Inhaltsverzeichnis

1. Deckblatt
2. Titel
3. Impressum
4. Vorwort CNPD
5. Vorwort DURY
6. Inhaltsverzeichnis
7. Abkürzungsverzeichnis
8. 1. Überblick Datenschutz
   1. 1.1. Wann darf man personenbezogene Daten verarbeiten?
   2. 1.2. Was ist zu tun, wenn die Verarbeitung nach der DSGVO gerechtfertigt ist?
      1. 1.2.1. Sicherstellung eines angemessenen Schutzniveaus
      2. 1.2.2. Was ist ein angemessener Schutz für die Verarbeitung personenbezogener Daten?
   3. 1.3. Datenschutz als Wettbewerbsvorteil
9. 2. Begriffe, Rollen und Akteure in der DSGVO
   1. 2.1. Personenbezogene Daten und deren Verarbeitung gem. Art. 4 DSGVO
      1. 2.1.1. Identifikation
      2. 2.1.2. (Fehlender) Bezug zur Person
      3. 2.1.3. Ergänzendes
   2. 2.2. Verarbeitung
   3. 2.3. Rollen und Akteure
      1. 2.3.1. Der Betroffene
      2. 2.3.2. Der Verantwortliche (Controller)
      3. 2.3.3. Der Auftragsverarbeiter (Processor)
      4. 2.3.4. CNPD – Die Aufsichtsbehörde
      5. 2.3.5. Dritte und Empfänger
   4. 2.4. Wie Sie mit diesen Begriffen umgehen
10. 3. Arbeiten mit den Gesetzen
    1. 3.1. Allgemeines
    2. 3.2. Ziele der DSGVO
    3. 3.3. Aufbau der DSGVO
    4. 3.4. Öffnungsklauseln
    5. 3.5. Auslegung der DSGVO in der Praxis
11. 4. Was ist neu im Luxemburgischen Datenschutzgesetz vom 1. August 2018?
    1. 4.1. Neue Aufgaben und Befugnisse für die CNPD
    2. 4.2. Geldbußen
    3. 4.3. Weitere Ermächtigungen
    4. 4.4. Spezielle Regelungen zur Verarbeitung von personenbezogenen Daten in bestimmten Bereichen
    5. 4.5. Besonderheiten bei der Verarbeitung zu journalistischen oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken nach Art. 85 Abs. 2 DSGVO
    6. 4.6. Besonderheiten bei der Verarbeitung von personenbezogenen Daten im Beschäftigtenkontext
    7. 4.7. Besonderheiten bei der Verarbeitung von personenbezogenen Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken
    8. 4.8. Tabellarische Übersicht
12. 5. Zusammenarbeit mit der CNPD: Besonderheiten im luxemburgischen Datenschutzrecht
    1. 5.1. Aufgaben
    2. 5.2. Wichtigste Änderung infolge des luxemburgischen Datenschutzgesetzes vom 1. August 2018
    3. 5.3. Die CNPD informiert, sensibilisiert und gibt Anleitung
    4. 5.4. Wie die Zusammenarbeit mit der CNPD erfolgen soll
    5. 5.5. Meldung des Datenschutzbeauftragten, Art. 37 Abs. 7 DSGVO
    6. 5.6. Meldung von Datenschutzverletzungen – Data Breach Notifications – nach Art. 33 DSGVO
    7. 5.7. Was ist eine Datenschutzverletzung (data breach)?
    8. 5.8. Entstehen einer Meldepflicht, Art. 33 DSGVO
    9. 5.9. Inhalt der Meldung von Datenschutzverletzungen
    10. 5.10. Konsultationspflicht nach Art. 36 DSGVO
    11. 5.11. Was ist eine Datenschutz-Folgenabschätzung?
    12. 5.12. EU-Vertreter nach Art. 27 DSGVO
    13. 5.13. Welche Art von Unterstützung bietet die CNPD an?
    14. 5.14. Data Protection Laboratory (DAPRO LAB)
    15. 5.15. Kontrollen durch die CNPD
13. 6. Der Datenschutzbeauftragte
    1. 6.1. Wann muss ein Datenschutzbeauftragter benannt werden?
    2. 6.2. Wer soll als Datenschutzbeauftragter ausgewählt werden (interne oder externe Bestellung)?
    3. 6.3. Ein Datenschutzbeauftragter für mehrere Unternehmen, Art. 37 Abs. 2–4 DSGVO
    4. 6.4. Welche fachlichen und persönlichen Kompetenzen sollte der Datenschutzbeauftragte haben?
    5. 6.5. Stellung des Datenschutzbeauftragten
    6. 6.6. Form und Dauer der Benennung des Datenschutzbeauftragten
    7. 6.7. Meldung und Veröffentlichung der Ernennung des Datenschutzbeauftragten, Art. 37 Abs. 7 DSGVO
    8. 6.8. Die Aufgaben des Datenschutzbeauftragten, Art. 39 DSGVO
       1. 6.8.1. Unterrichtung und Beratung des Verantwortlichen und des Auftragsverarbeiters (Art. 39 Abs. 1 lit. a DSGVO).
       2. 6.8.2. Überwachung der Einhaltung des Datenschutzes (Art. 39 Abs. 1 lit. b DSGVO)
       3. 6.8.3. Der Datenschutzbeauftragte benötigt Informationen, um seine Aufgabe wahrnehmen zu können
       4. 6.8.4. Beratungsfunktion im Zusammenhang mit der Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 lit. c DSGVO)
       5. 6.8.5. Zusammenarbeit mit der CNPD, Art. 39 Abs. 1 lit. d und e DSGVO
       6. 6.8.6. Weitere Aufgaben des Datenschutzbeauftragten
    9. 6.9. Wie der Datenschutzbeauftragte im Unternehmen vorgestellt werden sollte
    10. 6.10. Das Management als Vorbild im Datenschutz
14. 7. Verzeichnis der Verarbeitungstätigkeiten
    1. 7.1. Wozu wird ein Verzeichnis der Verarbeitungstätigkeiten benötigt?
    2. 7.2. Wer muss ein Verzeichnis der Verarbeitungstätigkeiten führen?
    3. 7.3. Aktualisierung des Verzeichnisses
    4. 7.4. Notwendiger Inhalt und Aufbau
    5. 7.5. Angaben, die sich auf das gesamte Verzeichnis beziehen
    6. 7.6. Benennung der Verarbeitungstätigkeiten
    7. 7.7. Präzise Zweckbeschreibung
    8. 7.8. Kategorien betroffener Personen und der verarbeiteten Daten
    9. 7.9. Offenlegung (Datenübermittlung)
    10. 7.10. Datenübermittlung in Drittländer
    11. 7.11. Löschfristen und technische und organisatorische Maßnahmen
    12. 7.12. Technische und organisatorische Maßnahmen
    13. 7.13. Das Verarbeitungsverzeichnis der Auftragsverarbeiter
    14. 7.14. Die Zusammenarbeit mit dem Datenschutzbeauftragten
15. 8. Rechte der Betroffenen – Umgang mit Anfragen
    1. 8.1. Das Recht auf transparente Information
    2. 8.2. Formvorschriften
    3. 8.3. Art. 13 und 14 DSGVO: Pro-Aktivität
       1. 8.3.1. Dokumentation der Informationspflicht
       2. 8.3.2. Inhalt der Informationspflicht
       3. 8.3.3. Ausnahmen von der Informationspflicht
       4. 8.3.4. Besondere Herausforderungen in der Informationspflicht
       5. 8.3.5. Weitere Informationspflichten
    4. 8.4. Das Recht auf Auskunft, Art. 15 DSGVO
       1. 8.4.1. Verlängerung der Frist
       2. 8.4.2. Verweigerung der Auskunft – Identifikation der betroffenen Person
       3. 8.4.3. Unentgeltliche Auskunftserteilung
    5. 8.5. Das Recht auf Berichtigung
    6. 8.6. Das Recht auf Löschung von Daten (Recht auf Vergessenwerden)
    7. 8.7. Das Recht auf Einschränkung der Verarbeitung
    8. 8.8. Mitteilungspflichten
    9. 8.9. Das Recht auf Datenübertragbarkeit
    10. 8.10. Widerspruchsrecht
    11. 8.11. Automatisierte Entscheidungen
16. 9. Datenschutzverletzungen und ihre Konsequenzen
    1. 9.1. Risikoabwägung bei Datenschutzverletzungen
    2. 9.2. Meldepflichten – Die Meldung an die CNPD
    3. 9.3. Meldung an den Betroffenen selbst
    4. 9.4. Die Dokumentation von Datenschutzverletzungen
    5. 9.5. Konsequenzen für Unternehmen bei der Verletzung des Schutzes personenbezogener Daten
17. 10. Auftragsverarbeitung
    1. 10.1. Pflichten für Auftragsverarbeiter
    2. 10.2. Auswahl von Auftragsverarbeitern durch den Verantwortlichen
    3. 10.3. Auswahl eines geeigneten Auftragsverarbeiters
    4. 10.4. Die Bindung des Auftragsverarbeiters nach Art. 28 Abs. 3 DSGVO
    5. 10.5. Einbindung von Unterauftragsverarbeitern
18. 11. Datenflüsse im Konzern
    1. 11.1. Wann ist ein konzerninterner Datentransfer zulässig?
    2. 11.2. Auftragsverarbeitung im Konzern, Art. 28 DSGVO
    3. 11.3. Berechtigtes Interesse für die Übermittlung von Daten im Konzern, Art. 6 Abs. 1 lit f. DSGVO
19. 12. Datenschutz in Bezug auf Apps, Internetseiten, Online-Shops und andere Internetangebote; Datenexport in Drittländer
    1. 12.1. Datenschutz in Bezug auf Apps, Internetseiten, Online-Shops und andere Internetangebote
    2. 12.2. Anwendbarkeit der DSGVO bei Internetangeboten
    3. 12.3. Überblick: Datenschutzrechtliche Aspekte eines Online-Projektes
       1. 12.3.1. Verarbeitung von Daten außerhalb der EU gem. 45 ff. DSGVO und darauf bezogene Informationspflichten
       2. 12.3.2. Alternative geeignete Schutzmaßnahmen gem. Art. 46 ff. DSGVO als Rechtsgrundlage der Datenübermittlung
          1. 12.3.2.1. Standarddatenschutzklauseln (Standardvertragsklauseln) als Rechtsgrundlage für einen Datentransfer in ein Drittland im Rahmen des Einsatzes von Webservices auf Internetseiten Luxemburgischer Unternehmen
          2. 12.3.2.2. Unternehmensinterne Regelungen – Binding Corporate Rules (BCR) – Art. 47 DSGVO
          3. 12.3.2.3. DSGVO erlaubt branchenspezifische Kodizes und Datenschutz-Zertifizierungen
          4. 12.3.2.4. Das EU-U.S. Privacy Shield als Rechtsgrundlage für einen Datentransfer in ein Drittland im Rahmen des Einsatzes von Webservices auf Internetseiten luxemburgischer Unternehmen
          5. 12.3.2.5. Was können Sie tun, wenn Sie einen nicht datenschutzkonformen Webservice nutzen, den Sie weiterhin benutzen möchten/müssen?
    4. 12.4. Datenschutz und Webanalyse – Einsatz von Cookies
       1. 12.4.1. Webtracking/die Notwendigkeit von Cookie-Bannern/Anforderungen an den Einsatz von Cookies und vergleichbaren Technologien im Online-Kontext
       2. 12.4.2. Dynamische IP-Adressen als personenbezogene Informationen
       3. 12.4.3. Zulässigkeit des Setzens von Cookies in Luxemburg
       4. 12.4.4. Zukünftiger Einfluss der ePrivacy-Verordnung
       5. 12.4.5. ePrivacy-Verordnung und externes Webtracking am Beispiel von Google-Analytics
       6. 12.4.6. Welche Anforderungen sind an die Einwilligungserklärung bei Webtracking zu stellen?
    5. 12.5. Generelle Anforderungen an Einwilligungserklärungen im Online-Kontext
       1. 12.5.1. Einwilligung zur Verarbeitung personenbezogenen Daten gem. Art. 6 Abs. 1 lit. a DSGVO
       2. 12.5.2. Einwilligung zur Verarbeitung von besonderen Kategorien personenbezogener Daten gem. Art. 9 Abs. 2 DSGVO
    6. 12.6. Newsletter-Versand
       1. 12.6.1. Einwilligung in den Newsletterversand – Art. 6 Abs. 1 lit. a DSGVO
       2. 12.6.2. Newsletter – Grundsatz der Datenminimierung – Art. 5 Abs. 1 lit. c DSGVO
       3. 12.6.3. Newsletter – Hinweis auf Möglichkeit einer Abmeldung vom Newsletter – Art. 21 Abs. 4 DSGVO
       4. 12.6.4. Newsletter – Information über das Widerspruchsrecht – Art. 21 Abs. 2 DSGVO
       5. 12.6.5. Newsletter-Webtracking
       6. 12.6.6. Was ist bei der Einwilligungserklärung bzgl. des Newsletterversands und des Newslettertrackings zu beachten?
    7. 12.7. Grundsatz der Datenminimierung – Art. 5 Abs. 1 lit. c DSGVO
    8. 12.8. Anforderungen an den Inhalt einer Datenschutzerklärung
       1. 12.8.1. Nennung des Verantwortlichen – Art. 13 Abs. 1 lit. a DSGVO
       2. 12.8.2. Information über besondere Funktionen der Website – Art. 12 Abs. 1 DSGVO
       3. 12.8.3. Information über den Einsatz von Webtracking-Techniken
          1. 12.8.3.1. Grundsätzliche Unterscheidung: Externe Webtracking-Services oder selbst gehostete Webtracking-Services
          2. 12.8.3.2. Besonderheiten bei der Nutzung des GoogleTag-Managers zum Webtracking
       4. 12.8.4. Information über den Datenaustausch mit anderen Websites – Einbindung von fremden Webservices – Art. 13 Abs. 1 lit. c DSGVO
       5. 12.8.5. Information über die Verarbeitung von Daten außerhalb der EU – Art. 13 Abs. 1 lit. f DSGVO i.V.m. Art. 44 ff. DSGVO
       6. 12.8.6. Informationen über Profiling/Bonitätsprüfung mit automatisierter Entscheidungsfindung bei Vertragsabschluss – Art. 13 Abs. 2 lit. f DSGVO i.V.m. Art. 22 Abs. 2 lit. a DSGVO
       7. 12.8.7. Nennung der Kontaktdaten des betrieblichen Datenschutzbeauftragten – Art. 37 Abs. 7 DSGVO
       8. 12.8.8. Information über Betroffenenrechte:
          1. 12.8.8.1. Recht auf Beschwerde bei einer Aufsichtsbehörde – Art. 77 DSGVO
          2. 12.8.8.2. Auskunftsrecht/Berichtigungsrecht/Recht auf Löschung/Recht auf Einschränkung von Daten – Artt. 15, 16, 17, 18 DSGVO.
          3. 12.8.8.3. Recht auf Widerspruch zur Datenverarbeitung – Art. 21 DSGVO
          4. 12.8.8.4. Information über das Recht auf Datenübertragbarkeit – Art. 20 DSGVO (Datenportabilität)
       9. 12.8.9. Einzelheiten zum Transparenzgebot:
          1. 12.8.9.1. Datenschutzerklärung(en) frei von Widersprüchen
          2. 12.8.9.2. Links in der Datenschutzerklärung anklickbar – Art. 12 DSGVO
    9. 12.9. Datenschutz-Checkliste für Internetseiten von Unternehmen mit Sitz in Luxemburg
20. 13. Arbeitnehmer Datenschutzrecht
    1. 13.1. Einleitung
    2. 13.2. Was ist neu?
    3. 13.3. Datenschutzrechtliche Voraussetzungen für die Überwachung von Mitarbeiterdaten nach Art. 71 des Gesetzes vom 1. August 2018, L. 261-1 Arbeitsgesetzbuch:
       1. 13.3.1. Erfüllung zumindest eines Erlaubnistatbestandes nach Art. 6 Abs. 1 DSGVO (1. Voraussetzung)
       2. 13.3.2. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
       3. 13.3.3. Datenverarbeitung zur Erfüllung eines Arbeitsvertrages oder zur Anbahnung eines Arbeitsvertrages, Art. 6 Abs. 1 lit. b DSGVO
       4. 13.3.4. Die Datenverarbeitung ist zur Erfüllung gesetzlicher Verpflichtungen erforderlich, Art. 6 Abs. 1 lit. c DSGVO
       5. 13.3.5. Die Verarbeitung ist aus lebenswichtigen Interessen notwendig, Art. 6 Abs. 1 lit. d DSGVO284
       6. 13.3.6. Die Datenverarbeitung ist zur Wahrnehmung des öffentlichen Interesses und Ausübung öffentlicher Gewalt Art. 6 Abs. 1 lit. e erforderlich.
       7. 13.3.7. Die Datenverarbeitung von personenbezogenen Daten ist zur Wahrung berechtigter Interessen erforderlich, Art. 6 Abs. 1 lit. f DSGVO
    4. 13.4. Informationspflichten des Arbeitgebers (2. Voraussetzung)
    5. 13.5. Abstimmungsrecht des Gemischten Betriebsrates/Personalvertretung, Art. L. 261-1 Abs. 4 Arbeitsgesetzbuch (3. Voraussetzung)
    6. 13.6. Stellungnahme der CNPD, Art. 261-1 Abs. 4 Arbeitsgesetzbuch (4. Voraussetzung)
    7. 13.7. Rechte des Arbeitnehmers nach Art. 261-1 Abs. 4 Arbeitsgesetzbuch
    8. 13.8. Verarbeitungsverzeichnis und Datenschutz-Folgeabschätzung
21. Anhang I – Muster Datenschutzerklärung
22. Anhang II – Datenschutz-Tools
    1. a. Luxemburg
    2. b. Frankreich
    3. c. Deutschland
    4. d. Niederlande
    5. e. Spanien
    6. f. Belgien
    7. g. Finnland
    8. h. Polen
    9. i. Irland
    10. j. Vereinigtes Königreich
23. Anhang III – Die wichtigsten Begriffe in drei Sprachen
24. Anhang IV – Gesetz vom 1. August 2018 (von der CNPD akkreditierte Übersetzung des luxemburgischen Datenschutzgesetzes)
25. Anhang V – Häufig gestellte Fragen (FAQ) zum Thema Datenschutz
26. Index – Stichwortverzeichnis
    1. A
    2. B
    3. C
    4. D
    5. E
    6. F
    7. G
    8. H
    9. I
    10. J
    11. K
    12. L
    13. M
    14. N
    15. O
    16. P
    17. R
    18. S
    19. T
    20. U
    21. V
    22. W
    23. Z
27. Literaturverzeichnis