Die Unternehmen und öffentlichen Organisationen müssen einen bestmöglichen Schutz der personenbezogenen Daten sicherstellen. Zur Steuerung der Verwaltung der personenbezogenen Daten durch das Unternehmen ist in bestimmten Fällen ein Datenschutzbeauftragter (DSB) zu bestellen.

Der DSB wird eingesetzt, um den mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken vorzubeugen. Er ist aufgrund seiner Fachkompetenz zu bestellen. Es gibt kein typisches Profil für den DSB; es kann sich dabei um eine Person mit technischem, juristischem oder anderem Hintergrund handeln.

Der DSB ist nach folgenden Kriterien zu bestellen:

• seinen beruflichen Qualifikationen und insbesondere seinen Fachkenntnissen in juristischen und praktischen Fragen des Datenschutzes, sowie;
• seiner Fähigkeit, seine Aufgaben zu erfüllen.

Jede Person, deren personenbezogene Daten verarbeitet werden, kann in allen Fragen, die mit dieser Verarbeitung und mit der Ausübung ihrer Rechte zu tun haben, den betroffenen DSB kontaktieren.

Die Verantwortlichen für die Verarbeitung personenbezogener Daten und die Auftragsverarbeiter müssen der Nationalen Kommission für den Datenschutz (Commission nationale pour la protection des données - CNPD) die Kontaktdaten des DSB mitteilen.

Zielgruppe

Die Benennung eines DSB ist für folgende Einrichtungen und Unternehmen verpflichtend:

• öffentliche Organisationen und Behörden;
• Unternehmen, deren Kerntätigkeit aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich macht;
• Unternehmen, deren Kerntätigkeiten in der umfangreichen Verarbeitung sogenannter sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Davon ausgenommen sind Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.

Es wird jedoch allen Unternehmen empfohlen, einen DSB zu bestellen, da so ein Experte mit der Identifizierung und Koordinierung von Maßnahmen betraut werden kann, die im Zusammenhang mit dem Schutz personenbezogener Daten durchzuführen sind.

Voraussetzungen

Der DSB muss über die zur Wahrnehmung seiner Funktionen erforderlichen Kompetenzen verfügen, nämlich über:

• die Fähigkeit, erfolgreich zu kommunizieren und seine Funktionen und Aufgaben in völliger Unabhängigkeit zu erfüllen;
• Fachkenntnisse in juristischen und praktischen Fragen des Datenschutzes. Das Fachwissen muss der Tätigkeit der Organisation und der Sensibilität der durchgeführten Verarbeitungen entsprechen;
• eine fundierte Kenntnis des Tätigkeitsbereichs der Organisation und ihres Systems, insbesondere:
  • der Datenverarbeitungsvorgänge;
  • des Informationssystems;
  • des Bedarfs der Organisation an Datenschutz und Datensicherheit;
• eine wirksame interne Positionierung, die ihm erlaubt:
  • direkt auf höchster Ebene der Organisation zu berichten;
  • ein Informationsnetzwerk zu betreiben, beispielsweise in den Filialen einer Gruppe, und/oder ein Team von Experten (IT-, Rechts-, Kommunikations- Übersetzungsexperten usw.) aufzubauen.

Kosten

Die Meldung des DSB bei der CNPD ist unentgeltlich.

Vorgehensweise und Details

Einreichung der Meldung des DSB

Das ordnungsgemäß ausgefüllte und unterzeichnete Formular zur Meldung des DSB ist per Post an folgende Adresse zu schicken: declarationDPO@cnpd.lu.

Die Rolle des DSB

Der DSB hat vor allem folgende Aufgaben:

• Informieren und Beraten des Verantwortlichen oder Auftragsverarbeiters und deren Mitarbeiter;
• Überwachung der Konformität der Datenverarbeitung durch den Verantwortlichen oder den Auftragsverarbeiter im Bereich Schutz personenbezogener Daten mit der Datenschutz-Grundverordnung (DSGVO) und dem innerstaatlichen Recht zum Datenschutz, insbesondere die Zuständigkeitsverteilung, die Sensibilisierung und Schulung der an der Verarbeitung beteiligten Mitarbeiter und die Prüfungen, die sich darauf beziehen; 
• Erstellen des Verzeichnisses der Datenverarbeitung seines Unternehmens/seiner Organisation;
• Beraten der Verantwortlichen beim Erstellen von Folgenabschätzungen mit Bezug auf den Datenschutz sowie Überprüfung von deren Ausführung;
• Konzipieren von Sensibilisierungsmaßnahmen;
• Zusammenarbeit mit der CNPD als deren Anlaufstelle. Der DSB muss den Zugang der CNPD zu Dokumenten und/oder Informationen im Rahmen der Prüfung einer Beschwerde oder im Fall notwendiger Präzisierung zu einem laufenden Projekt usw. erleichtern;
• Bewertung der mit mangelndem Schutz bei der Datenverarbeitung verbundenen Risiken. Der DSB muss bei der Erfüllung seiner Aufgaben dem mit den Datenverarbeitungsvorgängen verbundenen Risiko Rechnung tragen, wobei er die Art, den Umfang und/oder die Zwecke der Verarbeitung in Betracht zu ziehen hat.

Handlungsmöglichkeiten des DSB

Der DSB muss von der Organisation, die ihn bestellt, unterstützt werden.

Der Verantwortliche ist verpflichtet:

• sich der Einbeziehung des DSB an allen den Datenschutz betreffenden Fragen zu vergewissern (Beispiel: interne und externe Kommunikation über seine Benennung);
• ihm die zur Durchführung seiner Aufträge erforderlichen Ressourcen bereitzustellen (Schulung, erforderliche Zeit, finanzielle Mittel, Team usw.). Der Verantwortliche oder Auftragsverarbeiter muss dem DSB insbesondere die Möglichkeit geben, sein Wissen über die Entwicklungen im Bereich Datenschutz auf dem letzten Stand zu halten;
• ihm zu erlauben, unabhängig zu agieren (entsprechende Position in der Hierarchie, keine Strafen für die Ausführung seiner Aufgaben);
• ihm den Zugang zu den Daten und den Datenverarbeitungsvorgängen zu erleichtern (erleichterter Zugang zu den anderen Dienstleistungen der Organisation);
• darüber zu wachen, dass keine Interessenkonflikte bestehen (der DSB darf in der Organisation keine Funktionen ausüben, bei denen er die Zwecke und Mittel einer Verarbeitung festlegt. Er kann nicht Richter und Partei zugleich sein).

Die folgenden Funktionen können beispielsweise zu einem Interessenkonflikt führen: Generalsekretär, geschäftsführender Direktor, Generaldirektor, Produktionsdirektor, Finanzvorstand, Chefarzt, Leiter der Marketingabteilung, Leiter der Personalabteilung oder Leiter der IT-Abteilung.

Ein Interessenkonflikt kann beispielsweise auch bestehen, wenn ein DSB auf der Grundlage eines Dienstleistungsvertrags die Organisation bei Vorgängen vor Gericht repräsentiert, die mit dem Thema personenbezogene Daten zu tun haben.

Der DSB muss beim Verantwortlichen oder Auftragsverarbeiter auf höchster Leitungsebene berichten.

Verfahren zur Ernennung des DSB

Eine Unternehmensgruppe darf einen gemeinsamen DSB ernennen, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann. Er muss in der Lage sein, mit den betroffenen Personen wirksam zu kommunizieren und mit der Aufsichtsbehörde zusammenzuarbeiten.

Ist der Verantwortliche oder der Auftragsverarbeiter eine Behörde oder eine öffentliche Stelle, so kann für mehrere Behörden oder Organisationen dieser Art ein einziger DSB ernannt werden; dabei sind deren Organisationsstruktur und Größe zu berücksichtigen.

Der DSB kann:

• zum Personal des Verantwortlichen oder Auftragsverarbeiters gehören (interner DSB);
• seine Aufgaben auf Basis eines Dienstleistungsvertrags erfüllen (externer DSB) (etwa ein Anwalt).

Verpflichtungen

Der DSB muss dem Berufsgeheimnis oder einer Geheimhaltungspflicht betreffend die Ausübung seiner Aufgaben unterliegen.

Der DSB kann andere Aufgaben und Aufträge ausführen, sofern sie zu keinem Interessenkonflikt führen.

Die Funktion eines DSB kann als Vollzeit- oder Teilzeitbeschäftigung wahrgenommen werden.

Der Verantwortliche oder der Auftragsverarbeiter muss die Kontaktdaten des DSB veröffentlichen und der CNPD mitteilen.

Strafen

Der DSB muss unabhängig agieren und bei seiner Arbeit hinreichend geschützt sein.

Anmerkung: Der DSB ist kein geschützter Arbeitnehmer im Sinne des Arbeitsgesetzbuchs. Er kann, wenn die Gründe dafür nicht in der Ausübung seiner Aufgaben als DSB liegen, wie jeder andere Arbeitnehmer rechtmäßig gekündigt werden. 

Der DSB ist nicht für die Nichteinhaltung der DSGVO verantwortlich. Ausschließlich der Verantwortliche oder der Auftragsverarbeiter sind dazu verpflichtet, sich zu vergewissern, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgt, und dies auch nachweisen können.

Formulare/Online-Dienste

Zuständige Kontaktstellen