Für Unternehmen, die in Luxemburg ansässig oder tätig sind, ergeben sich Besonderheiten hinsichtlich der Einhaltung der rechtlichen Anforderungen des Datenschutzes in Luxemburg. Besonders hinsichtlich der persönlichen Qualifikation des Datenschutzbeauftragten unterscheidet sich das luxemburgische Recht von den gesetzlichen Anforderungen anderer EU-Mitgliedsstaaten, wie beispielsweise Deutschlands.

Rechtgrundlagen

Die rechtlichen Grundlagen des Datenschutzes in Luxemburg sind im Gesetz vom 2. August 2002 zum Schutz personenbezogener Daten bei der Datenverarbeitung enthalten. Das Gesetz wurde zuletzt 2007 ergänzend abgeändert. Mit dem Inkrafttreten des Gesetzes wurde auch die nationale Kommission für den Datenschutz (franz.: Commission Nationale pour la Protection des Données, kurz: CNPD) errichtet, die als weisungsunabhängige Behörde über die Einhaltung der gesetzlichen Bestimmungen durch datenverarbeitende Stellen wacht.

Voraussetzungen für die Ernennung als Datenschutzbeauftragter in Luxemburg

Sowohl natürliche als auch juristische Personen können als Datenschutzbeauftragter in Luxemburg ernannt werden. Voraussetzung dafür ist die Zulassung als Datenschutzbeauftragter durch die zuständige nationale luxemburgische Kommission (CNPD). Die Zulassung ist an einige persönliche Qualifikationen gebunden. So wird für die Zulassung als Datenschutzbeauftragter in Luxemburg vorausgesetzt, dass die beantragende Person über einen Hochschulabschluss im Bereich Recht, Wirtschaft, Naturwissenschaft oder Informatik verfügt. Ferner können Mitglieder bestimmter reglementierter Berufe (bspw.: Anwälte am Gerichtshof oder Wirtschaftsprüfer) die Zulassung beantragen.

Nach der Zulassung wird die Person in einer öffentlich einsehbaren Liste geführt. Die persönliche Eignung wird fortlaufend durch die nationale Kommission überprüft.

Ernennung des Datenschutzbeauftragten nach Luxemburgischen Recht

Die Ernennung des Datenschutzbeauftragten erfolgt durch Mitteilung der verantwortlichen Stelle/des Unternehmens an die zuständige nationale Kommission. Für die Ernennung externer und interner Datenschutzbeauftragter stehen jeweils unterschiedliche Mitteilungsmuster zur Verfügung, die von der verantwortlichen Stelle verwendet werden sollten. Dabei ist zu beachten, dass bei der Ernennung eines internen Datenschutzbeauftragten, also eines Arbeitnehmers der verantwortlichen Stelle, kein Interessenkonflikt vorliegen darf. Zudem muss gewährleistet werden, dass dem Mitarbeiter hinreichende zeitliche Ressourcen eingeräumt werden, damit dieser seine Tätigkeit als Datenschutzbeauftragter ausüben kann. Die Einhaltung der Voraussetzungen bei der Ernennung eines internen Datenschutzbeauftragten werden durch die Kommission fortwährend überwacht.

In der Erfüllung der Aufgaben als Datenschutzbeauftragter ist die entsprechende Person, ob interner oder externer Datenschutzbeauftragter, weisungsfrei.

Aufgaben des Datenschutzbeauftragten in Luxemburg

Als Datenschutzbeauftragter in Luxemburg ist die Einhaltung und Anwendung der gesetzlichen datenschutzrechtlichen Anforderungen zu gewährleisten. Den in Luxemburg tätigen Datenschutzbeauftragten trifft dabei insbesondere die Pflicht, ein Verzeichnis oder Register der Datenverarbeitungsprozesse bei der verantwortlichen Stelle zu führen und dieses der nationalen Kommission zur Verfügung zu stellen. Der Datenschutzbeauftragte handelt hierbei innerhalb der verantwortlichen Stelle weisungsfrei und unabhängig. Zur Umsetzung seiner Aufgaben steht dem Datenschutzbeauftragten das Recht zu, die verantwortliche Stelle und deren Datenverarbeitungen hinsichtlich der Einhaltung der gesetzlichen Anforderungen zu untersuchen. Neben der Untersuchungsbefugnis hat der Datenschutzbeauftragte in Luxemburg das Recht auf Auskunftserteilung durch die verantwortliche Stelle sowie die Befugnis, der verantwortlichen Stelle mitzuteilen, welche Formalitäten zur rechtskonformen Ausgestaltung der Datenverarbeitung ergriffen werden müssen. Mit der Bestellung eines Datenschutzbeauftragten, wird dieser zur ersten Kontaktperson der verantwortlichen Stelle bei Anfragen und Beschwerden betroffener Personen zu Fragen des Datenschutzes. Die Kommission leitet entsprechende Anfragen und Beschwerden an den Datenschutzbeauftragten nach Möglichkeit weiter und übt selbst eine gewisse Zurückhaltung gegenüber der verantwortlichen Stelle aus.

Ausblick

Als Mitgliedsstaat der Europäischen Union kommt auch in Luxemburg ab dem 25. Mai 2018 die Datenschutz-Grundverordnung zur Anwendung. Mit der DS-GVO wird erstmals im gesamten Unionsgebiet die Funktion des Datenschutzbeauftragten eingeführt. Während einige Mitgliedsstaaten (allen voran Deutschland) bereits in der Vergangenheit die Funktion des Datenschutzbeauftragten etabliert haben, ist dies in anderen Ländern der EU eine grundlegende Neuerung. Nach der DS-GVO ist die Bestellung eines Datenschutzbeauftragten in gewissen Fällen zukünftig vorgeschrieben. Zudem beinhaltet die DS-GVO sog. Öffnungsklauseln, die es den Nationalstaaten ermöglicht, in vorgesehenen Bereichen, zusätzliche nationale Regelungen zu erlassen, die über den Regelungsbereich der Datenschutz-Grundverordnung hinausgehen. So hat Deutschland bereits mit dem BDSG-neu Gebrauch von solch einer Öffnungsklausel gemacht und dafür gesorgt, dass die bisherigen nationalen Regelungen bezüglich der Datenschutzbeauftragten auch zukünftig beigehalten werden und damit über die Regelungen der DS-GVO hinausgehen. Ähnliches dürfte auch für den Datenschutzbeauftragten in Luxemburg gelten. Da die DS-GVO nur ein Mindestmaß an Anforderungen an den Datenschutzbeauftragten stellt und das luxemburgische Recht bislang besonders hohe Anforderungen an die persönliche Qualifikation des Datenschutzbeauftragten gestellt hat, ist davon auszugehen, dass auch Luxemburg seine Regelung in diesem Bezug aufrechterhalten wird.

Fazit

Die luxemburgischen Regelungen hinsichtlich des Datenschutzbeauftragten bringen einige Besonderheiten mit sich. Besonders die vergleichsweise hohen Anforderungen an die persönliche Qualifikation des Datenschutzbeauftragten in Luxemburg sind bemerkenswert. Dafür profitieren Unternehmen und Organisationen, die einen Datenschutzbeauftragten bestellen, von einer gewissen Erleichterung im Umgang mit der zuständigen Aufsichtsbehörde (nationale Kommission). Die Europäische Datenschutz-Grundverordnung wird im Hinblick auf die Anforderungen an den luxemburgischen Datenschutzbeauftragten vermutlich keine tiefgreifenden Änderungen mit sich bringen.

Ähnliche Beiträge