OBS IRIS Merlin
english francais deutsch

IRIS 2003-1:15/34

Luxemburg

Inkrafttreten des Gesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

print add to caddie Word File PDF File

Marc Thewes

Rechtsanwalt, Luxemburg

Am 1. Dezember 2002 trat das Gesetz vom 2. August 2002 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in Kraft. Mit diesem Gesetz wird Richtlinie 95/46/EG des Europäischen Parlaments in luxemburgisches Recht umgesetzt und damit das Gesetz vom 31. März 1979 über die Regulierung der Nutzung personenbezogener Daten in der Datenverarbeitung, das so gut wie keine Anwendung gefunden hatte, außer Kraft gesetzt.

In Übereinstimmung mit den Grundsätzen der Richtlinie strebt das Gesetz die Gewährleistung der Qualität der erhobenen Daten (Artikel 4), der Rechtmäßigkeit der Zweckbestimmung der Datenverarbeitung (Artikel 5) und des Schutzes der verarbeiteten Daten (Artikel 22) an. Außerdem räumt das Gesetz natürlichen Personen den Zugang zu persönlichen, sie betreffenden Daten (Artikel 28) sowie betroffenen Personen ein Widerspruchsrecht ein (Artikel 30). In Ergänzung zu den von der Richtlinie vorgesehenen Regelungen enthält das Gesetz Bestimmungen zu Überwachungsmaßnahmen am Arbeitsplatz. Demnach ist die Überwachung eines Arbeitnehmer zur Festlegung seiner Vergütung nur vorübergehend erlaubt, und erst nach Benachrichtigung des paritätischen Betriebsrats durch den Arbeitgeber.

Gemäß Artikel 12 muss die Verarbeitung personenbezogener Daten vorab der aufgrund ebendieses Gesetzes eingerichteten luxemburgischen Datenschutzbehörde, deren Mitglieder im Oktober 2002 für eine Dauer von sechs Jahren ernannt wurden, gemeldet werden. Die Verarbeitung bestimmter, als „sensibel" bzw. vertraulich angesehener Daten muss sogar im Voraus genehmigt werden.

In Übereinstimmung mit dem Gesetz hat sich die Behörde eine Geschäftsordnung gegeben und erarbeitet zurzeit ein Formular zur Vereinfachung der Meldung von Datenverarbeitungsvorgängen durch diejenigen Personen, die den Rechtsbestimmungen direkt verpflichtet sind. Die Annahme dieses Verfahrensentwurfs, von dem die tatsächliche Anwendung der Meldepflicht abhängt, wird für den Jahresbeginn 2003 erwartet. Gemäß dem Gesetz soll sie binnen einer Frist von vier Monaten ab Ernennung der Mitglieder der Behörde wirksam werden.

Artikel 33 des Gesetzes befugt die Behörde zur Verhängung von Disziplinarstrafen, wenn ein Datenverarbeitungsverantwortlicher gegen das Gesetz verstößt. Sie kann insbesondere ein zeitlich begrenztes oder definitives Verarbeitungsverbot verhängen oder die Daten, die rechtswidrig verarbeitet wurden, sperren, löschen oder zerstören. Als Rechtsbehelf gegen diese Strafen können Verwaltungsgerichte angerufen werden.

Zu den erwähnenswerten Übergangsbestimmungen gehört weiterhin, dass die bereits existierenden verarbeiteten Daten in einer Frist von zwei Jahren ab Inkrafttreten des Gesetzes mit diesem in Einklang gebracht werden müssen.

Referenzen
Loi du 2 août 2002 sur la protection des personnes à l'égard du traitement des données à caractère personnel FR
 http://merlin.obs.coe.int/redirect.php?id=1218
 
  Gesetz vom 2. August 2002 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten