Der Datenschutzbeauftragte
Die Unternehmen und öffentlichen Organisationen müssen einen bestmöglichen Schutz der personenbezogenen Daten sicherstellen. Zur Steuerung der Verwaltung der personenbezogenen Daten durch das Unternehmen ist in bestimmten Fällen ein Datenschutzbeauftragter (DSB) zu bestellen.
Der DSB wird eingesetzt, um den mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken vorzubeugen. Er ist aufgrund seiner Fachkompetenz zu bestellen. Es gibt kein typisches Profil für den DSB; es kann sich dabei um eine Person mit technischem, juristischem oder anderem Hintergrund handeln.
Der DSB ist nach folgenden Kriterien zu bestellen:
- seinen beruflichen Qualifikationen und insbesondere seinen Fachkenntnissen in juristischen und praktischen Fragen des Datenschutzes, sowie;
- seiner Fähigkeit, seine Aufgaben zu erfüllen.
Jede Person, deren personenbezogene Daten verarbeitet werden, kann in allen Fragen, die mit dieser Verarbeitung und mit der Ausübung ihrer Rechte zu tun haben, den betroffenen DSB kontaktieren.
Die Verantwortlichen für die Verarbeitung personenbezogener Daten und die Auftragsverarbeiter müssen der Nationalen Kommission für den Datenschutz (Commission nationale pour la protection des données - CNPD) die Kontaktdaten des DSB mitteilen.
Zielgruppe
Die Benennung eines DSB ist für folgende Einrichtungen und Unternehmen verpflichtend:
- öffentliche Organisationen und Behörden;
- Unternehmen, deren Kerntätigkeit aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich macht;
- Unternehmen, deren Kerntätigkeiten in der umfangreichen Verarbeitung sogenannter sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Davon ausgenommen sind Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
Es wird jedoch allen Unternehmen empfohlen, einen DSB zu bestellen, da so ein Experte mit der Identifizierung und Koordinierung von Maßnahmen betraut werden kann, die im Zusammenhang mit dem Schutz personenbezogener Daten durchzuführen sind.
Voraussetzungen
Der DSB muss über die zur Wahrnehmung seiner Funktionen erforderlichen Kompetenzen verfügen, nämlich über:
- die Fähigkeit, erfolgreich zu kommunizieren und seine Funktionen und Aufgaben in völliger Unabhängigkeit zu erfüllen;
- Fachkenntnisse in juristischen und praktischen Fragen des Datenschutzes. Das Fachwissen muss der Tätigkeit der Organisation und der Sensibilität der durchgeführten Verarbeitungen entsprechen;
- eine fundierte Kenntnis des Tätigkeitsbereichs der Organisation und ihres Systems, insbesondere:
- der Datenverarbeitungsvorgänge;
- des Informationssystems;
- des Bedarfs der Organisation an Datenschutz und Datensicherheit;
- eine wirksame interne Positionierung, die ihm erlaubt:
- direkt auf höchster Ebene der Organisation zu berichten;
- ein Informationsnetzwerk zu betreiben, beispielsweise in den Filialen einer Gruppe, und/oder ein Team von Experten (IT-, Rechts-, Kommunikations- Übersetzungsexperten usw.) aufzubauen.
Kosten
Die Meldung des DSB bei der CNPD ist unentgeltlich.
Vorgehensweise und Details
Einreichung der Meldung des DSB
Das ordnungsgemäß ausgefüllte und unterzeichnete Formular zur Meldung des DSB ist per Post an folgende Adresse zu schicken: declarationDPO@cnpd.lu.
Die Rolle des DSB
Der DSB hat vor allem folgende Aufgaben:
- Informieren und Beraten des Verantwortlichen oder Auftragsverarbeiters und deren Mitarbeiter;
- Überwachung der Konformität der Datenverarbeitung durch den Verantwortlichen oder den Auftragsverarbeiter im Bereich Schutz personenbezogener Daten mit der Datenschutz-Grundverordnung (DSGVO) und dem innerstaatlichen Recht zum Datenschutz, insbesondere die Zuständigkeitsverteilung, die Sensibilisierung und Schulung der an der Verarbeitung beteiligten Mitarbeiter und die Prüfungen, die sich darauf beziehen;
- Erstellen des Verzeichnisses der Datenverarbeitung seines Unternehmens/seiner Organisation;
- Beraten der Verantwortlichen beim Erstellen von Folgenabschätzungen mit Bezug auf den Datenschutz sowie Überprüfung von deren Ausführung;
- Konzipieren von Sensibilisierungsmaßnahmen;
- Zusammenarbeit mit der CNPD als deren Anlaufstelle. Der DSB muss den Zugang der CNPD zu Dokumenten und/oder Informationen im Rahmen der Prüfung einer Beschwerde oder im Fall notwendiger Präzisierung zu einem laufenden Projekt usw. erleichtern;
- Bewertung der mit mangelndem Schutz bei der Datenverarbeitung verbundenen Risiken. Der DSB muss bei der Erfüllung seiner Aufgaben dem mit den Datenverarbeitungsvorgängen verbundenen Risiko Rechnung tragen, wobei er die Art, den Umfang und/oder die Zwecke der Verarbeitung in Betracht zu ziehen hat.
Handlungsmöglichkeiten des DSB
Der DSB muss von der Organisation, die ihn bestellt, unterstützt werden.
Der Verantwortliche ist verpflichtet:
- sich der Einbeziehung des DSB an allen den Datenschutz betreffenden Fragen zu vergewissern (Beispiel: interne und externe Kommunikation über seine Benennung);
- ihm die zur Durchführung seiner Aufträge erforderlichen Ressourcen bereitzustellen (Schulung, erforderliche Zeit, finanzielle Mittel, Team usw.). Der Verantwortliche oder Auftragsverarbeiter muss dem DSB insbesondere die Möglichkeit geben, sein Wissen über die Entwicklungen im Bereich Datenschutz auf dem letzten Stand zu halten;
- ihm zu erlauben, unabhängig zu agieren (entsprechende Position in der Hierarchie, keine Strafen für die Ausführung seiner Aufgaben);
- ihm den Zugang zu den Daten und den Datenverarbeitungsvorgängen zu erleichtern (erleichterter Zugang zu den anderen Dienstleistungen der Organisation);
- darüber zu wachen, dass keine Interessenkonflikte bestehen (der DSB darf in der Organisation keine Funktionen ausüben, bei denen er die Zwecke und Mittel einer Verarbeitung festlegt. Er kann nicht Richter und Partei zugleich sein).
Die folgenden Funktionen können beispielsweise zu einem Interessenkonflikt führen: Generalsekretär, geschäftsführender Direktor, Generaldirektor, Produktionsdirektor, Finanzvorstand, Chefarzt, Leiter der Marketingabteilung, Leiter der Personalabteilung oder Leiter der IT-Abteilung.
Ein Interessenkonflikt kann beispielsweise auch bestehen, wenn ein DSB auf der Grundlage eines Dienstleistungsvertrags die Organisation bei Vorgängen vor Gericht repräsentiert, die mit dem Thema personenbezogene Daten zu tun haben.
Der DSB muss beim Verantwortlichen oder Auftragsverarbeiter auf höchster Leitungsebene berichten.
Verfahren zur Ernennung des DSB
Eine Unternehmensgruppe darf einen gemeinsamen DSB ernennen, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann. Er muss in der Lage sein, mit den betroffenen Personen wirksam zu kommunizieren und mit der Aufsichtsbehörde zusammenzuarbeiten.
Ist der Verantwortliche oder der Auftragsverarbeiter eine Behörde oder eine öffentliche Stelle, so kann für mehrere Behörden oder Organisationen dieser Art ein einziger DSB ernannt werden; dabei sind deren Organisationsstruktur und Größe zu berücksichtigen.
Der DSB kann:
- zum Personal des Verantwortlichen oder Auftragsverarbeiters gehören (interner DSB);
- seine Aufgaben auf Basis eines Dienstleistungsvertrags erfüllen (externer DSB) (etwa ein Anwalt).
Verpflichtungen
Der DSB muss dem Berufsgeheimnis oder einer Geheimhaltungspflicht betreffend die Ausübung seiner Aufgaben unterliegen.
Der DSB kann andere Aufgaben und Aufträge ausführen, sofern sie zu keinem Interessenkonflikt führen.
Die Funktion eines DSB kann als Vollzeit- oder Teilzeitbeschäftigung wahrgenommen werden.
Der Verantwortliche oder der Auftragsverarbeiter muss die Kontaktdaten des DSB veröffentlichen und der CNPD mitteilen.
Strafen
Der DSB muss unabhängig agieren und bei seiner Arbeit hinreichend geschützt sein.
Anmerkung: Der DSB ist kein geschützter Arbeitnehmer im Sinne des Arbeitsgesetzbuchs. Er kann, wenn die Gründe dafür nicht in der Ausübung seiner Aufgaben als DSB liegen, wie jeder andere Arbeitnehmer rechtmäßig gekündigt werden.
Der DSB ist nicht für die Nichteinhaltung der DSGVO verantwortlich. Ausschließlich der Verantwortliche oder der Auftragsverarbeiter sind dazu verpflichtet, sich zu vergewissern, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgt, und dies auch nachweisen können.
Formulare/Online-Dienste
Déclaration du délégué à la protection des données
Les informations qui vous concernent recueillies sur ce formulaire font l’objet d’un traitement par l’administration concernée afin de mener à bien votre demande.
Ces informations sont conservées pour la durée nécessaire par l’administration à la réalisation de la finalité du traitement
Les destinataires de vos données sont les administrations compétentes dans le cadre du traitement de votre demande. Veuillez-vous adresser à l’administration concernée par votre demande pour connaître les destinataires des données figurant sur ce formulaire. Conformément au règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, vous bénéficiez d’un droit d’accès, de rectification et le cas échéant d’effacement des informations vous concernant. Vous disposez également du droit de retirer votre consentement à tout moment.
En outre et excepté le cas où le traitement de vos données présente un caractère obligatoire, vous pouvez, pour des motifs légitimes, vous y opposer.
Si vous souhaitez exercer ces droits et/ou obtenir communication de vos informations, veuillez-vous adresser à l’administration concernée suivant les coordonnées indiquées dans le formulaire. Vous avez également la possibilité d’introduire une réclamation auprès de la Commission nationale pour la protection des données ayant son siège à 15, boulevard du Jazz L-4370 Belvaux.
En poursuivant votre démarche, vous acceptez que vos données personnelles soient traitées dans le cadre de votre demande.
Zuständige Kontaktstellen
-
Commission nationale pour la protection des données15, boulevard du Jazz
L-4370 Belvaux
Grand-Duché de Luxembourg
Tél. : (+352) 26 10 60 -1Fax : (+352) 26 10 60 - 29
