter Konsequenz haftet, dass die verarbeiteten Daten angemessen (das heißt DSGVO-konform) verarbeitet werden11 Der Verantwortliche kann sowohl eine natürliche Person als auch eine juristische Person sein, wie etwa ein Unternehmen, Behörden, Vereine oder andere Organisationen. Die DSGVO geht sogar noch weiter. Jede Einrichtung oder Stelle kann Verantwortlicher sein.

Was bedeutet das konkret? Auf die Wirtschaft bezogen soll jedes Unternehmen Verantwortlicher sein können. Einzelne Mitarbeiter von Unternehmen werden nicht selbst datenschutzrechtlich verantwortlich, sondern ihr jeweiliger Arbeitgeber. Das ändert sich für den Mitarbeiter nur dann, wenn er personenbezogene Daten einer betroffenen Person für eigene Zwecke verarbeitet, die außerhalb der Kontrolle seines Arbeitgebers liegen.12 Auch inhaltlich legt Art. 4 Nr. 7 DSGVO Merkmale fest, die einen Verantwortlichen qualifizieren: Wenn er „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide[n]“. Wesentliches Kriterium ist folglich die (weisungsfreie) Entscheidungsbefugnis über das Wofür und die Art und Weise der Datenverarbeitung. Legt man den Fokus auf die Entscheidungshoheit über Mittel und Zwecke der Verarbeitung, so wird deutlich, weshalb der Verantwortliche im Englischen controller genannt wird. Letztlich ist es nämlich der Verantwortliche, der die Kontrolle (die steuernde Entscheidungsbefugnis) über die Datenverarbeitung hat und somit der Bezeichnung controller gerecht wird.

Im unternehmerischen Umfeld ist der Verantwortliche oft eine juristische Person z.B. eine Kapitalgesellschaft wie eine GmbH, AG, Personengesellschaft oder ein organschaftlich verfasster Marktteilnehmer. Soweit es sich um ein Einzelunternehmen, Einzelkaufleute, Selbstständige oder Freiberufler handelt, ist der Eigentümer oder Inhaber für den Umgang mit diesen Daten verantwortlich.

Dem Verantwortlichen obliegen alle gesetzlichen Pflichten zur Durchführung (vor allem nach Art. 5 und Kapitel 3 der DSGVO), Rechtfertigung (vor allem nach Art. 6 bis 11 DSGVO) und zum Schutz (vor allem Kapitel 4 und 5 DSGVO) der Verarbeitung personenbezogener Daten. Dementsprechend ist der Verantwortliche auch Adressat möglicher Bußgelder und er haftet nach Art. 82 Abs. 1 DSGVO zivilrechtlich für Verstöße gegen die Grundverordnung (Art. 82 bis 84 DSGVO).

Diese vielfältigen Verhaltens- und Haftungspflichten können vom Verantwortlichen nicht an einzelne Mitarbeiter oder externe Dienstleister (wie etwa einen externen Datenschutzbeauftragten (vgl. Kapitel 6 in diesem Praxishandbuch) abgetreten werden. Regressansprüche bei einer Falschberatung durch den Datenschutzbeauftragten sind jedoch möglich.

Regressansprüche und arbeitsrechtliche Sanktionen sind im Innenverhältnis gegenüber dem Mitarbeiter jedoch nicht ausgeschlossen. Jeglicher Regress ändert jedoch nichts an der Verantwortung des Verantwortlichen selbst.

Es sollte noch erwähnt werden, dass in diesem Buch an einigen Stellen das Unternehmen in den Vordergrund gestellt wird, wenn von Verantwortlichen die Rede ist. Natürlich sind die meisten Ausführungen auch auf andere Verantwortliche anwendbar. Da es sich um ein Praxishandbuch handelt, wurde der Fokus an manchen Stellen auf Unternehmen als Verantwortliche gelegt.

2.3.3.Der Auftragsverarbeiter (Processor)

Das Trio der wichtigsten Rollen im Datenschutz wird durch die des Auftragsverarbeiters komplettiert. Der Kreis der Adressaten, die diese Funktion übernehmen können, ist derselbe wie bei der Rolle des Verantwortlichen.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten „im Auftrag des Verantwortlichen“ (Art. 4 Nr. 8 DSGVO). Die Rolle des Auftragsverarbeiters setzt also voraus, dass die Rolle des Verantwortlichen bereits besetzt ist. Der Auftragsverarbeiter tritt immer nur als dritter Akteur einer Dreieckskonstellation auf, nämlich genau dann, wenn ein

1. Verantwortlicher Mittel und Zwecke der Verarbeitung der Daten eines

2. Betroffenen festgelegt hat und diese Verarbeitung nicht selbst durchführt, sondern einen

3. Auftragsverarbeiter damit beauftragt.

Entscheidendes Merkmal des Auftragsverarbeiters ist, dass er zwar Verarbeitungstätigkeiten für einen anderen Verantwortlichen durchführt, aber nicht selbst über die Mittel und Zwecke der Verarbeitung bestimmen kann. Er ist den Weisungen des Verantwortlichen unterworfen. Sollte er eigenmächtige Entscheidungen über die Mittel und Zwecke der Verarbeitung treffen, wird er selbst zum Verantwortlichen.

Auch der Auftragsverarbeiter hat eine Reihe von Pflichten zu erfüllen. Dadurch, dass er allerdings ausschließlich die Weisungen des Verantwortlichen ausführt, beziehen sich die Pflichten nur auf die pflichtgemäße Ausführung der Weisungen sowie den angemessenen Schutz der Daten nach den allgemeinen Regeln der DSGVO (Art. 32). Auf diese spezifischen Pflichten des Auftragsverarbeiters sind demnach auch dessen Bußgeld- und Haftungsrisiken beschränkt. Allerdings nur im Hinblick auf die Auftragsverarbeitung.

Welche Besonderheiten im Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter zu beachten sind, können Sie in Kapitel 10 ab Seite 128 zur Auftragsverarbeitung nachlesen.

2.3.4.CNPD – Die Aufsichtsbehörde

Die Aufsichtsbehörde – die Nationale Datenschutzkommission (CNPD) – hat eine spezielle Rolle. Diese ist im sechsten Kapitel der DSGVO (Artt. 51 bis 59) und im ersten Kapitel des Gesetzes vom 1. August 2018 (Artt. 1 bis 55) festgelegt. Die CNPD ist danach eine unabhängige staatliche Stelle, deren Hauptaufgabe darin besteht, die Einhaltung der gesetzlichen Vorgaben im Bereich des Datenschutzes zu überwachen.